Bloquear compartilhamento de conexão

Pessoal o meu provedor (wireless) conseguiu um negocio bem legal, ele conseguem bloquear o compartilhamento de rede dos clientes a partir do servidor deles, exemplo:

Tenho um micro com windows xp com uma conexão de internet funcionando ok, se eu tentar compartilhar essa conexão para um segundo micro eu não consigo de jeito nenhum, todo mundo que tem rede aqui na minha cidade está com as redes paradas, funciona só a maquina que está com o cartão wireless, nos clientes resolve dns, pinga o servidor(no caso a maquina que está com o cartão wireless) , mas não pinga e nem acessa nada de internet... um amigo meu ligou para lá e pediu que eles desbloqueassem, dai ele paga uma taxa extra e teve o compartilhamento liberado(não foi alterado nada na maquina dele, eles só liberaram e passou a pingar navegar e tudo mais), não existe nada instalado de diferente na maquina dele, fui eu mesmo q instalou o sistema dele.

Alguem sabe como é feito esse bloqueio, pois estou precisando de uma solução dessas e os caras não passam pra ninguem como fizeram, aguardo respostas.

Flw.

Eu nunca testei isso pra ver se realmente funciona... mas a porta que faz o campartilhamento é a 139 do windows...

daí vc coloca

Código :

---

iptables -A FORWARD -p tcp --dport 139 -j DROP

---

Mas nao sei se funciona..

:D

Citação:

---

Postado originalmente por sarna

Eu nunca testei isso pra ver se realmente funciona... mas a porta que faz o campartilhamento é a 139 do windows...

daí vc coloca

Código :

---

iptables -A FORWARD -p tcp --dport 139 -j DROP

---

Mas nao sei se funciona..

:D

---

Olá sarna, não é compartilhamento de arquivos, é compartilhamento de conexão, os caras deram um jeito de bloquear o compartilhamento de conexão.

Flw.

Cara, deixa eu ver se entendi direito.

O cliente tem um micro em que está instalado a placa wireless. Nesse micro ele tem mais uma placa de rede com a qual ele conecta na rede interna.

O cara não consegue compartilhar a conexão com a Internet que chega pela placa wireless com a rede interna dele através da placa de rede.

Olha cara, se for isso mesmo, acho meio que impossível. Não vou dizer que não é possível, mas tem que analisar muito bem como é feita a conexão e tals.

Se você puder nos passar mais algumas informações a respeito seria legal.

Qual é o provedor, essa solução me interessa muito.

Citação:

---

Postado originalmente por nod3vic3

Cara, deixa eu ver se entendi direito.

O cliente tem um micro em que está instalado a placa wireless. Nesse micro ele tem mais uma placa de rede com a qual ele conecta na rede interna.

O cara não consegue compartilhar a conexão com a Internet que chega pela placa wireless com a rede interna dele através da placa de rede.

Olha cara, se for isso mesmo, acho meio que impossível. Não vou dizer que não é possível, mas tem que analisar muito bem como é feita a conexão e tals.

Se você puder nos passar mais algumas informações a respeito seria legal.

Qual é o provedor, essa solução me interessa muito.

---

Exatamente isso nod3vic3, agora pegaram o espirito da coisa, eu tambem estou doido por essa solução, vamos ao exemplo:

Minha maquina recebe a conexão pela placa wireless por dhcp com a seguinte configuração de IP:

IP: 10.124.12.2
MASK: 255.255.255.252
DNS: 10.124.0.1
GATEW: 10.124.0.1

tudo bem conexão funcionando ok, ai no windows xp eu habilito o compartilhamento de conexão do windows ( ou instalo um programa de compartilhamento qualquer ex. winroute) e coloco na placa de rede o ip 192.168.0.1 com mask 255.255.255.0.... blz... vou na maquina da minha rede e coloco nela 192.168.0.2 mask 255.255.255.0 dns 192.168.0.1( ou o dns q o provedor passa 10.124.0.1) e GW 192.168.0.1, sem proxy no navegador e não navega de jeito nenhum, no maximo resolve o ip, exemplo se eu digitar ping www.uol.com.br ele resolve para o ip 200.221.2.45, mas não pinga e nem tracert funciona.... nada, dai quem quer compartilhar tem q ligar para os caras e pagar uma taxa extra, dai em 5 min eles ligam e mandam vc testar e tá tudo funcionando bonitinho.... o detalhe não tem nada de diferente instalado na minha maquina, eu mesmo instalei, baixei os drivers e tal.... a rede funciona normal, compartilha arquivos, pinga etc....... mas só navega se ele liberarem lá......... ufa........ espero ter explicado bem.

