DC++ tiltása tűzfalon

Web, mail, IRC, IM, hálózatok

DC++ tiltása tűzfalon

  • 4126 megtekintés

( orpheus | 2005. 10. 20., cs – 16:39 )

Üdv Mindenki!
Lenne egy olyan problematikám, hogy egy iptables + NAT + squid + squidGuard gateway gépen valahogy tiltani szeretném a CD++ forgalmakat.
Ahogy észrevettem, ezt egy egyszerű port tiltással nem lehet megoldani, így arra gondoltam, hogy esetleg squidGuard blacklistet létrehozni, amiben fel vannak sorolva a tiltandó DC++ hubok.
Kérdés:
1.) van valami egyszerű módja, hogy a DC++ forgalmakat le lehessen tiltani?
2.) van olyan szerver, ahonnan a DC++ hubok listája text fájlként letölthető?

( o_O v | 2005. 10. 20., cs – 17:07 )

Nézd meg ezt hátha segít : KATT bár lehet kicsit elvault mert azóta sokat fejlődöt a DC++-is.

( polya v | 2005. 10. 20., cs – 17:25 )

sajnos a jokepessegu felhasznalok szamara nem fogod tudni letiltani, ellenben a maradek 99% ellen jo az ha a tuzfalon dropolsz mindent (kifele is, tuzfalgeprol is) es azt es csak azt engeded amit szeretnel.

( orpheus | 2005. 10. 20., cs – 17:47 )

[quote:97d7a44ad8="polya"]sajnos a jokepessegu felhasznalok szamara nem fogod tudni letiltani, ellenben a maradek 99% ellen jo az ha a tuzfalon dropolsz mindent (kifele is, tuzfalgeprol is) es azt es csak azt engeded amit szeretnel.

Tehát öszvissz két oldalt engedélyezzek? www.hup.hu és www.linuxforum.hu?

( o_O v | 2005. 10. 20., cs – 17:59 )

Akkár vagy csak két portott engedélyezel a tüz falon 80as-t meg a 22est vagy is én így oldotam meg:[code:1:73738af69b]iptables -F
iptables -Z
iptables -F -t nat
iptables -Z -t nat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 6667 -m state --state NEW -j ACCEPT
iptables -A INPUT -i ! lo -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ! ppp0 -j ACCEPT

iptables -A FORWARD -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
iptables -A INPUT -j LOG_DROP
[/code:1:73738af69b]
Persze a ppp0 helyére a neked meg felelőt kell írnod gondolom nem ADSL van ott :).

( orpheus | 2005. 10. 20., cs – 18:13 )

o_O:
A gond csak az, hogy a dc++ kliensek tudnak passive módban is műkszeni, így ez a lehetőség alapból kilőve. (Erre már rájöttek azok a fránya cd++ használók)

( o_O v | 2005. 10. 20., cs – 18:36 )

Visszont amit adtam p2pés cuccot meg nézhetnéd mert hasznos lehet.
ált. ezzeket hasznáják a userek:[code:1:1c461a0179]* Magyar lista : http://www.dcinfo.org/hungaryhublist.config.bz2
* Magyar lista : http://www.dcinfo.org/hungaryhublist.xml.bz2
* Osszesitett lista : http://www.dcinfo.org/publichublist.config.bz2[/code:1:1c461a0179] probáld meg ezzeket tiltani.

( orpheus | 2005. 10. 20., cs – 19:01 )

[quote:85a2859c23="o_O"]Visszont amit adtam p2pés cuccot meg nézhetnéd mert hasznos lehet.
ált. ezzeket hasznáják a userek:[code:1:85a2859c23]* Magyar lista : http://www.dcinfo.org/hungaryhublist.config.bz2
* Magyar lista : http://www.dcinfo.org/hungaryhublist.xml.bz2
* Osszesitett lista : http://www.dcinfo.org/publichublist.config.bz2[/code:1:85a2859c23] probáld meg ezzeket tiltani.

Kösz, elsőre jónak tűnik. Remélem, mindegyik 2.6-os kernellel műkszik, mivel grsecurity patchet is használok, márpedig azon legújabb kiadása a 2.6.11.12 kernelhez való :-)

( o_O v | 2005. 10. 20., cs – 19:12 )

Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.

