Hozzászólások
Üdv Mindenki!
Lenne egy olyan problematikám, hogy egy iptables + NAT + squid + squidGuard gateway gépen valahogy tiltani szeretném a CD++ forgalmakat.
Ahogy észrevettem, ezt egy egyszerű port tiltással nem lehet megoldani, így arra gondoltam, hogy esetleg squidGuard blacklistet létrehozni, amiben fel vannak sorolva a tiltandó DC++ hubok.
Kérdés:
1.) van valami egyszerű módja, hogy a DC++ forgalmakat le lehessen tiltani?
2.) van olyan szerver, ahonnan a DC++ hubok listája text fájlként letölthető?
- A hozzászóláshoz be kell jelentkezni
Nézd meg ezt hátha segít : KATT bár lehet kicsit elvault mert azóta sokat fejlődöt a DC++-is.
- A hozzászóláshoz be kell jelentkezni
Esetleg a layer7-en?
- A hozzászóláshoz be kell jelentkezni
sajnos a jokepessegu felhasznalok szamara nem fogod tudni letiltani, ellenben a maradek 99% ellen jo az ha a tuzfalon dropolsz mindent (kifele is, tuzfalgeprol is) es azt es csak azt engeded amit szeretnel.
- A hozzászóláshoz be kell jelentkezni
[quote:97d7a44ad8="polya"]sajnos a jokepessegu felhasznalok szamara nem fogod tudni letiltani, ellenben a maradek 99% ellen jo az ha a tuzfalon dropolsz mindent (kifele is, tuzfalgeprol is) es azt es csak azt engeded amit szeretnel.
Tehát öszvissz két oldalt engedélyezzek? www.hup.hu és www.linuxforum.hu?
- A hozzászóláshoz be kell jelentkezni
Akkár vagy csak két portott engedélyezel a tüz falon 80as-t meg a 22est vagy is én így oldotam meg:[code:1:73738af69b]iptables -F
iptables -Z
iptables -F -t nat
iptables -Z -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 6667 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ! lo -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ! ppp0 -j ACCEPT
iptables -A FORWARD -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -j LOG_DROP
[/code:1:73738af69b]
Persze a ppp0 helyére a neked meg felelőt kell írnod gondolom nem ADSL van ott :).
- A hozzászóláshoz be kell jelentkezni
o_O:
A gond csak az, hogy a dc++ kliensek tudnak passive módban is műkszeni, így ez a lehetőség alapból kilőve. (Erre már rájöttek azok a fránya cd++ használók)
- A hozzászóláshoz be kell jelentkezni
Visszont amit adtam p2pés cuccot meg nézhetnéd mert hasznos lehet.
ált. ezzeket hasznáják a userek:[code:1:1c461a0179]* Magyar lista : http://www.dcinfo.org/hungaryhublist.config.bz2
* Magyar lista : http://www.dcinfo.org/hungaryhublist.xml.bz2
* Osszesitett lista : http://www.dcinfo.org/publichublist.config.bz2[/code:1:1c461a0179] probáld meg ezzeket tiltani.
- A hozzászóláshoz be kell jelentkezni
[quote:85a2859c23="o_O"]Visszont amit adtam p2pés cuccot meg nézhetnéd mert hasznos lehet.
ált. ezzeket hasznáják a userek:[code:1:85a2859c23]* Magyar lista : http://www.dcinfo.org/hungaryhublist.config.bz2
* Magyar lista : http://www.dcinfo.org/hungaryhublist.xml.bz2
* Osszesitett lista : http://www.dcinfo.org/publichublist.config.bz2[/code:1:85a2859c23] probáld meg ezzeket tiltani.
Kösz, elsőre jónak tűnik. Remélem, mindegyik 2.6-os kernellel műkszik, mivel grsecurity patchet is használok, márpedig azon legújabb kiadása a 2.6.11.12 kernelhez való :-)
- A hozzászóláshoz be kell jelentkezni
Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.