Flw.

Já tentou ver esse mesmo compartilhamento se feito em um linux funciona?? Pois a ideia de compartilhamento é que o servidor tem de guardar de quem é aquele pacote então ele pode por algum cabeçalho e eles bloqueam quando tem esse cabeçalho, eu to chutando mas pode ser algo assim.

falows

Não tive como testar com servidor linux, mas todos o windows são bloqueados win98, xp etc.....

Assim q poder vou testar com linux.

Flw.

Citação:

---

Postado originalmente por TheHawk

Não tive como testar com servidor linux, mas todos o windows são bloqueados win98, xp etc.....

Assim q poder vou testar com linux.

Flw.

---

Tpo assim eu to entrando no campo da hipotese, mas pode ser algo assim, eu sei que no linux ele abre uma porta pra cada processo da rede interna que quer acessar a rede externa, mas também não sei se ele mexe no cabeçalho da coisa.

falows

Muito me interessa este Tópico vou ficar de olho

Esse tópico me interessa também, pois já tinha ouvido falar desse tipo de solução, e se não estiver falando beteira o bloquei é feito sobre o cabeçalho do protocolo TCP/IP..

Falow

Este tópico vou acompanha.

Falow

tb muito me interessa isso pois eu achava isso impossivel...

Eu levaria pro lado do que o ruyneto falou. Mas pra tirar a prova real, só se fizer um compartilhamento em Linux, pq é meio impossível eles manterem o controle sobre o compartilhamento. Eles só podem controlar o que chega até eles, ou seja, os pacotes TCP/IP. Acho que é aí que tá o rolo.

Muito interessante esse tópico... muito me interessa!!!

:good: :clap: :D

realmente enquanto nao for feito o teste numa maquina linux vai ser dificil entender o q se passa, mas se ele bloquear o compartilhamento de rede do iptables, eu arriscaria o palpite de isso ser graca a alguma forca divina que permite q eles saibam q o pacote esta sofrendo dnat ou snat

:martelo:

ps.: quando alguem quizer apenas observar um topico, nao eh necessario postar uma msg no mesmo, basta clicar em: "Observar respostas a este Tópico"

Pessoal só vou poder testar com uma maquina linux nesse final de semana, pois não estou na minha cidade onde esse provedor opera, assim q tiver um tempo tasco uma maquina linux para compartilhar e tirar a prova dos 9.

Flw.

Cara, a vida na terra dos provedores depende disso, descobre ai como se faz, nem que seja pago, mas nós, meros provedores mortais, precisamos do folego de vida de um bloqueio de compartilhamento urgente...

Não vejo muitos problemas em compartilhamentos de internet... se a banda do cara já estiver limitada com CBQ ou algo do tipo, qual mal existe??

Citação:

---

Postado originalmente por Anonymous

Não vejo muitos problemas em compartilhamentos de internet... se a banda do cara já estiver limitada com CBQ ou algo do tipo, qual mal existe??

---

Tbem entendo assim!
Se a banda contratada pelo cliente é tipo 100kbps, ele tem o direito de fazer oq quizer, desdeque estaja sendo controlada para nao passar os 100kbps.
Sei q isso é polemico, mas é minha opiniao.

Citação:

---

Postado originalmente por Francinei

Citação:

---

Postado originalmente por Anonymous

Não vejo muitos problemas em compartilhamentos de internet... se a banda do cara já estiver limitada com CBQ ou algo do tipo, qual mal existe??

---

Tbem entendo assim!
Se a banda contratada pelo cliente é tipo 100kbps, ele tem o direito de fazer oq quizer, desdeque estaja sendo controlada para nao passar os 100kbps.
Sei q isso é polemico, mas é minha opiniao.

