Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
Pour le moment j'ai ça :
*************************
bal bla bla
$any=0.0.0.0
# Rejette les connexions TCP et UDP sur les ports priviligies
iptables -A INPUT -i ppp0 -d $ANY -p udp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -d $ANY -p tcp --dport 0:1023 -j DROP
# rejette Deny TCP connection attempts
iptables -A INPUT -i ppp0 -p tcp --syn -j DROP
# Rejette les ping et toutes ces sortes de choses ( deny echo-requests)
iptables -A INPUT -i ppp0 -s $ANY -p icmp --icmp-type echo-request -j DROP
# Mise en place du nat pour
# tout ce qui traverse la passerelle
# en sortant par ppp0
# le LAN est en 192.168.1.0
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80
donc a moins de ne pas avoir de connexion internet...
La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy
les connexionx de P2P.
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
Comment reconnaitre ces flux P2P ?
xy
heinrich
On 25 Apr 2004 08:31:32 GMT, Vincent GAUVIN wrote:
Une recherche de repertoire contenant emule avec par exemple clients.met ..... et un delete.
On 25 Apr 2004 08:31:32 GMT, Vincent GAUVIN
<vincent.gauvin@ac-reims.fr-invalid.fr.invalid> wrote:
Une recherche de repertoire contenant emule avec par exemple
clients.met ..... et un delete.
On 25 Apr 2004 08:31:32 GMT, Vincent GAUVIN wrote:
Une recherche de repertoire contenant emule avec par exemple clients.met ..... et un delete.
R.I.P
Bonjour, Bonjour
je me suis rendu compte que Kazaa essayait les port ftp si ses ports habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier) cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup, il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi :o)) xy
Cela fonctionne sur Kazaa Media Desktop (qui est dorénavant la seule version officielle et en passe d'être payante). Mais il existe Kazaa Lite, qui est une version modifiée (sans spywares ni ads, et donc très prisé), et dans ce cas ad-aware ne trouve rien.
Une chance que les utilisateurs n'aient pas regardés plus loin que le bout de leur nez dans ton cas ;-)
R.I.P
Bonjour,
Bonjour
je me suis rendu compte que Kazaa essayait les port ftp si ses ports
habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de
temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela
règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu
mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille
les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier)
cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup,
il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi
:o))
xy
Cela fonctionne sur Kazaa Media Desktop (qui est dorénavant la seule
version officielle et en passe d'être payante). Mais il existe Kazaa
Lite, qui est une version modifiée (sans spywares ni ads, et donc très
prisé), et dans ce cas ad-aware ne trouve rien.
Une chance que les utilisateurs n'aient pas regardés plus loin que le
bout de leur nez dans ton cas ;-)
je me suis rendu compte que Kazaa essayait les port ftp si ses ports habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier) cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup, il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi :o)) xy
Cela fonctionne sur Kazaa Media Desktop (qui est dorénavant la seule version officielle et en passe d'être payante). Mais il existe Kazaa Lite, qui est une version modifiée (sans spywares ni ads, et donc très prisé), et dans ce cas ad-aware ne trouve rien.
Une chance que les utilisateurs n'aient pas regardés plus loin que le bout de leur nez dans ton cas ;-)
R.I.P
R.I.P
des stations (...) me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ce sont ici les ports par défaut d'Emule/EDonkey. 4661 correspond au port coté serveur et 4662 au port TCP coté client. A savoir qu'il existe aussi un port 4672 client. Toutes ces valeurs sont celles par défaut.
S'il est facile :-( de changer les ports coté client, et donc de détourner facilement un simple filtrage de paquets, il n'en est pas de même pour le port serveur. La (très) grande majorité des serveurs Edonkey/Emule utilisent le port par défaut, et il est donc possible de bloquer les sorties du réseau vers le port 4661 en TCP et UDP. Il en résultera un low-ID sur les clients essayant de se connecter au serveur, ce qui, selon le serveur Edonkey/Emule choisi, empèche la connection au P2P ou la coupe au bout de quelques minutes (or quelques minutes ne permettent presque jamais d'entamer le moindre téléchargement).
Par contre pour kazaa, je ne sais pas .
PS: autres ports serveurs parfois utilisé : 4242, 4660, 5555. Autant donc n'autoriser QUE les sorties nécéssaires (80, 21, etc...).
R.I.P
des stations (...) me pompent de la bp à longueur de journées avec de
l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ce sont ici les ports par défaut d'Emule/EDonkey.
4661 correspond au port coté serveur et 4662 au port TCP coté client.
A savoir qu'il existe aussi un port 4672 client.
Toutes ces valeurs sont celles par défaut.
S'il est facile :-( de changer les ports coté client, et donc de
détourner facilement un simple filtrage de paquets, il n'en est pas de
même pour le port serveur. La (très) grande majorité des serveurs
Edonkey/Emule utilisent le port par défaut, et il est donc possible de
bloquer les sorties du réseau vers le port 4661 en TCP et UDP. Il en
résultera un low-ID sur les clients essayant de se connecter au serveur,
ce qui, selon le serveur Edonkey/Emule choisi, empèche la connection au
P2P ou la coupe au bout de quelques minutes (or quelques minutes ne
permettent presque jamais d'entamer le moindre téléchargement).
Par contre pour kazaa, je ne sais pas .
PS: autres ports serveurs parfois utilisé : 4242, 4660, 5555.
Autant donc n'autoriser QUE les sorties nécéssaires (80, 21, etc...).
des stations (...) me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ce sont ici les ports par défaut d'Emule/EDonkey. 4661 correspond au port coté serveur et 4662 au port TCP coté client. A savoir qu'il existe aussi un port 4672 client. Toutes ces valeurs sont celles par défaut.
S'il est facile :-( de changer les ports coté client, et donc de détourner facilement un simple filtrage de paquets, il n'en est pas de même pour le port serveur. La (très) grande majorité des serveurs Edonkey/Emule utilisent le port par défaut, et il est donc possible de bloquer les sorties du réseau vers le port 4661 en TCP et UDP. Il en résultera un low-ID sur les clients essayant de se connecter au serveur, ce qui, selon le serveur Edonkey/Emule choisi, empèche la connection au P2P ou la coupe au bout de quelques minutes (or quelques minutes ne permettent presque jamais d'entamer le moindre téléchargement).
Par contre pour kazaa, je ne sais pas .
PS: autres ports serveurs parfois utilisé : 4242, 4660, 5555. Autant donc n'autoriser QUE les sorties nécéssaires (80, 21, etc...).
R.I.P
TiChou
Dans le message <news:, *Nicolas Pouillon* tapota sur f.c.securite :
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p http://sourceforge.net/projects/iptables-p2p/ je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de ports.
On peut aussi citer dans le même genre le projet L7-filter.
http://l7-filter.sf.net
-- TiChou
Dans le message <news:slrnc8n1ri.3rj.nipo-fornews@yagoo.io.ssji.net>,
*Nicolas Pouillon* tapota sur f.c.securite :
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p
http://sourceforge.net/projects/iptables-p2p/
je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais
teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de
ports.
On peut aussi citer dans le même genre le projet L7-filter.
Dans le message <news:, *Nicolas Pouillon* tapota sur f.c.securite :
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p http://sourceforge.net/projects/iptables-p2p/ je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de ports.
On peut aussi citer dans le même genre le projet L7-filter.
