[ Vb6 ] Bloccare Traffico Ip - Genymus

[Genymus]

Salve, ho bisogno di bloccare il traffico tcp/udp verso e da un ip su porte predefinite.

Per esempio:
Chiudere traffico in entrata da 192.16.20.1 su porta Tcp 1234
Chiudere traffico in uscita verso 192.16.20.2 su porta Udp 4321

Naturalmente mi servirebbe anche un modo per riaprirle.

Grazie
Ps: Premetto che il programma dovrà girare su macchine con Windows Xp con utenti limitati, e mi sarà impossibile registrare dll; non mi è concesso nemmeno modificare il firewall di windows.
Il winsock non è installato.
Se questa cosa è possibile con le limitazioni scritte quì sopra, bene. Altimenti postate lo stesso... il sapere umano appartiene al mondo...

Grazie in anticipo per le risposte.

[Genymus]

nessuno sa come fare?

[tomminno]

Su XP devi usare le packet filtering API incluse in iphlpapi.dll.
Su Vista eventualmente devi usare le Windows Filtering API.

[Genymus]

mi può fare un esempio su come utilizarle, riguardo il mio problema?
Grazie

[WarDuck]

Per il "verso" non può semplicemente mettersi un listening su quelle porte? O forse è troppo banale ?

Tra l'altro con le porte >1024 non dovresti avere particolari problemi come utente limitato

[tomminno]

Quote:

Originariamente inviato da Genymus

mi può fare un esempio su come utilizarle, riguardo il mio problema?
Grazie

Ah comunque con le api messe a disposizione da XP se si blocca una porta si blocca sia in ingresso che in uscita.
Se per te è necessario bloccare la porta in un senso solo allora devi per forza scriverti un driver.

Per usare le packet filtering api per prima cosa bisogna creare un'interfaccia, i filtri che si aggiungono a questa interfaccia eseguono il not della regola impostata dall'interfaccia, ovvero per bloccare solo alcune porte ip bisogna definire un'interfaccia che consente tutto il traffico e poi impostare i filtri per la combinazione porte/ip d'interesse.

In C è qualcosa di simile a questo:

Codice:

INTERFACE_HANDLE hInterface = NULL;
//Interfaccia permissiva
PfCreateInterface(0, PF_ACTION_FORWARD, PF_ACTION_FORWARD, FALSE, FALSE, &hInterface);

PF_FILTER_DESCRIPTOR filterDescriptorIn;
filterDescriptorIn.dwFilterFlags = FD_FLAGS_NOSYN;
filterDescriptorIn.dwRule        = 0;
filterDescriptorIn.pfatType      = PF_IPV4;
filterDescriptorIn.dwProtocol    = FILTER_PROTO_ANY;//Puoi anche specificare FILTER_PROTO_UDP o FILTER_PROTO_TCP ma in strani casi non mi funzionava
filterDescriptorIn.fLateBound    = 0;

filterDescriptorIn.wSrcPort      = 1234;
filterDescriptorIn.wDstPort      = FILTER_TCPUDP_PORT_ANY;
filterDescriptorIn.wSrcPortHighRange = 1234;
filterDescriptorIn.wDstPortHighRange = FILTER_TCPUDP_PORT_ANY;

BYTE mask[4] = { 255,255,255,255 };
BYTE source[4] = {192,16,20,1};
BYTE localIP[4] = prendi l'ip locale della macchina 
filterDescriptorIn.SrcAddr = source;
filterDescriptorIn.SrcMask = mask;
filterDescriptorIn.DstAddr = localIP;
filterDescriptorIn.DstMask = mask;

PfAddFiltersToInterface(hInterface , 1, &filterDescriptorIn, 0, NULL, NULL);

