Torrent letiltas

Linux-kezdő

Sziasztok!

A kovetkezo kerdesem lenne:
Adott egy debian woody rendszer mely egy kisebb ceges halozat mailkezeleset es internet megosztasat latott ellatni.
Iptables-el szurogeti es kuldi a csomagokat. Mivel nehanyan a cegnel raszoktak a torrent kliensek hasznalatara, errol szeretnem oket leszoktatni, pontosabban letiltani.
A kovetkezovel probalkoztam az IPtablesben:

#6881-es torrent port letiltasa mindenhonnan
iptables -A INPUT -p tcp --dport 6881 -j DROP
iptables -A INPUT -p udp --dport 6881 -j DROP

Hasonlo keppen letiltottam meg nehany hasznalatos torrent portot.
Ennek ellenere megy a torrentezes. Erdekes modon a 6881 portot letiltom, de az Azerus (amely pont ezt a portot hasznalja) megis tud le- illetve feltolteni.

Mi lehet a gond?

Van valami egyszerubb mod a torrent kiszuresere, hiszem a utotorrent kliens peldaul kepes a portokat veletlenszeruan valtogatni?

  • 11554 megtekintés

( petya | 2007. 01. 03., sze – 08:17 )

Netfilterhez van valami --match p2p patch, azt hasznald erre.

( zaphodb v | 2007. 01. 03., sze – 09:27 )

miért nem tiltasz le mindent és azt engedélyezed ami muszáj?

( turul16 v | 2007. 01. 03., sze – 09:33 )

FORWARD szabály, ha routeren vagy nem INPUT.

hiaba allitasz be barmilyen portot a p2p kliensben ha azt a router nem forwardolja az adott gepre max passzivban fog menni, masreszt az udp forgalmat kell masszivan tiltani. sztem a legjobb megoldas ha a masquerade kivan kapcsolva az adott szegmensre es felteszel egy proxyt amit finomabban be tudsz allitani. azokat a protokolokat amit pedig nem tudsz proxyzni kezzel engedelyezed (pl kulso pop3 stb)
--
Tuddd gi: A Dörrög Zuldán, te hűjje!
(Rejtő Jenő: Az elátkozott part)

( sibidiba | 2007. 01. 03., sze – 11:31 )

p2p klienst olyan portra lehet állítani, amire csak szeretnéd, amit tiltottál, az legfeljebb a default

( apal v | 2007. 01. 03., sze – 11:57 )

mas torrentklienseknel (linux: btdownloadcurses es tarsai) is ez az alapertelmezett.

mindenesetre javallom en is a "mindent tilt e's csak azt engedelyez, ami tenyleg kell /es ahonnan kell/" elvet.

A.

( _Petya_ v | 2007. 01. 03., sze – 14:39 )

Üdv!

Azért engem érdekelne, hogyan is működik ez a p2p tiltás, illetve inkább a p2p sávszélesség korlátozása, prioritás beállítása ezekhez. Megköszönném ha valaki leírná ezeket, vagy ajánlana egy jó leírást hozzá.

Petya

( antiemes | 2007. 01. 03., sze – 19:55 )

Hi!

Ha beirok egy uj tuzfalszabalyt, akkor az a jelenleg aktiv kapcsolatokra is igaz lesz? Tehat megszakitja, ha az adott dolgot tiltom?

By(t)e
TBS::Antiemes

Nekem a tűzfal forward lánca a --state ESTABLISED -j ACCEPT -tel kezdődik általában, ezért az aktív kapcsolatok életben maradnak. De anno nekem is kellett egy-két dolgot tiltanom és még így is elég gyorsan letisztultak a csatlakozások.

ESTABLISED nélkül gondolom a következő packet már a default (DROP) policy-t követi.

