Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
Pour le moment j'ai ça :
*************************
bal bla bla
$any=0.0.0.0
# Rejette les connexions TCP et UDP sur les ports priviligies
iptables -A INPUT -i ppp0 -d $ANY -p udp --dport 0:1023 -j DROP
iptables -A INPUT -i ppp0 -d $ANY -p tcp --dport 0:1023 -j DROP
# rejette Deny TCP connection attempts
iptables -A INPUT -i ppp0 -p tcp --syn -j DROP
# Rejette les ping et toutes ces sortes de choses ( deny echo-requests)
iptables -A INPUT -i ppp0 -s $ANY -p icmp --icmp-type echo-request -j DROP
# Mise en place du nat pour
# tout ce qui traverse la passerelle
# en sortant par ppp0
# le LAN est en 192.168.1.0
Vincent> Ca donnerait quoi des règles iptables pour empêcher ça ?
Pas grand chose, ces saletés sont susceptibles d'utiliser n'importe quel port de façon dynamique, une solution qui fonctionne a été documentée à la page suivante : http://jk.yazzy.org/articles/openbsd/kazaa.html
Ca tourne sous open, mais ça doit être transposable sur un sux sans trop de problèmes.
Eric Masson
-- Linux, c'est simple : ça s'adresse à une machine qui est parfois un peu maraboutée mais qui d'habitude n'a pas d'états d'âme. Sur Usenet y'a plein d'humains et de primates, et ça devient vraiment gore par moment. -+- TP in : Guide du linuxien pervers - "Le linuxien a-t-il une âme ?" -+-
"Vincent" == Vincent GAUVIN <vincent.gauvin@ac-reims.fr-invalid.fr.invalid> writes:
'Lut,
Vincent> Ca donnerait quoi des règles iptables pour empêcher ça ?
Pas grand chose, ces saletés sont susceptibles d'utiliser n'importe quel
port de façon dynamique, une solution qui fonctionne a été documentée à
la page suivante :
http://jk.yazzy.org/articles/openbsd/kazaa.html
Ca tourne sous open, mais ça doit être transposable sur un sux sans trop
de problèmes.
Eric Masson
--
Linux, c'est simple : ça s'adresse à une machine qui est parfois un peu
maraboutée mais qui d'habitude n'a pas d'états d'âme. Sur Usenet y'a
plein d'humains et de primates, et ça devient vraiment gore par moment.
-+- TP in : Guide du linuxien pervers - "Le linuxien a-t-il une âme ?" -+-
Vincent> Ca donnerait quoi des règles iptables pour empêcher ça ?
Pas grand chose, ces saletés sont susceptibles d'utiliser n'importe quel port de façon dynamique, une solution qui fonctionne a été documentée à la page suivante : http://jk.yazzy.org/articles/openbsd/kazaa.html
Ca tourne sous open, mais ça doit être transposable sur un sux sans trop de problèmes.
Eric Masson
-- Linux, c'est simple : ça s'adresse à une machine qui est parfois un peu maraboutée mais qui d'habitude n'a pas d'états d'âme. Sur Usenet y'a plein d'humains et de primates, et ça devient vraiment gore par moment. -+- TP in : Guide du linuxien pervers - "Le linuxien a-t-il une âme ?" -+-
FAb
Vincent GAUVIN writes:
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça?
Cela tient de la gageure ! La plupart des clients pouvant changer les ports de connexions il est quasi impossible de les bloquer avec un filtre de paquets.
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?). Voilà en passant par la méthode force (ou physique) cela devient contraignant.
Comme il a été souvent dit ici (cf les archives du ce ng sur google) le mieux étant de mettre une politque (charte) à faire signer aux utilisateurs. (En plus cela permet de dégager ± la responsabilité des admins sur l'usage illégal du SI de la boîte).
Voilà, courage.
FAb
Vincent GAUVIN <vincent.gauvin@ac-reims.fr-invalid.fr.invalid> writes:
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
Cela tient de la gageure !
La plupart des clients pouvant changer les ports de connexions
il est quasi impossible de les bloquer avec un filtre de paquets.
La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).
Voilà en passant par la méthode force (ou physique) cela devient
contraignant.
Comme il a été souvent dit ici (cf les archives du ce ng sur
google) le mieux étant de mettre une politque (charte) à faire
signer aux utilisateurs. (En plus cela permet de dégager ±
la responsabilité des admins sur l'usage illégal du SI de la
boîte).
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça?