- A hozzászóláshoz be kell jelentkezni
olyan sok szep hozzaszolast olvastam ebben a topicban hogy az csak na :) kozvetlenul a nyito ugyebar, o a dc++ forgalmat akarja tiltani :) tehat valknutolni lehet :)
aztan a kovetkezo "dc++ kliensek" tobb is van?:) sztem a dc++ eleve egy kliens :) max tobb verzio van belole. meg van meg a "dc++ hubok", olyanrol se hallottam meg, mivel ismetelten, a dc++ egy kliens:)
najo :)))
- A hozzászóláshoz be kell jelentkezni
Hi!
Es a Skype-ot miert kell tiltani?
By(t)e
TBS::Antiemes
- A hozzászóláshoz be kell jelentkezni
[quote:481ca8b1b9="o_O"]Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.
csinálj egy iptables logot, és nézd meg, hogy milyen szerverhez akarcsatlakozni. Aztán azt tiltsad.
- A hozzászóláshoz be kell jelentkezni
[quote:42a160153d="Madman"]olyan sok szep hozzaszolast olvastam ebben a topicban hogy az csak na :) kozvetlenul a nyito ugyebar, o a dc++ forgalmat akarja tiltani :) tehat valknutolni lehet :)
aztan a kovetkezo "dc++ kliensek" tobb is van?:) sztem a dc++ eleve egy kliens :) max tobb verzio van belole. meg van meg a "dc++ hubok", olyanrol se hallottam meg, mivel ismetelten, a dc++ egy kliens:)
najo :)))
Sajna fingom sincs, hogy egy, vagy több kliens van rá. Ezért használtam többest.
Amúgy nézz körül a világban: a dc++ bizony, hogy bizonyos kiszolgálókhoz bejelentkezik, csalakozik, és aztán azok visszaigazolásával megy a p2p kapcsolat :-)
- A hozzászóláshoz be kell jelentkezni
Talán , hogy a dolgozok munka idejükbe ne azon logjanak hanem dolgoznak talán azért?.Attól még , hogy van net nem azt jelenti , hogy azon kell logni.
- A hozzászóláshoz be kell jelentkezni
[quote:eaf54164b5="antiemes"]
Es a Skype-ot miert kell tiltani?
1.) Hat, fene tudja, en nem bizom azokban, akik a Kazaa-t irtak :)
Bar igaz ami igaz, a strace szerint a linuxos Skype nem piszkal olyasmihez, amihez nem kellene.
2.) Mert pl. a ceg nem azert fizetett elo interntere, hogy a kedves kollegano munkaidoben csacsogjon masik munkahelyen "dolgozo" szinten nem ezert fizetett baratnojevel.
- A hozzászóláshoz be kell jelentkezni
[quote:9e0e617cba="o_O"]Talán , hogy a dolgozok munka idejükbe ne azon logjanak hanem dolgoznak talán azért?.Attól még , hogy van net nem azt jelenti , hogy azon kell logni.
Ez egy kollégium lenne.
Márpedig ott a bentlakók mindent csinálnak, csak nem dolgoznak :-(
- A hozzászóláshoz be kell jelentkezni
[quote:d5bed14723="o_O"]Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.
Jo,jo, hogy 80-as port, de http protokollt hasznal rajta? Mert ha nem, akkor az elso proxy-n hasraesik...
- A hozzászóláshoz be kell jelentkezni
Hi!
Orpheus + Madman hozzaszolasara:
A protokoll neve Direct Connect (DC)
A kliens neve DC++, Valknut, rmDC++, meg meg van par.
A protokollt akarod tiltani, nem a klienst. Ez olyan, mintha a mIrc-et vagy a Gaim-ot akarnad tiltani, vagy ha a RIAA az XMMS, az ASVA meg pl. az MPlayer ellen kuzdene.
By(t)e
TBS::Antiemes
- A hozzászóláshoz be kell jelentkezni
[quote:316b837606="antiemes"]Hi!
Orpheus + Madman hozzaszolasara:
A protokoll neve Direct Connect (DC)
A kliens neve DC++, Valknut, rmDC++, meg meg van par.
A protokollt akarod tiltani, nem a klienst. Ez olyan, mintha a mIrc-et vagy a Gaim-ot akarnad tiltani, vagy ha a RIAA az XMMS, az ASVA meg pl. az MPlayer ellen kuzdene.
