[iptables] regles anti-p2p

Le
Vincent GAUVIN
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
Pour le moment j'ai ça :
*************************
bal bla bla
$any=0.0.0.0
# Rejette les connexions TCP et UDP sur les ports priviligies
iptables -A INPUT -i ppp0 -d $ANY -p udp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -d $ANY -p tcp --dport 0:1023 -j DROP

# rejette Deny TCP connection attempts
iptables -A INPUT -i ppp0 -p tcp --syn -j DROP

# Rejette les ping et toutes ces sortes de choses ( deny echo-requests)
iptables -A INPUT -i ppp0 -s $ANY -p icmp --icmp-type echo-request -j DROP

# Mise en place du nat pour
# tout ce qui traverse la passerelle
# en sortant par ppp0
# le LAN est en 192.168.1.0

iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.0.0 -o ppp0 -j
MASQUERADE

iptables -A FORWARD -i eth0 -o ppp0 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
******************************

merci de votre aide.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Masson
Le #571413
"Vincent" == Vincent GAUVIN





'Lut,

Vincent> Ca donnerait quoi des règles iptables pour empêcher ça ?

Pas grand chose, ces saletés sont susceptibles d'utiliser n'importe quel
port de façon dynamique, une solution qui fonctionne a été documentée à
la page suivante :
http://jk.yazzy.org/articles/openbsd/kazaa.html

Ca tourne sous open, mais ça doit être transposable sur un sux sans trop
de problèmes.

Eric Masson

--
Linux, c'est simple : ça s'adresse à une machine qui est parfois un peu
maraboutée mais qui d'habitude n'a pas d'états d'âme. Sur Usenet y'a
plein d'humains et de primates, et ça devient vraiment gore par moment.
-+- TP in : Guide du linuxien pervers - "Le linuxien a-t-il une âme ?" -+-





FAb
Le #571412
Vincent GAUVIN
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?


Cela tient de la gageure !
La plupart des clients pouvant changer les ports de connexions
il est quasi impossible de les bloquer avec un filtre de paquets.

La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).
Voilà en passant par la méthode force (ou physique) cela devient
contraignant.

Comme il a été souvent dit ici (cf les archives du ce ng sur
google) le mieux étant de mettre une politque (charte) à faire
signer aux utilisateurs. (En plus cela permet de dégager ±
la responsabilité des admins sur l'usage illégal du SI de la
boîte).

Voilà, courage.

FAb

Rascal Le Chacal
Le #571411
Vincent GAUVIN à écrit:

Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.


Pas trop compris, mais un firewall avec Iptables, la règle la plus simple est
de tout interdire et en suite d'autoriser l'ouverture des ports utiles.
pour exemple:
http://lea-linux.org/reseau/iptables.html

--
Il faudrait donc pondérer les votes blancs d'un coefficient variable en
fonction de la latitude et de la hauteur calculée sur le niveau moyen des
marées (la Gelbique est plus grande à marée basse, c'est bien connu).
-+- JPK in: Guide du Cabaliste Usenet - Bien configurer sa Gelbique -+-

JustMe
Le #571410
FAb wrote:


La plupart des clients pouvant changer les ports de connexions


les ports locaux, pas les ports distants

Comme la NAT empeche de rentrer, seuls les ports distants comptent. Et
comme 99% des autres utilisateurs laissent les valeurs par défaut...

Avec un bon blocage "stealth" les utilisateurs d'ed2k auront de si
pietres performances qu'ils arreteront d'eux memes :-)

Nicolas Pouillon
Le #571409
[25 Apr 2004 08:31:32 GMT] Vincent GAUVIN eut le bonheur d'ecrire:

Ca donnerait quoi des règles iptables pour empêcher ça?


J'ai croise un module iptables qui matche precisement le p2p
http://sourceforge.net/projects/iptables-p2p/
je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais
teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de
ports.

--
Nipo

Vincent Bernat
Le #571407
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers
11:07, FAb
La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).


Et les clients P2P utiliseront alors ceux-là.
--
BOFH excuse #304:
routing problems on the neural net

JustMe
Le #571406
Vincent Bernat wrote:

OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers
11:07, FAb

La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).



Et les clients P2P utiliseront alors ceux-là.


cf.

IxI
Le #571205
Le Sun, 25 Apr 2004 08:31:32 +0000, Vincent GAUVIN a écrit :

Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
(...)
merci de votre aide.


Bonjour,

je me suis rendu compte que Kazaa essayait les port ftp si ses ports
habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de
temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela
règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu
mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille
les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier)
cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup,
il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi
:o))
xy

Come BERBAIN
Le #571203
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80
donc a moins de ne pas avoir de connexion internet...
La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy
les connexionx de P2P.
FAb
Le #571202
Come BERBAIN
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80
donc a moins de ne pas avoir de connexion internet...
La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy
les connexionx de P2P.


proxy ftp aussi...
Le coup de la massue pour mauvais usage du système d'information
et de mise en danger du dit système peut-être efficace.

«Je ne dis pas que ce n'est pas injuste, je dis que ça soulage»
(Les tontons flingueurs)

FAb

Publicité
Poster une réponse
Anonyme