Arez - Como amansar esta fera?

Amigos...

Utilizo MK 2.9.27 e estou com um grande problema com nosso inimigo, o Arez, a luta está constante com pouco sucesso... Preciso da ajuda de todos... vamos la...

Ah... Todas as regras aqui postadas são de ilustres amigos que colaboram com o fórum, peço desculpas eu não saber cita-los...

Conto com a colaboração de todos...

Tentativas de amansar a fera (Estou tão louco que bloqueando ate cliente):

/ ip firewall filter
add chain=forward protocol=udp src-port=0 action=drop comment="wares UDP 0" \
disabled=no
add chain=forward protocol=udp dst-port=0 action=drop comment="" disabled=no
add chain=forward p2p=warez action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=135-139 action=drop comment="Dropa \
varios Forward" disabled=no
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=udp src-port=2000-65535 action=drop comment="" \
disabled=no
add chain=forward protocol=tcp p2p=all-p2p action=drop comment="" disabled=no
add chain=forward protocol=udp p2p=all-p2p action=drop comment="" disabled=no
add chain=forward src-address=192.168.21.25 protocol=tcp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.25 protocol=udp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.22 protocol=tcp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.22 protocol=udp action=drop \
comment="" disabled=no

Ja tentei também por marcação de pacotes...
/ ip firewall mangle
add chain=prerouting p2p=all-p2p action=mark-connection \
new-connection-mark=p2p_conn passthrough=yes comment="MARK P2P" \
disabled=no
add chain=prerouting connection-mark=p2p_conn action=mark-packet \
new-packet-mark=p2p passthrough=yes comment="" disabled=no

/ queue tree
add name="P2P-Down" parent=global-in packet-mark=p2p limit-at=0 queue=default \
priority=8 max-limit=15000 burst-limit=0 burst-threshold=0 burst-time=0s \
disabled=no
add name="P2P-Up" parent=global-out packet-mark=p2p limit-at=0 queue=default \
priority=8 max-limit=5000 burst-limit=0 burst-threshold=0 burst-time=0s \
disabled=no

Controle de Conexões Simultaneas

/ ip firewall filter
add chain=forward src-address=192.168.21.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=20,32 action=drop \
comment="Limitando numero conexoes simultaneas" disabled=no

Gostaria de agradecer a todos que colaboraram com o tópico

Citação:

---

Postado originalmente por bitim

Amigos...

Utilizo MK 2.9.27 e estou com um grande problema com nosso inimigo, o Arez, a luta está constante com pouco sucesso... Preciso da ajuda de todos... vamos la...

Ah... Todas as regras aqui postadas são de ilustres amigos que colaboram com o fórum, peço desculpas eu não saber cita-los...

Conto com a colaboração de todos...

Tentativas de amansar a fera (Estou tão louco que bloqueando ate cliente):

/ ip firewall filter
add chain=forward protocol=udp src-port=0 action=drop comment="wares UDP 0" \
disabled=no
add chain=forward protocol=udp dst-port=0 action=drop comment="" disabled=no
add chain=forward p2p=warez action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=135-139 action=drop comment="Dropa \
varios Forward" disabled=no
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=udp src-port=2000-65535 action=drop comment="" \
disabled=no
add chain=forward protocol=tcp p2p=all-p2p action=drop comment="" disabled=no
add chain=forward protocol=udp p2p=all-p2p action=drop comment="" disabled=no
add chain=forward src-address=192.168.21.25 protocol=tcp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.25 protocol=udp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.22 protocol=tcp action=drop \
comment="" disabled=no
add chain=forward src-address=192.168.21.22 protocol=udp action=drop \
comment="" disabled=no

Ja tentei também por marcação de pacotes...
/ ip firewall mangle
add chain=prerouting p2p=all-p2p action=mark-connection \
new-connection-mark=p2p_conn passthrough=yes comment="MARK P2P" \
disabled=no
add chain=prerouting connection-mark=p2p_conn action=mark-packet \
new-packet-mark=p2p passthrough=yes comment="" disabled=no

/ queue tree
add name="P2P-Down" parent=global-in packet-mark=p2p limit-at=0 queue=default \
priority=8 max-limit=15000 burst-limit=0 burst-threshold=0 burst-time=0s \
disabled=no
add name="P2P-Up" parent=global-out packet-mark=p2p limit-at=0 queue=default \
priority=8 max-limit=5000 burst-limit=0 burst-threshold=0 burst-time=0s \
disabled=no

Controle de Conexões Simultaneas

/ ip firewall filter
add chain=forward src-address=192.168.21.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=20,32 action=drop \
comment="Limitando numero conexoes simultaneas" disabled=no

Gostaria de agradecer a todos que colaboraram com o tópico

---

Olá kara, esse assunto já foi muito discutido aqui no forum, até o momento ñ tem nenhum método eficaz para "controlar" o ares, vc poderá bloquear de vez ou então fazer o q fiz na minha rede q foi bloquear por horário pois até eu mesmo gosto de baixar algumas coisas de vez em qdo, então para ñ ter reclamação dos cliente bloqueio durante o dia até as 10 da noite e libero até as 8 da manhã....