---

Sei la eu acho que tudo depende do contrato do provedor com o cara, se o provedor quiser cobrar a mais para disponibilizar o compartilhamento pro local ( sei la tpo plano domiciliar sem e plano empresarial com) ele tem todo o direito, pois o provedor é dele, mas acho que o melhor é saber como faz, pq é sempre bom entender um pouco mais sobre cada assunto.

falows

só queria dar minha opinião, acho que bloquear o compartilhamento é uma sacanagem da boa, o cara paga pra ter a conexão tem que poder fazer o que bem entende com sua conexão desde que não infrinja leis
Agora nego tem 2 ou 3 computadores na casa e tem que pagar a mais pra usar a internet nos 3? puta sacanagem da boa :(, o que me deixa feliz é que sempre vão existir meios de burlar os provedores HAHAHAHAHAHAHAHAHAHAHAHAHA

Citação:

---

Postado originalmente por alex_sorocaba

só queria dar minha opinião, acho que bloquear o compartilhamento é uma sacanagem da boa, o cara paga pra ter a conexão tem que poder fazer o que bem entende com sua conexão desde que não infrinja leis
Agora nego tem 2 ou 3 computadores na casa e tem que pagar a mais pra usar a internet nos 3? puta sacanagem da boa :(, o que me deixa feliz é que sempre vão existir meios de burlar os provedores HAHAHAHAHAHAHAHAHAHAHAHAHA

---

Cara desculpa mas acho que tudo depende do contrato que o cara faz, se ele diz explicitamente então quem quizer usar compartilhamento procure outro provedor, como tem provedor que bloqueia portas outros podem bloquear compartilhamento acho que vai da ideia de cada provedor, se ele quiser ter um plano com ou sem que tenha, como consumidores podemos porcurar outros provedores em vez de ficar pensando em burlar.

falows

vc pode limitar o numero de seções aberta tipo só abre 3 navegador no quarto ja naum abre isto da pra fazer mais bloquear o bendito do compartilhador do windows isto axo que naum tem como

Citação:

---

Postado originalmente por alex_sorocaba

só queria dar minha opinião, acho que bloquear o compartilhamento é uma sacanagem da boa, o cara paga pra ter a conexão tem que poder fazer o que bem entende com sua conexão desde que não infrinja leis
Agora nego tem 2 ou 3 computadores na casa e tem que pagar a mais pra usar a internet nos 3? puta sacanagem da boa :(, o que me deixa feliz é que sempre vão existir meios de burlar os provedores HAHAHAHAHAHAHAHAHAHAHAHAHA

---

Como o ruyneto disse ai em cima, tudo depende do serviço que vc contratou.
Se vc contratou um serviço onde o compartilhamento é permitido então não há problema, deite e role.
Já se seu provedor não permite e vc acha que esta prática é injusta vc pode exercer seu direito de consumidor e procurar outro prestador de serviço.
Agora, se vc assinou um serviço que não permite o compartilhamente e está fazendo isto vc está agindo de má fé e ROUBANDO o seu provedor.
Simples assim.

[]'s

Como o ruyneto falou anteriormente deve ser alguma coisa no cabeçalho dos pacotes. Porque na hora em que é feito o nat o servidor tem que marcar os pacotes para quando os mesmos voltarem ele saber de onde veio, acho que é mais ou menos isso.

Bom se alguem estiver atrás de nat acessem esse site aqui http://www.meuip.tk/ e me digam o resultado...

Citação:

---

Postado originalmente por nod3vic3

Bom se alguem estiver atrás de nat acessem esse site aqui http://www.meuip.tk/ e me digam o resultado...

---

Apareceu o meu da minha rede local em vez do ip real no meu caso 10.10.10.3

Citação:

---

Postado originalmente por Thon

Citação:

---

Postado originalmente por nod3vic3

Bom se alguem estiver atrás de nat acessem esse site aqui http://www.meuip.tk/ e me digam o resultado...

