p2p linux - Pagina 2

ilsensine · 02-08-2004, 07:58

Quote:

Originariamente inviato da NZ
Forse dico una cavolata ma nel nosto script per iptables non basta un codice del tipo

Codice:

iptables -t filter -P INPUT DROP
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

per ottenere lo stesso risultato?

E' solo il filtraggio fondamentale, insufficiente per un PC che deve stare per molto tempo connesso ad internet. In più, presenta alcuni problemi:
- Molti programmi p2p richiedono di poter essere contattati su una specifica porta o range di porte. Per queste porte quindi occorre accettare i pacchetti nello stato NEW.
- Non risponde alla richiesta di bloccare selettivamente un elenco di IP. Un modo semplice per farlo è un piccolo script che legge gli IP da bloccare da un file.

NZ · 02-08-2004, 17:10

Quote:

Originariamente inviato da ilsensine
- Molti programmi p2p richiedono di poter essere contattati su una specifica porta o range di porte. Per queste porte quindi occorre accettare i pacchetti nello stato NEW.

cavoli... hai ragione!!!
Dunque si deve per forza inserire gli IP da bloccare

Per piacere,daresti una guardatina veloce allo script allegato per vedere se come idea va bene?

Ciao

ilsensine · 03-08-2004, 08:15

Un pò di osservazioni:

Codice:

$IPT -t filter -A anti_p2p -j ACCEPT

Devi bloccare i pacchetti marcati INVALID.

Codice:

$IPT -t filter -A ppp_in -p tcp -m tcp --dport 17891 -j anti_p2p # azureus 
$IPT -t filter -A ppp_in -p tcp -m tcp --dport 9765 -j anti_p2p # overnet 
$IPT -t filter -A ppp_in -p udp -m udp --dport 9841 -j anti_p2p # overnet

Non puoi usare -m multiport --destination-ports 17891,9765,9841 ?

Codice:

$IPT -t filter -A ppp_in -p tcp -m tcp --dport 65000:65005 -j anti_p2p # xchat

Sicuro che xchat necessita di porte aperte in ingresso? Non passa per il server irc?

Altre modifiche che farei:
- La sottocatena anti_p2p dovrebbe essere chiamata sempre, indipendentemente dalle porte. Deve terminare quindi con RETURN, non con ACCEPT. La discriminazione sulle porte la fai più avanti direttamente in ppp_in (occhio allo stato INVALID). Se becchi pacchetti da un indirizzo vietato dovresti anche loggarli.
- I pacchetti provenienti da "lo" e non destinati a 127.0.0.0/8 devono essere bloccati e loggati. Stessa sorte per i pacchetti non provenienti da "lo" e destinati a 127.0.0.0/8.
- Blocca qualche icmp, almeno quelli non importanti (ping, ecc)
- Nella catena di OUTPUT, blocca e logga pacchetti destinati a porte tcp e udp "sospette" o notoriamente utilizzate da worm e backdoor (ad es. 137, 1024, 1025, 6666, 6667, 6000-6010, ecc.).
- Nella catena di INPUT, logga le connessioni NEW destinate a porte con servizi di sistema (ad es. ssh, telnet, ftp...). Il 90% delle volte è un tentativo di intrusione, quindi oltre a bloccare i pacchetti avere qualche log può informarti se sei sotto un attacco.

GhePeU · 03-08-2004, 13:23

Quote:

Originariamente inviato da ilsensine

Codice:

$IPT -t filter -A ppp_in -p tcp -m tcp --dport 65000:65005 -j anti_p2p # xchat

Sicuro che xchat necessita di porte aperte in ingresso? Non passa per il server irc?

suppongo serva per il trasferimento file da utente a utente

NZ · 03-08-2004, 19:42

Quote:

Originariamente inviato da GhePeU
suppongo serva per il trasferimento file da utente a utente

Esatto

Grazie per i suggerimenti ilsensine

Sto modificando lo script ed appena finisco lo posto.

NZ · 04-08-2004, 10:46

x ilsensine:

Ho seguito i tuoi suggerimenti ed ho modificato lo script.
Purtroppo ho alcuni problemi

1) non riesco a navigare

non riesco a vedere dove sia l'errore...
2) come si fa a fare in modo che tutti i log vengano scritti in un file di mia scelta,ad esempio su /var/log/log_firewall ?
3) lo script,con tutti gli ID della blocklist di peerguardian,risulta enorme,oltre 500K.
Al boot il mio PC impiega 6 minuti a caricarlo....
...vabbè che ho un preistorico k7 800mhz ma mi sembra troppo lo stesso...

ilsensine · 04-08-2004, 11:00

Quote:

Originariamente inviato da NZ
1) non riesco a navigare

non riesco a vedere dove sia l'errore...

Debug time...devi esaminare/postare alcuni log.