Camarada é o seguinte:

Um colega (iniciante) aqui do forum postou que descobriu um detalhe, que softwares criptografados que fazem download (P2P) precisam de portas altas para se conectar e começar os downlods, ele então bloqueou as portas TCP de 10000-65535 e as UDP a partir da 1025-65353, com isso ele descobriu que os softwares não conseguem criptografia e caem no controle p2p normal.

Fiz o teste aqui, apliquei para rede inteira, para minha surpresa funcionou muito bem, o animal que estava acabando com a minha rede estava enjaulado agora, então pensei, não posso sacrificar a rede toda por causa de um cliente, então fui analizando as conexões das pessoas que usavam portas altas e fui aplicando a regra no ip de cada um, deixando quem não faz esse tipo de download fora dessas regras.

Um (expert) do forum entrou no tópico e disse (NÃO FUNCIONA) então eu respondi para ele que ele não era dono do forum pra dizer se funcionava ou não ou o que tinhamos que colocar nos nossos MK ou não, putzzzzz arranjei uma briga com esse cara ( o que fez o manual).

Mas finalizando por incrível que pareça esse pequeno detalhe que o nosso colega iniciante descobriu resolveu meu problema aqui com essas pragas, chegou de novo o sabiddão e disse ( VAI MIGRAR PARA PORTA 443 OU 80) já faz uma semana e isso não aconteceu, a rede voltou a ser o que era e agora é só elogios.

Dê um toch nos ip's que usarem as portas altas e aplique o bloqueio a eles e verá na queue simple eles sempre ('''verdinhos).,

Aqui resolveu...e aqui está o tópico que falei: https://under-linux.org/forums/mikro...o-tem-vez.html




Abração e boa sorte.

Citação:

---

Postado originalmente por Roberto21

Camarada é o seguinte:

Um colega (iniciante) aqui do forum postou que descobriu um detalhe, que softwares criptografados que fazem download (P2P) precisam de portas altas para se conectar e começar os downlods, ele então bloqueou as portas TCP de 10000-65535 e as UDP a partir da 1025-65353, com isso ele descobriu que os softwares não conseguem criptografia e caem no controle p2p normal.

Fiz o teste aqui, apliquei para rede inteira, para minha surpresa funcionou muito bem, o animal que estava acabando com a minha rede estava enjaulado agora, então pensei, não posso sacrificar a rede toda por causa de um cliente, então fui analizando as conexões das pessoas que usavam portas altas e fui aplicando a regra no ip de cada um, deixando quem não faz esse tipo de download fora dessas regras.

Um (expert) do forum entrou no tópico e disse (NÃO FUNCIONA) então eu respondi para ele que ele não era dono do forum pra dizer se funcionava ou não ou o que tinhamos que colocar nos nossos MK ou não, putzzzzz arranjei uma briga com esse cara ( o que fez o manual).

Mas finalizando por incrível que pareça esse pequeno detalhe que o nosso colega iniciante descobriu resolveu meu problema aqui com essas pragas, chegou de novo o sabiddão e disse ( VAI MIGRAR PARA PORTA 443 OU 80) já faz uma semana e isso não aconteceu, a rede voltou a ser o que era e agora é só elogios.

Dê um toch nos ip's que usarem as portas altas e aplique o bloqueio a eles e verá na queue simple eles sempre ('''verdinhos).,

Aqui resolveu...e aqui está o tópico que falei: https://under-linux.org/forums/mikro...o-tem-vez.html




Abração e boa sorte.

---

Caros amigos...

Como podemos observar em minha regras... Mais enjaulado que isso, nao vejo como... Quanto mais eu "enjaulo" o bicho... Mais ele atenta... Sai abrindo portas aleatorias, conforme figura anexa...

Estou bloqueando a porta 0 UDP/TCP

add chain=forward protocol=udp src-port=2000-65535 action=drop comment="" \
disabled=no

add chain=forward protocol=udp dst-port=1024-65535 action=drop comment="" \
disabled=no

E mais a regra do arez...

Deem uma olhada em minhas regras acima...

Olá camarada!!


Fica chateado comigo não mas esse seu firewall não está bem configurado, ao menos se for a imagem anexada está faltando muita coisa além de algumas regras não estarem na sequência correta (até o das portas (0) e bloqueio do arez.

Você não pode bloquear da porta 2000 em diante senão como o web-proxy irá funcionar?


Mesmo sem você pedir olhe aqui, estou postando as minhas regras de firewall filter para você observar como está, e o ''''''animal'''' (eheheheh) está sobre controle...

Para te ajudar...