---

Apareceu o meu da minha rede local em vez do ip real no meu caso 10.10.10.3

---

Nesse caso temos de saber em que parte do cabeçalho ip fica o ip invalido, e o mais importante como bloquear se é com iptables ou outro tipo de firewall como o da cisco ou algum pago.

falows

O que tem de mala querendo sugar o ultimo kb do provedor não é brincadeira, tem gente que prefere que o provedor não coloque mais clientes (mesmo que tenha assinado novo contrato para um link maior) só para não ter sua velocidade diminuida por alguns segundos, os clientes olham para nós provedores como ditadores que só querem sugar seu ultimo centavo, mas não estão nem ai quando um caminhão passa na rua e leva o cabeamento, querem tudo pronto no máximo em 1 minuto, e ainda dizem, tá ganhando muito, isso não é nada para o provedor...
Aqui na minha cidade, não tinha internet nem com resa brava, com muito esforço e dinheiro, coloquei um provedor, empresas que gastavam fortunas mensais com interurbano para ter internet, hoje pagam uma mensalidade fixa, e ainda querem compartilhar em 10, 15 maquinas sem pagar nenhum centavo a mais, a bem da verdade, existe sim uma parcela de clientes em todo provedor, que mesmo sendo beneficiado com o acesso a internet, querem mais é que o mundo se exploda, portanto, acho justo e necessário que tenhamos um controle maior sobre o compartilhamento sim. :good:

É existe uma chance sim deles varrer os pacotes que chegam com um bit ligado dizendo que este pacote está com NAT. Senão, se este bit não existir, não tem como o Gateway devolver para o destino a resposta, não é mesmo ?

Existe então um porém, se eles estão percebendo a instrução NAT, precisam de processamento feroz, creio eu.

Realmente show de bola se for isso mesmo.

Parabéns para os caras.

Citação:

---

Postado originalmente por nod3vic3

Como o ruyneto falou anteriormente deve ser alguma coisa no cabeçalho dos pacotes. Porque na hora em que é feito o nat o servidor tem que marcar os pacotes para quando os mesmos voltarem ele saber de onde veio, acho que é mais ou menos isso.

Bom se alguem estiver atrás de nat acessem esse site aqui http://www.meuip.tk/ e me digam o resultado...

---

Bem, não sei quanto ao cabeçalho dos pacotes no NAT do windows, mas _se não me engano_ o NAT do linux mantem o controle em uma tabela (IP Conntrack) no servidor linux relacionando a porta de saida no servidor (que é por onde vai retornar o pacote) com o endereço de origem do pacote na rede interna!

Essa página em PHP está fazendo o que? pegando o X-Forward-For do Squid?

Isso é simples de enganar, veja o resultado:

Código :

---

Warning: gethostbyaddr(): Address is not a valid IPv4 or IPv6 address in /home/helioalv/public_html/ip/index.php on line 58
Boa Noite, Obrigado por você usar o serviço meuip.tk para ver as suas informações.
 
Segue abaixo as informações que você está buscando:
 
Consultado através de: http://www.meuip.tk/adstart?fldpromonr=4&fldbannernr=0&
flddomainnr=923521&ip=62.129.131.34&tid=1133270890490&
fwurl=http://www.helioalves.com/ip/index.php&country=31&fallback=yes
Data: 29/11/2005
Hora: 11:28:28 AM
SEU IP:

---

Só precisei desligar no squid, e minha máquina usa IP válido! :D

[quote="Shadow_"]

Citação:

---

Postado originalmente por nod3vic3

zip ...

Essa página em PHP está fazendo o que? pegando o X-Forward-For do Squid?

Isso é simples de enganar, veja o resultado:

Código :

---

Warning: gethostbyaddr(): Address is not a valid IPv4 or IPv6 address in /home/helioalv/public_html/ip/index.php on line 58
Boa Noite, Obrigado por você usar o serviço meuip.tk para ver as suas informações.
 
Segue abaixo as informações que você está buscando:
 
Consultado através de: http://www.meuip.tk/adstart?fldpromonr=4&fldbannernr=0&
flddomainnr=923521&ip=62.129.131.34&tid=1133270890490&
fwurl=http://www.helioalves.com/ip/index.php&country=31&fallback=yes
Data: 29/11/2005
Hora: 11:28:28 AM
SEU IP:

---

Só precisei desligar no squid, e minha máquina usa IP válido! :D

---

E se o squid for transparente e o usuario do provedor nao puder burla?