Bye> vidokt

( Kayapo | 2007. 01. 03., sze – 22:35 )

Ezt vagy úgy csináld, hogy a webforgalom csak proxy-n squid-en keresztül mehet és ott meg szigorúan szűröd ki mikor torrentezhet, vagy belülről kifelé csak a fontos portok vannak:
- 20, 21
- 25, 110, 143
- 80, 443
Esetleg massenger (meszendzser nem tudom, hogy kell írni)

Ezen a problémán az iptables-p2p nem segít (...az ellen nemvéd...), valahol olvastam kernel patch -ekről is ami erre van kitenyésztve, de közelebbit nem tudok róla

Ennek ellenere megy a torrentezes. Erdekes modon a 6881 portot letiltom, de az Azerus (amely pont ezt a portot hasznalja) megis tud le- illetve feltolteni.

Na nyilván a portnyitogatás a közvetlen seedeléshez kell. Érdemes az "ellenséget" is megfelelően megismerni

( pwm | 2007. 01. 03., sze – 23:12 )

Azért a 443-as porton RC4-el futkorászó klienst sztem nem olyan egyszerű lelőni.

Hogy is szól a mondás...a türelem rózsát terem :)

Komolyra fordítva ezt csak ott lehet megcsinálni, ahol nincs jelentős adatforgalom https-en.
Sztem az egyik legegyszerűbb megoldás, ha megkérjük a kedves kollégát, hogy azonnal kapcsolja le, különben dádá lesz :)

( _Petya_ v | 2007. 01. 06., szo – 21:30 )

Üdv!

Feltettem az iptables-p2p-t. Ez azt eredményezte, hogy pl. az iptables -L lanc_neve -v -n -x több perc alatt sem ad eredményt, pedig korábban adott. Mi okozza ezt szerintetek? A forglom egyénként nem lassult le. Ha ki kell vennem a kernelmodult, akkor hogyan tudom ezt újraindítás nélkül, távolról megtenni?

szerk: valakinek van ötlete?

Petya

Üdv!

rmmod-al nem sikerült, mert module in use-t kaptam rá mindig. újra kellett indítani a gépet. Ha jól tudom ez az iptables-p2p modul automatikusan megjelöli a p2p csomagokat, így nekem csak azzal kell foglalkozni, hogy szűrjem őket.

Petya

( Tron | 2007. 01. 07., v – 09:04 )

Ez kell neked: http://www.ipp2p.org/
------------------------------------
[Debian Sarge; ASUS P4T533-4; 2.4GHz CPU; 512MB RAM; XFree86; FluxBox]

( dj | 2007. 01. 07., v – 10:17 )

Mivel cég-ről van szó, gondolom van munkahelyi szabályzat. Na ebben kell leírni, hogy a zinternetet mikor és mire használhatja a dolgozó. Ez a leghatékonyabb szűrő.
Üdv.

Nem olyan egyszerű, hiába szólsz neki, ha elfordulsz újra csinálja. A szabályzat sem ér semmit, ha még is csinálja beárulod???
Sajna az emberi butaság felülmúlhatatlan. Olyan is van aki panaszkodik, hogy nem tud 1 oldalt megnyitni, közben tölt mint egy ökör!!!!!
Én nem letiltani szeretném, hanem korlátozni, ha leveszem neki 20k-ra a kutyát nem érdekli mit csinál.
Csak nem tudom, hogy fogjak hozzá.

Ha van szabályzat, van mit lobogtatni, illetve van alapja a retorziónak. Érdemes az egyes gépeket rendszeresen átnézni, mi van felrakva, mi fut (ami nincs benne a cégpolicy szerinti listában, plusz az adott személyre engedélyezett cuccok között,a zért megintcsak lehet ...berúgatni.). Szerintem...

Vannak egyenlő emberek meg vannak egyenlőbbek. Van olyan ember aki megtudja magyarázni egy számítástechnikai szempontból tudatlan embernek, hogy amit Ő letölt az a cégnek kell, és a rendszergazda mint léhűtő hiába magyaráz.
"Az az ember aki egésznap a gép előtt ül, az nem dolgozik!!!"