OBS: Algumas regras de filter não funcionam por completo sem as regras de mangle que possuo, principalmente as de limite de conexões, mas se você aplicar essas regras de filter e modificar os ip's para o seu range de ip's o negócio irá mudar, se precisar de ajuda para isso chama aqui...

Abração.

\ip firewall filter rules
Chain=forward
p2p=all-p2p
Action=drop

\ip firewall nat
Chain=dstnat
Protocol= tcp
Dst. Port=80
In. Interface=ether1 (interface dos clientes)
Action=redirect
To Ports=3128 (porta do seu webproxy)

\ip firewall nat
Chain=dstnat
Protocol= tcp
Dst. Port=500-1800
In. Interface=ether1 (interface dos clientes)
Action=redirect
To Ports=3128 (porta do seu webproxy)

\ip firewall nat
Chain=dstnat
Protocol= tcp
Dst. Port=1900-8280
In. Interface=ether1 (interface dos clientes)
Action=redirect
To Ports=3128 (porta do seu webproxy)

\ip firewall nat
Chain=dstnat
Protocol= tcp
Dst. Port=8300-65535
In. Interface=ether1 (interface dos clientes)
Action=redirect
To Ports=3128 (porta do seu webproxy)

Essas regras bloqueia bitorrent, ares, emule, etc. A questão de deixar algumas portas livres é para não bloquear o MSN, Orkut, etc.

João Silva
+55 61 9221-8120

Citação:

---

Postado originalmente por Roberto21

Olá camarada!!


Fica chateado comigo não mas esse seu firewall não está bem configurado, ao menos se for a imagem anexada está faltando muita coisa além de algumas regras não estarem na sequência correta (até o das portas (0) e bloqueio do arez.

Você não pode bloquear da porta 2000 em diante senão como o web-proxy irá funcionar?


Mesmo sem você pedir olhe aqui, estou postando as minhas regras de firewall filter para você observar como está, e o ''''''animal'''' (eheheheh) está sobre controle...

Para te ajudar...

OBS: Algumas regras de filter não funcionam por completo sem as regras de mangle que possuo, principalmente as de limite de conexões, mas se você aplicar essas regras de filter e modificar os ip's para o seu range de ip's o negócio irá mudar, se precisar de ajuda para isso chama aqui...

Abração.

---

Roberto21,

Poxa obrigado pela atenção, estou incluido suas regras aqui para testar... Posto depois os resultados....

Citação:

---

Postado originalmente por bitim

Poxa obrigado pela atenção, estou incluido suas regras aqui para testar... Posto depois os resultados....

---

pra mim a maior dificuldade no mkt foi que o firewall dele nao tem como definir policy drop e ir liberando tudo.. entao como o tal nao tem o que precisava.. fiz o contrário.. no inicio do meu firewall tenho regras q bloqueiam portas que nao liberar... foi trabalhoso descobrir todas as portas que preciso.. mas fora isso.. tudo sob controle. so se o cara usar p2p sobre https (443) ou sobre porta http (80). as outras portas, "necatibiriba" (nada).

no meu caso o bloqueio é total mesmo, nao é o caso de controle de banda, e sim o bloqueio definitivo. isso ai aliado a um address-list com os ips dos clientes.. fica facil controlar so os clientes e deixar sua rede interna livre de bloqueios.

regras...

/ ip firewall filter

# aqui bloqueio as portas tcp

add chain=forward protocol=tcp dst-port=1-19 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=23-24 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=26-52 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=54-79 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=83-109 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=111-142 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=144-249 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=251-442 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=444-464 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=466-553 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=555-562 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=564-992 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=994 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=996-1321 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1323-1353 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1355-1524 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1526-1754 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1756-1862 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1864-1991 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=1993-2081 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=2084-2094 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=2097-2275 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=2277-2499 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=2501-2630 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=2632-3006 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=3008-3127 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=3129-3455 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=3457-4975 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=4977-4999 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5051-5060 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5162-5189 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5194-5499 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5501-5899 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5901-6120 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=6123-6666 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=6670-6808 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=6810-6890 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=6902-7000 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=7002-7999 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8021-8049 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8051-8079 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8081-8181 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8183-8280 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8282-8351 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8353-8359 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8366-8371 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8373-8443 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8445-8766 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=8768-8999 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=10000-28804 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=28806-31999 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=32001-65535 action=drop comment="" disabled=no

# aqui bloqueio as portas udp

add chain=forward protocol=udp dst-port=1-52 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=54-122 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=124-553 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=555-1064 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=1066-1321 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=1323-1862 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=1864-3006 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=3008-3579 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=3700-4999 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5051-5060 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5062-5189 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5194-6890 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=6802-6900 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=6902-7000 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=7002-8351 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=8353-8359 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=8366-8999 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=10000-65535 action=drop comment="" disabled=no

perceba que as portas que quero liberar estão fora das portas especificadas.

neon