By(t)e
TBS::Antiemes
A javítás jogos, de azért nindenki sejtette hogy nagyjából miről is van szó. :D
- A hozzászóláshoz be kell jelentkezni
A klienseket alapja ugyan az ugy , hogy ily modon nekünk csak az kell , hogy az alap dolgokat , hogy tudjuk tiltani.Szerintem magát a p2p kellene tiltani igaz akkor sok mindent letiltanál köztük a mircet is.
- A hozzászóláshoz be kell jelentkezni
[quote:6986a53389="orpheus"]Üdv Mindenki!
Lenne egy olyan problematikám, hogy egy iptables + NAT + squid + squidGuard gateway gépen valahogy tiltani szeretném a CD++ forgalmakat.
Ahogy észrevettem, ezt egy egyszerű port tiltással nem lehet megoldani, így arra gondoltam, hogy esetleg squidGuard blacklistet létrehozni, amiben fel vannak sorolva a tiltandó DC++ hubok.
Kérdés:
1.) van valami egyszerű módja, hogy a DC++ forgalmakat le lehessen tiltani?
2.) van olyan szerver, ahonnan a DC++ hubok listája text fájlként letölthető?
ha a díszít kitiltod akkor minek net?
- A hozzászóláshoz be kell jelentkezni
[quote:81fe5bf461="suti"]
ha a díszít kitiltod akkor minek net?
Gondolom Te is csak "csetelni" jársz, mint minden rendes állampolgár :twisted:
- A hozzászóláshoz be kell jelentkezni
Hi!
Nyilvan.
A hub chatkent szolgal! :DD Egyebkent van egy haverom, akinek a szomszedjaval man megosztva az ADSL, es ez a szomszed mindig DC-zik, igy elegge terheli a savszelt. De nem tolt am, csak chatel. Komolyan. A hajszine es a neme gondolom mindenkinek trivialis.
By(t)e
TBS::Antiemes
- A hozzászóláshoz be kell jelentkezni
[quote:933bae3bf4="antiemes"]Hi!
Nyilvan.
A hub chatkent szolgal! :DD Egyebkent van egy haverom, akinek a szomszedjaval man megosztva az ADSL, es ez a szomszed mindig DC-zik, igy elegge terheli a savszelt. De nem tolt am, csak chatel. Komolyan. A hajszine es a neme gondolom mindenkinek trivialis.
By(t)e
TBS::Antiemes
Hmm kék transzvesztita? :D
- A hozzászóláshoz be kell jelentkezni
[quote:2e65559453="_Polesz_"][quote:2e65559453="suti"]
ha a díszít kitiltod akkor minek net?
Gondolom Te is csak "csetelni" jársz, mint minden rendes állampolgár :twisted:
mint állat :)
bár mostanában több mint 90%-ban inkább már csak torrent, mindig az új múvikat kell követni meg ilyenek ... legalább szinkronban tartom kicsiny angolnyelvtudásomat :)
- A hozzászóláshoz be kell jelentkezni
madman: te mindig csak kotexel :)
az az iptables reszlet nem feltetlen rossz - 1 nagy hibaja van:
iptables -P OUTPUT ACCEPT
es tobb kisebb:
nem ACCEPT egybol az estabilshed,related...
mondom dropolj mindent es engedd a 53,80,22,25,110,143,443 as portot
de ezek kozul a 53,80,25,443-at csak a tuzfal-tol es a tuzfal-ra keresztul ne( persze 1 dns es smtp proxykell ra) nem art egy pop3,imap transproxy sem es ha a 22-es portot is csak protokol szinten engeded at akkor mar csak a httpproxy-d nak kell nekifogni beloni hogy ne menjen at rajta az rcp over http es tunnelek a http n keresztul. ekkor meg mindig megoldhato a dc, de kb meg egy 9est odatettel ahoz a %hoz aki nemtud atmenni. ja es ha keszvagy 1 hetig ne menj be hogy nelkuled szokjak az uj policy-t ;D
- A hozzászóláshoz be kell jelentkezni