Quote:

2) come si fa a fare in modo che tutti i log vengano scritti in un file di mia scelta,ad esempio su /var/log/log_firewall ?

Devi agire su /etc/syslog.conf, ma non so bene come modificarlo.

Quote:

3) lo script,con tutti gli ID della blocklist di peerguardian,risulta enorme,oltre 500K.

Vuol dire che il numero di IP è enorme. Queste situazioni sono inefficienti da gestire a livello di firewall, sarebbe meglio gestirli a livello applicativo.

automatic_jack · 04-08-2004, 11:18

Quote:

Originariamente inviato da ilsensine
...sarebbe meglio gestirli a livello applicativo.

Probabilmente è l' ennesima mia scoperta dell' acqua calda ma con aMule, conosco ed uso solo questo, basta inserire nella directory .amule il file ipfilter.dat...occorre solo trovarne uno valido

Ciao

NZ · 04-08-2004, 15:30

Quote:

Originariamente inviato da ilsensine
Devi agire su /etc/syslog.conf, ma non so bene come modificarlo.

il mio /etc/syslog.conf è:

Codice:

#
# /etc/syslog.conf
#

*.emerg						*
*.err						/var/log/errors
kern.*						/var/log/kernel
authpriv.*;auth.*				/var/log/auth
mail.*						-/var/log/mail
*.info;*.!err;authpriv,auth,mail,kern.none	/var/log/messages

# End of file

Adesso i logs di iptables finiscono in /var/log/kernel ma non saprei cosa modificare per farli finire in un file di mia scelta

Quote:

Originariamente inviato da ilsensine
Vuol dire che il numero di IP è enorme. Queste situazioni sono inefficienti da gestire a livello di firewall, sarebbe meglio gestirli a livello applicativo.

Hai ragione.
Peccato che Overnet non permetta una cosa simili... almeno mi sembra.

ilsensine · 04-08-2004, 15:45

Quote:

Originariamente inviato da NZ
Hai ragione.
Peccato che Overnet non permetta una cosa simili... almeno mi sembra.

Implementare una cosa simile non è affatto complicato.

No Source? Ahi ahi ahi!

NZ · 04-08-2004, 18:30

Quote:

Originariamente inviato da ilsensine
Implementare una cosa simile non è affatto complicato.
No Source? Ahi ahi ahi!

come sei crudele

automatic_jack · 06-08-2004, 23:43

Quote:

Originariamente inviato da automatic_jack
Probabilmente è l' ennesima mia scoperta dell' acqua calda ma con aMule, conosco ed uso solo questo, basta inserire nella directory .amule il file ipfilter.dat...occorre solo trovarne uno valido

In questo post, alla voce Utilità per Emule sono linkati due siti da cui è possibile scaricare gli IPfilter

Ciao

03-08-2004, 08:15	#23
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Un pò di osservazioni: Codice: $IPT -t filter -A anti_p2p -j ACCEPT Devi bloccare i pacchetti marcati INVALID. Codice: $IPT -t filter -A ppp_in -p tcp -m tcp --dport 17891 -j anti_p2p # azureus $IPT -t filter -A ppp_in -p tcp -m tcp --dport 9765 -j anti_p2p # overnet $IPT -t filter -A ppp_in -p udp -m udp --dport 9841 -j anti_p2p # overnet Non puoi usare -m multiport --destination-ports 17891,9765,9841 ? Codice: $IPT -t filter -A ppp_in -p tcp -m tcp --dport 65000:65005 -j anti_p2p # xchat Sicuro che xchat necessita di porte aperte in ingresso? Non passa per il server irc? Altre modifiche che farei: - La sottocatena anti_p2p dovrebbe essere chiamata sempre, indipendentemente dalle porte. Deve terminare quindi con RETURN, non con ACCEPT. La discriminazione sulle porte la fai più avanti direttamente in ppp_in (occhio allo stato INVALID). Se becchi pacchetti da un indirizzo vietato dovresti anche loggarli. - I pacchetti provenienti da "lo" e non destinati a 127.0.0.0/8 devono essere bloccati e loggati. Stessa sorte per i pacchetti non provenienti da "lo" e destinati a 127.0.0.0/8. - Blocca qualche icmp, almeno quelli non importanti (ping, ecc) - Nella catena di OUTPUT, blocca e logga pacchetti destinati a porte tcp e udp "sospette" o notoriamente utilizzate da worm e backdoor (ad es. 137, 1024, 1025, 6666, 6667, 6000-6010, ecc.). - Nella catena di INPUT, logga le connessioni NEW destinate a porte con servizi di sistema (ad es. ssh, telnet, ftp...). Il 90% delle volte è un tentativo di intrusione, quindi oltre a bloccare i pacchetti avere qualche log può informarti se sei sotto un attacco. __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

Strumenti
Mostra una versione stampabile Invia questa pagina per email