PF_FILTER_DESCRIPTOR filterDescriptorOut;
filterDescriptorOut.dwFilterFlags = FD_FLAGS_NOSYN;
filterDescriptorOut.dwRule        = 0;
filterDescriptorOut.pfatType      = PF_IPV4;
filterDescriptorOut.dwProtocol    = FILTER_PROTO_ANY;
filterDescriptorOut.fLateBound    = 0;

filterDescriptorOut.wSrcPort      = FILTER_TCPUDP_PORT_ANY;
filterDescriptorOut.wDstPort      = 4321;
filterDescriptorOut.wSrcPortHighRange = FILTER_TCPUDP_PORT_ANY;
filterDescriptorOut.wDstPortHighRange = 4321;

BYTE mask[4] = { 255,255,255,255 };
BYTE dest[4] = {192,16,20,2};
BYTE localIP[4] = prendi l'ip locale della macchina 
filterDescriptorOut.SrcAddr = localIP;
filterDescriptorOut.SrcMask = mask;
filterDescriptorOut.DstAddr = dest;
filterDescriptorOut.DstMask = mask;

PfAddFiltersToInterface(hInterface, 0, NULL, 1, &filterDescriptorOut, NULL);

[Genymus]

in vb6 non riesco a trasformarlo soprattuto l'interfaccia.

[RaouL_BennetH]

Ma tu sulle macchine dove eventualmente dovrai installare questo programma, hai privilegi oppure no? Perchè non dovrebbe bastare un semplice firewall settato da un admin e quindi non modificabile dall'utente limitato?

Inoltre, credo che vb6 sia davvero mal pensato per sviluppare qualcosa del genere. Ad ogni modo, ho trovato questo link, magari ti è utile:

http://www.msghelp.net/showthread.php?tid=30867

[Genymus]

Quote:

Originariamente inviato da RaouL_BennetH

Ma tu sulle macchine dove eventualmente dovrai installare questo programma, hai privilegi oppure no? Perchè non dovrebbe bastare un semplice firewall settato da un admin e quindi non modificabile dall'utente limitato?

Quote:

Originariamente inviato da Genymus

Ps: Premetto che il programma dovrà girare su macchine con Windows Xp con utenti limitati, e mi sarà impossibile registrare dll; non mi è concesso nemmeno modificare il firewall di windows.

Come Avevo Precedentemente scritto, non posso installare niente, ne registrare dll, non ho trovato nessun firewall che non si registrare o installare qualcosa... l'unico che avevo trovato, per fare l'interfaccia grafica, hanno usato un componente che non riesco a togliere dal codice (non lo torvo).

Grazie per il link, ci darò un'occhiata subito.
Genymus

[Genymus]

Da quello che ho visto nella pagina a cui il link rimandava, viene utilizzato il Winsock (quindi mswinsok.ocx) che non è installato nel pacchetto di installazione di windows, e che quindi non posso usare se non registrata la dll.


Altre risposte?
Grazie

[nuovoUtente86]

Quote:

Originariamente inviato da tomminno

Ah comunque con le api messe a disposizione da XP se si blocca una porta si blocca sia in ingresso che in uscita.

In uscita, blocca la porta, se utilizzata come destinazione, giusto?
Oppure nonla fa utilizzare neanche come sorgente?

[nuovoUtente86]

Quote:

Originariamente inviato da WarDuck

Per il "verso" non può semplicemente mettersi un listening su quelle porte? O forse è troppo banale ?

Tra l'altro con le porte >1024 non dovresti avere particolari problemi come utente limitato

Mettersi in ascolto su quella stessa porta non gli servirebbe a nulla. In uscita, i segmenti transiterebbero in ogni caso perchè tale porta sarabbe quella destinazione, quindi nessuna eccezione di binding.
In entrata, il software vero, non potrebbe fare binding (a meno di forzare il barging) e in ogni caso le connessioni verrebbero instaurate, senza fare il lavoro richiesto però.

[WarDuck]

Quote:

Originariamente inviato da nuovoUtente86

Mettersi in ascolto su quella stessa porta non gli servirebbe a nulla. In uscita, i segmenti transiterebbero in ogni caso perchè tale porta sarabbe quella destinazione, quindi nessuna eccezione di binding.
In entrata, il software vero, non potrebbe fare binding (a meno di forzare il barging) e in ogni caso le connessioni verrebbero instaurate, senza fare il lavoro richiesto però.