Cela tient de la gageure ! La plupart des clients pouvant changer les ports de connexions il est quasi impossible de les bloquer avec un filtre de paquets.
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?). Voilà en passant par la méthode force (ou physique) cela devient contraignant.
Comme il a été souvent dit ici (cf les archives du ce ng sur google) le mieux étant de mettre une politque (charte) à faire signer aux utilisateurs. (En plus cela permet de dégager ± la responsabilité des admins sur l'usage illégal du SI de la boîte).
Voilà, courage.
FAb
Rascal Le Chacal
Vincent GAUVIN à écrit:
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça? j'ai essayé mais je sèche.
Pas trop compris, mais un firewall avec Iptables, la règle la plus simple est de tout interdire et en suite d'autoriser l'ouverture des ports utiles. pour exemple: http://lea-linux.org/reseau/iptables.html
-- Il faudrait donc pondérer les votes blancs d'un coefficient variable en fonction de la latitude et de la hauteur calculée sur le niveau moyen des marées (la Gelbique est plus grande à marée basse, c'est bien connu). -+- JPK in: Guide du Cabaliste Usenet - Bien configurer sa Gelbique -+-
Vincent GAUVIN à écrit:
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
Pas trop compris, mais un firewall avec Iptables, la règle la plus simple est
de tout interdire et en suite d'autoriser l'ouverture des ports utiles.
pour exemple:
http://lea-linux.org/reseau/iptables.html
--
Il faudrait donc pondérer les votes blancs d'un coefficient variable en
fonction de la latitude et de la hauteur calculée sur le niveau moyen des
marées (la Gelbique est plus grande à marée basse, c'est bien connu).
-+- JPK in: Guide du Cabaliste Usenet - Bien configurer sa Gelbique -+-
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça? j'ai essayé mais je sèche.
Pas trop compris, mais un firewall avec Iptables, la règle la plus simple est de tout interdire et en suite d'autoriser l'ouverture des ports utiles. pour exemple: http://lea-linux.org/reseau/iptables.html
-- Il faudrait donc pondérer les votes blancs d'un coefficient variable en fonction de la latitude et de la hauteur calculée sur le niveau moyen des marées (la Gelbique est plus grande à marée basse, c'est bien connu). -+- JPK in: Guide du Cabaliste Usenet - Bien configurer sa Gelbique -+-
JustMe
FAb wrote:
La plupart des clients pouvant changer les ports de connexions
les ports locaux, pas les ports distants
Comme la NAT empeche de rentrer, seuls les ports distants comptent. Et comme 99% des autres utilisateurs laissent les valeurs par défaut...
Avec un bon blocage "stealth" les utilisateurs d'ed2k auront de si pietres performances qu'ils arreteront d'eux memes :-)
FAb wrote:
La plupart des clients pouvant changer les ports de connexions
les ports locaux, pas les ports distants
Comme la NAT empeche de rentrer, seuls les ports distants comptent. Et
comme 99% des autres utilisateurs laissent les valeurs par défaut...
Avec un bon blocage "stealth" les utilisateurs d'ed2k auront de si
pietres performances qu'ils arreteront d'eux memes :-)
La plupart des clients pouvant changer les ports de connexions
les ports locaux, pas les ports distants
Comme la NAT empeche de rentrer, seuls les ports distants comptent. Et comme 99% des autres utilisateurs laissent les valeurs par défaut...
Avec un bon blocage "stealth" les utilisateurs d'ed2k auront de si pietres performances qu'ils arreteront d'eux memes :-)
Nicolas Pouillon
[25 Apr 2004 08:31:32 GMT] Vincent GAUVIN eut le bonheur d'ecrire:
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p http://sourceforge.net/projects/iptables-p2p/ je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de ports.
-- Nipo
[25 Apr 2004 08:31:32 GMT] Vincent GAUVIN eut le bonheur d'ecrire:
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p
http://sourceforge.net/projects/iptables-p2p/
je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais
teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de
ports.
[25 Apr 2004 08:31:32 GMT] Vincent GAUVIN eut le bonheur d'ecrire:
Ca donnerait quoi des règles iptables pour empêcher ça?
J'ai croise un module iptables qui matche precisement le p2p http://sourceforge.net/projects/iptables-p2p/ je ne sais pas dans quelle mesure il est fiable, ne l'ayant jamais teste. Il aura pprobablement le merite d'etre plus fiable qu'un match de ports.
-- Nipo
Vincent Bernat
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers 11:07, FAb disait:
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?).