Fiz o seguinte teste:

usei uma maquina com o windows xp (ip 10.20.0.88) compartilhei a conexcao com outra placa de rede (192.168.0.1) e configurei uma segunda maquina com o ip 192.168.0.2 acessando apartir do compartilhamento. Obtive os seguintes resultado no site www.meuip.tk

Na maquina um (10.20.0.88) o resultado foi:

SEU IP : 10.20.0.88

Na maquina dois (192.168.0.2)

SEU IP: 10.20.0.88

espero ter ajudado!

Citação:

---

Postado originalmente por SysRq

Citação:

---

Postado originalmente por alex_sorocaba

só queria dar minha opinião, acho que bloquear o compartilhamento é uma sacanagem da boa, o cara paga pra ter a conexão tem que poder fazer o que bem entende com sua conexão desde que não infrinja leis
Agora nego tem 2 ou 3 computadores na casa e tem que pagar a mais pra usar a internet nos 3? puta sacanagem da boa :(, o que me deixa feliz é que sempre vão existir meios de burlar os provedores HAHAHAHAHAHAHAHAHAHAHAHAHA

---

Como o ruyneto disse ai em cima, tudo depende do serviço que vc contratou.
Se vc contratou um serviço onde o compartilhamento é permitido então não há problema, deite e role.
Já se seu provedor não permite e vc acha que esta prática é injusta vc pode exercer seu direito de consumidor e procurar outro prestador de serviço.
Agora, se vc assinou um serviço que não permite o compartilhamente e está fazendo isto vc está agindo de má fé e ROUBANDO o seu provedor.
Simples assim.

[]'s

---

Creio que um contrato que especifique o que pode fazer com a conexão
se pode compartilhar ou não não seja um bom contrato. Eu estaria roubando se por exemplo fizer alguma gambiarra pra aumetar minha banda ou algo parecido, mas desde que contratei 300kb posso usar esses 300kb da maneira que eu quiser isso eu digo com base nos usuários domésticos, agora se for pra empresa a conversa e outra as condições tem que ter diferenças, o que acho injusto é não permitir compartilhamento da internet quando o uso for para usuários domésticos ai sim é uma tremenda duma enorme sacanagem sem tamanho e sem nexo por parte do provedor, como eu encaro isso como tremenda sacanagem usada do provedor para comigo iria até os céus pra burlar ele.
Isso é parecido com linux/windows conheço alguns usuários que não usam windows pra usar ele mas pra simplesmente achar vulnerabilidades em windows ;), e até fazendo virus pra windows. Porque isso? pra ferrar com windows só por isso por que eles acham que Microsoft é uma empresa indigna oferecendo produtos de má qualidade.

Bem são simplesmente opiniões
e é bom saber a opinião das pessoas :)
Obrigado

Citação:

---

Postado originalmente por alex_sorocaba

Creio que um contrato que especifique o que pode fazer com a conexão
se pode compartilhar ou não não seja um bom contrato. Eu estaria roubando se por exemplo fizer alguma gambiarra pra aumetar minha banda ou algo parecido, mas desde que contratei 300kb posso usar esses 300kb da maneira que eu quiser isso eu digo com base nos usuários domésticos, agora se for pra empresa a conversa e outra as condições tem que ter diferenças, o que acho injusto é não permitir compartilhamento da internet quando o uso for para usuários domésticos ai sim é uma tremenda duma enorme sacanagem sem tamanho e sem nexo por parte do provedor, como eu encaro isso como tremenda sacanagem usada do provedor para comigo iria até os céus pra burlar ele.

---

Alex,

Nós, provedores, não permitimos o compartilhamento de uma conexão a internet porque DOIS (ou mais) clientes que TÊM TOTAL CAPACIDADE de comprar DOIS (ou mais) ACESSOS fazem apenas um dando prejuízo ao provedor já que irão usar por DOIS e pagarão apenas por UM.

Pense que TODO provedor têm por padrão o compartilhamento de banda (se não fosse assim eu teria que vender acesso de 64 Kbps por no mínimo R$ 140,00, o que inviabilizaria o negócio).

