p2p blokkolasa

Linux-kezdő

hi,

Mivel, és hogyan lehet blokkolni p2p, amule,frostwire,stb, illetve torrent forgalmat egy hálózatból kifelé ? iptables ?

  • 2576 megtekintés

( dejo v | 2008. 01. 23., sze – 13:32 )

Sajnos nem tudom, de ha valaki tudna jó megoldást, akkor jó lenne úgy tovább fejleszteni, hogy a torrent forgalom észlelése esetén az adott munkaállomás IP-címét megadott időre blokkolja.
Tehát ha torrenttel próbálkozik, akkor utána (mondjuk) 30 percig még a böngésző sem megy.

Es/vagy l7-filter. (amule -> edonkey)

Egyebkent sem az IPP2Pt, sem az l7-filtert nem arra talaltak ki, hogy szimplan blokkold a forgalmat (-j DROP), hanem hogy jelold (-j MARK/CLASSIFY), es igy korlatozd a hasznalhato savszelt. Indoklast talalsz az l7-filter oldalan.

Az end-to-end titkositott P2P szurese pedig nem lehetetlen, de remenytelen.

Szerintem is l-7filter jó ötlet. Vagy kérdezz rá V*phone-ra, ők hogy csinálják mobilnetjükön ;)
Sajnos ha ssh-n keresztülkergetik akkor tényleg nehéz lesz. Esetleg ha sikerülne "mintázatokat" találni forgalomban (syn,ack száma, csomagméretek, hirtelen ugrások stb.) a fejlécfigyelés helyett...

( 1g0R | 2008. 01. 23., sze – 14:58 )

Ezt kérte egy cég, hogy ne legyen semmilyen letöltögetés.Tényleg majdnem megoldhatatlan kérés ez ?
Más megoldás esetleg ?

--
Unfortunately, no one can be told what The Matrix is. You have to see it for yourself.

( Winter | 2008. 01. 23., sze – 15:02 )

Kezdő vagyok a témában de talán ha a fontosabb trackereket blokkolnád, már az is használna vmit.
(Csak ötlet)
_
SuSe 10.3 Semmi cicó.

Itt van egykis alapanyag csoportosítva:
http://www.torrentking.org/
http://bittorrent.lap.hu/

Hozzávéve még a mininova által gyakran használt trackereket:
* http://open.tracker.thepiratebay.org/announce
* http://www.torrent-downloads.to:2710/announce
* http://denis.stalker.h3q.com:6969/announce
* udp://denis.stalker.h3q.com:6969/announce
* http://www.sumotracker.com/announce
* http://pirates.sumotracker.com/announce
http://inferno.demonoid.com

_
SuSe 10.3 Semmi cicó.

( atisvagyok | 2008. 01. 23., sze – 15:08 )

Az nem lenne járhatóbb út, ha mindent tiltanál és csak a szükséges portokat engedélyeznéd?
Így nem kéne mindent egyesével tiltani...

Szerintem gyorsan elvérezne a mozgó portokon (pl. egyesek meg tudják keresni adott porttartományon belül az első szabadot, vagy egyszerűen 80-ason keresztül közlekednek ; ssh-ba ágyazva stb.). Annyit segíthet talán a dolgon, hogy adott porthoz tartozó tipikus protokollt meghatározza, figyel a szegmensméretekre és blokkol kicsit/nagyot stb. Ezt vegyítve egy - könnyen kijátszható - böngészőazonosítással ill. kötelező proxyhasználattal+ felhasználó azonosítással és portonként/felhasználónként hálózati forgalomméréssel nehezíthető a dolguk, de nem lehetetlen trükközni így sem.

Amíg be nem tereli a forgalmat egy SSL-es portra (squid defaultból 443-mat és 563-mat kiengedi CONNECT-tel).

Éles példa: ssh dynamic portforward (socks), kint 443-mason figyel az sshd.
Eredmény: bármilyen forgalom kimegy a squideden keresztül, ellenőrizhetetlenül.
Védekezés: CONNECT tiltása.
Mellékhatás: nincs HTTPS :(

( chichken | 2008. 01. 23., sze – 16:33 )

Mikrotik alatt 2.9.x-es szoftverrel működött bármilyen p2p forgalom jelölése, kivéve a titkosítottat.
3.x -től fejlesztettek a jelölésen, elvileg már a titkosított kapcsolatokkal is boldogul.

Ha jól tudom ugyanazokat az eszközöket használják erre a célra, amit linux-ban is megtalálsz.

Jelenleg 2.9.x -el használom, köv héten lesznek frissítve érintett routereim 3.0-ra, akkor tudok
további infót adni.

man in the middle-lel layer 4(vagy a folotti) eszkozokkel lehet szurni, chello is igy csinalja, van/volt is neki itt topicja huppon, csak egy ilyen eszkoz nem 2 filler (ha meg pc-bol csinalod meg, es sok gep van emogott a tuzfal mogott, akkor szvsz vagy kell ala normalis vas, vagy nagyon lassitani fogja a halozatot (mindenki helyett handshakel, titkosit, oda vissza intezkedik, konyveli a forgalmat[bar azt amugy is] es mindezt realtime))

Tyrael