Et les clients P2P utiliseront alors ceux-là. -- BOFH excuse #304: routing problems on the neural net
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers
11:07, FAb <g0up1l.at.yahoo.fr@yahoo.fr> disait:
La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).
Et les clients P2P utiliseront alors ceux-là.
--
BOFH excuse #304:
routing problems on the neural net
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers 11:07, FAb disait:
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?).
Et les clients P2P utiliseront alors ceux-là. -- BOFH excuse #304: routing problems on the neural net
JustMe
Vincent Bernat wrote:
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers 11:07, FAb disait:
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?).
Et les clients P2P utiliseront alors ceux-là.
cf. <408b8148$0$26435$
Vincent Bernat wrote:
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers
11:07, FAb <g0up1l.at.yahoo.fr@yahoo.fr> disait:
La seule solution est (qui est valable) est de couper tout
accès sortant. Puis authoriser certains ports définis et
uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp
... ssh?, IM?, h323?).
OoO En cette fin de matinée radieuse du dimanche 25 avril 2004, vers 11:07, FAb disait:
La seule solution est (qui est valable) est de couper tout accès sortant. Puis authoriser certains ports définis et uniquement ceux-là (définition de vos besoin : http, ftp, pop, smtp ... ssh?, IM?, h323?).
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça? j'ai essayé mais je sèche. (...) merci de votre aide.
Bonjour,
je me suis rendu compte que Kazaa essayait les port ftp si ses ports habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier) cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup, il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi :o)) xy
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl
ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont
certaines me pompent de la bp à longueur de journées avec de l'emule et du
kazaa. Les ports utilisés sont 4661 et 4662.
Ca donnerait quoi des règles iptables pour empêcher ça?
j'ai essayé mais je sèche.
(...)
merci de votre aide.
Bonjour,
je me suis rendu compte que Kazaa essayait les port ftp si ses ports
habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de
temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela
règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu
mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille
les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier)
cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup,
il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi
:o))
xy
Soit une passerelle (2.4.20) avec eth0 (192.168.1.1) eth1(10.0.0.1) - adsl ppp0 -masquerade iptables et des stations win$(192.168.1.10 à 100) dont certaines me pompent de la bp à longueur de journées avec de l'emule et du kazaa. Les ports utilisés sont 4661 et 4662. Ca donnerait quoi des règles iptables pour empêcher ça? j'ai essayé mais je sèche. (...) merci de votre aide.
Bonjour,
je me suis rendu compte que Kazaa essayait les port ftp si ses ports habituels étaient bloqués. Mais comme j'ai besoin d'ouvrir le ftp de temps en temps, c'est embêtant. Si tu n'a pas besoin de FTP cela règle ton problème. Il y a un autre moyen détourné mais rigolo. Tu mets Ad-aware en auto au démarrage de tes machines Win$. Il bouzille les Spyware et cookies indésirables mais aussi un (ou deux, a vérifier) cookie de session ou prog nécessaire au fonctionnement de Kazaa. Du coup, il faut réinstaller Kazaa tout les jours. Ils se sont lassé chez moi :o)) xy
Come BERBAIN
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80
donc a moins de ne pas avoir de connexion internet...
La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy
les connexionx de P2P.
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
FAb
Come BERBAIN writes:
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
proxy ftp aussi... Le coup de la massue pour mauvais usage du système d'information et de mise en danger du dit système peut-être efficace.
«Je ne dis pas que ce n'est pas injuste, je dis que ça soulage» (Les tontons flingueurs)
FAb
Come BERBAIN <berbain@ensta.fr> writes:
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80
donc a moins de ne pas avoir de connexion internet...
La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy
les connexionx de P2P.
proxy ftp aussi...
Le coup de la massue pour mauvais usage du système d'information
et de mise en danger du dit système peut-être efficace.
«Je ne dis pas que ce n'est pas injuste, je dis que ça soulage»
(Les tontons flingueurs)
Un filtrage de port n'est pas suffisant, Kazaa est capable d'utiliser le port 80 donc a moins de ne pas avoir de connexion internet... La solution consiste a coller un proxy sur port 80 et a faire exploser au proxy les connexionx de P2P.
proxy ftp aussi... Le coup de la massue pour mauvais usage du système d'information et de mise en danger du dit système peut-être efficace.
«Je ne dis pas que ce n'est pas injuste, je dis que ça soulage» (Les tontons flingueurs)