( Madman | 2005. 10. 20., cs – 19:21 )

olyan sok szep hozzaszolast olvastam ebben a topicban hogy az csak na :) kozvetlenul a nyito ugyebar, o a dc++ forgalmat akarja tiltani :) tehat valknutolni lehet :)
aztan a kovetkezo "dc++ kliensek" tobb is van?:) sztem a dc++ eleve egy kliens :) max tobb verzio van belole. meg van meg a "dc++ hubok", olyanrol se hallottam meg, mivel ismetelten, a dc++ egy kliens:)
najo :)))

( antiemes | 2005. 10. 20., cs – 19:25 )

Hi!

Es a Skype-ot miert kell tiltani?

By(t)e
TBS::Antiemes

( orpheus | 2005. 10. 20., cs – 19:34 )

[quote:481ca8b1b9="o_O"]Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.

csinálj egy iptables logot, és nézd meg, hogy milyen szerverhez akarcsatlakozni. Aztán azt tiltsad.

( orpheus | 2005. 10. 20., cs – 19:39 )

[quote:42a160153d="Madman"]olyan sok szep hozzaszolast olvastam ebben a topicban hogy az csak na :) kozvetlenul a nyito ugyebar, o a dc++ forgalmat akarja tiltani :) tehat valknutolni lehet :)
aztan a kovetkezo "dc++ kliensek" tobb is van?:) sztem a dc++ eleve egy kliens :) max tobb verzio van belole. meg van meg a "dc++ hubok", olyanrol se hallottam meg, mivel ismetelten, a dc++ egy kliens:)
najo :)))

Sajna fingom sincs, hogy egy, vagy több kliens van rá. Ezért használtam többest.
Amúgy nézz körül a világban: a dc++ bizony, hogy bizonyos kiszolgálókhoz bejelentkezik, csalakozik, és aztán azok visszaigazolásával megy a p2p kapcsolat :-)

( o_O v | 2005. 10. 20., cs – 19:39 )

Talán , hogy a dolgozok munka idejükbe ne azon logjanak hanem dolgoznak talán azért?.Attól még , hogy van net nem azt jelenti , hogy azon kell logni.

( miq | 2005. 10. 20., cs – 19:39 )

[quote:eaf54164b5="antiemes"]
Es a Skype-ot miert kell tiltani?

1.) Hat, fene tudja, en nem bizom azokban, akik a Kazaa-t irtak :)
Bar igaz ami igaz, a strace szerint a linuxos Skype nem piszkal olyasmihez, amihez nem kellene.

2.) Mert pl. a ceg nem azert fizetett elo interntere, hogy a kedves kollegano munkaidoben csacsogjon masik munkahelyen "dolgozo" szinten nem ezert fizetett baratnojevel.

( orpheus | 2005. 10. 20., cs – 19:41 )

[quote:9e0e617cba="o_O"]Talán , hogy a dolgozok munka idejükbe ne azon logjanak hanem dolgoznak talán azért?.Attól még , hogy van net nem azt jelenti , hogy azon kell logni.

Ez egy kollégium lenne.
Márpedig ott a bentlakók mindent csinálnak, csak nem dolgoznak :-(

( miq | 2005. 10. 20., cs – 19:43 )

[quote:d5bed14723="o_O"]Remélem sikerül :).Mondjuk már csak 1 dolgott nem tudok a Skypot , hogy lehetne tiltani mert azért az egy elégé furra dolog mivel a 80as portott hasznája meg még valamit de eddig nem találtam a netenrá írást.

Jo,jo, hogy 80-as port, de http protokollt hasznal rajta? Mert ha nem, akkor az elso proxy-n hasraesik...

( antiemes | 2005. 10. 20., cs – 19:44 )

Hi!

Orpheus + Madman hozzaszolasara:
A protokoll neve Direct Connect (DC)
A kliens neve DC++, Valknut, rmDC++, meg meg van par.

A protokollt akarod tiltani, nem a klienst. Ez olyan, mintha a mIrc-et vagy a Gaim-ot akarnad tiltani, vagy ha a RIAA az XMMS, az ASVA meg pl. az MPlayer ellen kuzdene.

By(t)e
TBS::Antiemes

( jaci | 2005. 10. 20., cs – 19:50 )

[quote:316b837606="antiemes"]Hi!

Orpheus + Madman hozzaszolasara:
A protokoll neve Direct Connect (DC)
A kliens neve DC++, Valknut, rmDC++, meg meg van par.