Esatto in uscita ovviamente non funzionerebbe, ma in entrata si se non si può fare il binding.

Devo fare una prova, giusto per curiosità, senza mettere il server in accept.

[nuovoUtente86]

Quote:

Originariamente inviato da WarDuck

Esatto in uscita ovviamente non funzionerebbe, ma in entrata si se non si può fare il binding.

Devo fare una prova, giusto per curiosità, senza mettere il server in accept.

Ottieni che lanciando il software, che deve ascoltare sulla porta, lo stesso va in errore, ma a quel punto tanto vale non lanciarlo proprio.
Il suo scopo è limitarne invece il dialogo con un determinato ip (o range di ip)

[WarDuck]

Quote:

Originariamente inviato da nuovoUtente86

Ottieni che lanciando il software, che deve ascoltare sulla porta, lo stesso va in errore, ma a quel punto tanto vale non lanciarlo proprio.
Il suo scopo è limitarne invece il dialogo con un determinato ip (o range di ip)

Hai ragione ragionandoci un attimo se facessi un bind, anche senza listening, bloccherei la porta ma indistintamente a qualsiasi comunicazione...

[tomminno]

Quote:

Originariamente inviato da nuovoUtente86

In uscita, blocca la porta, se utilizzata come destinazione, giusto?
Oppure nonla fa utilizzare neanche come sorgente?

Viene bloccata in ingresso e uscita

[tomminno]

Quote:

Originariamente inviato da Genymus

Come Avevo Precedentemente scritto, non posso installare niente, ne registrare dll, non ho trovato nessun firewall che non si registrare o installare qualcosa... l'unico che avevo trovato, per fare l'interfaccia grafica, hanno usato un componente che non riesco a togliere dal codice (non lo torvo).

Grazie per il link, ci darò un'occhiata subito.
Genymus

Allora non hai nemmeno i privilegi per usare le packet filtering api.

Certo che se non hai permessi come puoi pensare di bloccare le porte?

Pensavo che per lo meno il software potesse girare con permessi superiori a Users

[nuovoUtente86]

Quote:

Originariamente inviato da tomminno

Viene bloccata in ingresso e uscita

Ok ma in uscita può voler dire 2 cose:

porta sorgente :X
porta destinazione:X

Se io faccio un blocco sulla 80, vuol dire che, oltre ad impedire l' ingresso ad un ipotetico webserver, dovrebbe bloccare anche i segmenti uscenti che hanno come destinazione 80, ovvero non riesco piu ad utilizzar eil web, mentre se forzassi il SO ad utilizzare come porta locale l' 80 dovrei uscire tranquillamente.

[tomminno]

Quote:

Originariamente inviato da nuovoUtente86

Ok ma in uscita può voler dire 2 cose:

porta sorgente :X
porta destinazione:X

Se io faccio un blocco sulla 80, vuol dire che, oltre ad impedire l' ingresso ad un ipotetico webserver, dovrebbe bloccare anche i segmenti uscenti che hanno come destinazione 80, ovvero non riesco piu ad utilizzar eil web, mentre se forzassi il SO ad utilizzare come porta locale l' 80 dovrei uscire tranquillamente.

Con l'opzione FD_FLAGS_NOSYN vengono bloccati i pacchetti di Syn ovvero di apertura connessione.
Quindi in uscita significa che io non posso cercare di aprire connessioni verso l'esterno da quella porta, in ingresso che non posso ricevere connessioni su quella porta.
Chiaramente le api di XP non fanno questa distinzione e bloccano completamente la porta.
Con Vista invece grazie allo stack TCP/IP rinnovato è possibile fare questa distinzione direttamente da API.

[tomminno]

Quote:

Originariamente inviato da Genymus

in vb6 non riesco a trasformarlo soprattuto l'interfaccia.

Credo che con VB6 tu possa usare il tipo Long