A protokollt akarod tiltani, nem a klienst. Ez olyan, mintha a mIrc-et vagy a Gaim-ot akarnad tiltani, vagy ha a RIAA az XMMS, az ASVA meg pl. az MPlayer ellen kuzdene.

By(t)e
TBS::Antiemes

A javítás jogos, de azért nindenki sejtette hogy nagyjából miről is van szó. :D

( o_O v | 2005. 10. 20., cs – 20:07 )

A klienseket alapja ugyan az ugy , hogy ily modon nekünk csak az kell , hogy az alap dolgokat , hogy tudjuk tiltani.Szerintem magát a p2p kellene tiltani igaz akkor sok mindent letiltanál köztük a mircet is.

( suti | 2005. 10. 20., cs – 20:43 )

[quote:6986a53389="orpheus"]Üdv Mindenki!
Lenne egy olyan problematikám, hogy egy iptables + NAT + squid + squidGuard gateway gépen valahogy tiltani szeretném a CD++ forgalmakat.
Ahogy észrevettem, ezt egy egyszerű port tiltással nem lehet megoldani, így arra gondoltam, hogy esetleg squidGuard blacklistet létrehozni, amiben fel vannak sorolva a tiltandó DC++ hubok.
Kérdés:
1.) van valami egyszerű módja, hogy a DC++ forgalmakat le lehessen tiltani?
2.) van olyan szerver, ahonnan a DC++ hubok listája text fájlként letölthető?

ha a díszít kitiltod akkor minek net?

( Polesz v | 2005. 10. 20., cs – 21:32 )

[quote:81fe5bf461="suti"]
ha a díszít kitiltod akkor minek net?

Gondolom Te is csak "csetelni" jársz, mint minden rendes állampolgár :twisted:

( antiemes | 2005. 10. 20., cs – 22:22 )

Hi!

Nyilvan.
A hub chatkent szolgal! :DD Egyebkent van egy haverom, akinek a szomszedjaval man megosztva az ADSL, es ez a szomszed mindig DC-zik, igy elegge terheli a savszelt. De nem tolt am, csak chatel. Komolyan. A hajszine es a neme gondolom mindenkinek trivialis.

By(t)e
TBS::Antiemes

( Polesz v | 2005. 10. 20., cs – 22:37 )

[quote:933bae3bf4="antiemes"]Hi!

Nyilvan.
A hub chatkent szolgal! :DD Egyebkent van egy haverom, akinek a szomszedjaval man megosztva az ADSL, es ez a szomszed mindig DC-zik, igy elegge terheli a savszelt. De nem tolt am, csak chatel. Komolyan. A hajszine es a neme gondolom mindenkinek trivialis.

By(t)e
TBS::Antiemes

Hmm kék transzvesztita? :D

( suti | 2005. 10. 20., cs – 23:21 )

[quote:2e65559453="_Polesz_"][quote:2e65559453="suti"]
ha a díszít kitiltod akkor minek net?

Gondolom Te is csak "csetelni" jársz, mint minden rendes állampolgár :twisted:

mint állat :)

bár mostanában több mint 90%-ban inkább már csak torrent, mindig az új múvikat kell követni meg ilyenek ... legalább szinkronban tartom kicsiny angolnyelvtudásomat :)

( polya v | 2005. 10. 21., p – 09:42 )

madman: te mindig csak kotexel :)
az az iptables reszlet nem feltetlen rossz - 1 nagy hibaja van:
iptables -P OUTPUT ACCEPT
es tobb kisebb:
nem ACCEPT egybol az estabilshed,related...

mondom dropolj mindent es engedd a 53,80,22,25,110,143,443 as portot
de ezek kozul a 53,80,25,443-at csak a tuzfal-tol es a tuzfal-ra keresztul ne( persze 1 dns es smtp proxykell ra) nem art egy pop3,imap transproxy sem es ha a 22-es portot is csak protokol szinten engeded at akkor mar csak a httpproxy-d nak kell nekifogni beloni hogy ne menjen at rajta az rcp over http es tunnelek a http n keresztul. ekkor meg mindig megoldhato a dc, de kb meg egy 9est odatettel ahoz a %hoz aki nemtud atmenni. ja es ha keszvagy 1 hetig ne menj be hogy nelkuled szokjak az uj policy-t ;D