Toda banda comprada, inclusive DSL, é compartilhada com um mínimo de 6 clientes e um máximo de 10. Se todos usarem ao mesmo tempo cada um terá uma parcela da banda.

Agora imagine que um dos clientes divide o acesso. Consequentemente o uso dele dobra e então um usuário desses 10 fica prejudicado.

Isso não é sacanagem do provedor e sim a forma que existe para ganharmos dinheiro, termos um determinando lucro (entre 18~22% na maioria dos casos).

Amigo que nem eu disse o mercado ta ae, se tivesse muitas pessoas que ficassem indignadas com isso com certeza a empresa não faria isso, mas como a maior parte das pessoas tem apenas 1 computador em casa nem percebem isso, então o mercado ta ae, se ta insatisfeito migre para outra provedora de serviços, com certeza vai achar uma que está satisfeito, so não acho que algo que esta claro em contrato pode ser sacanagem, se a pessoa leu e assinou o contrato é porque concorda.

falows

bom num vou mais argumentar cada um sabe onde aperta o calo

Obrigado pelas opiniões e pela paciência ;)

Citação:

---

Postado originalmente por Shadow_

Bem, não sei quanto ao cabeçalho dos pacotes no NAT do windows, mas _se não me engano_ o NAT do linux mantem o controle em uma tabela (IP Conntrack) no servidor linux relacionando a porta de saida no servidor (que é por onde vai retornar o pacote) com o endereço de origem do pacote na rede interna!

Essa página em PHP está fazendo o que? pegando o X-Forward-For do Squid?

Isso é simples de enganar, veja o resultado:

Código :

---

Warning: gethostbyaddr(): Address is not a valid IPv4 or IPv6 address in /home/helioalv/public_html/ip/index.php on line 58
Boa Noite, Obrigado por você usar o serviço meuip.tk para ver as suas informações.
 
Segue abaixo as informações que você está buscando:
 
Consultado através de: http://www.meuip.tk/adstart?fldpromonr=4&fldbannernr=0&
flddomainnr=923521&ip=62.129.131.34&tid=1133270890490&
fwurl=http://www.helioalves.com/ip/index.php&country=31&fallback=yes
Data: 29/11/2005
Hora: 11:28:28 AM
SEU IP:

---

Só precisei desligar no squid, e minha máquina usa IP válido! :D

---

Bom quanto ao processo de nat, você está certo. Não sei o que a página está fazendo, só queria mostrar que é possível pegar o ip da rede interna dos clientes caso estejam compartilhando a conexão.

Qual o método usado para isso não sei, é isso que estamos discutindo aqui e querendo descobrir...

Acho que isso vai ajudar muitos provedores que querem evitar o compartilhamento nos clientes e para mim em especil vai agregar conhecimento que é o que mais me interessa.

Creio que possa ser algo com as portas, ou seja, quando voce abre uma conexao com um host remoto, uma porta alta acima de 1024 (seja udp ou tcp) é aberta localmente.

Quando se faz NAT, para cada porta de origem no pc da rede interna ex.: 3248 é aberta uma porta na maquina que faz NAT ex.: 12485

web(80) <-------------- (12485) gateway <------------ pc interno (3248)

Se fosse possivel descobrir que o windows reserva um range de portas para alocar em processos de NAT, bloquear essas portas resultaria em banir o compartilhamento de conexoes.

Assim, portas altar abertas para NAT poderiam ser identificadas em bloqueadas.

No linux isso também é usado. Dentro do kernel (/proc) existe arquivos de configuração que vc preenche com o range de portas (não lembro quais).

Creio que essa minha teoria seja a mais perto da solução. vou testar no meu laboratorio e ver no que dá!

Citação:

---

Postado originalmente por PatrickBrandao

Creio que possa ser algo com as portas, ou seja, quando voce abre uma conexao com um host remoto, uma porta alta acima de 1024 (seja udp ou tcp) é aberta localmente.

<... cut ...>

Creio que essa minha teoria seja a mais perto da solução. vou testar no meu laboratorio e ver no que dá!

---

Certo, o problema é que quando não se está usando NAT também são usadas portas altas (acima de 1024) para iniciar as conexões, e estas portas são usadas de maneira aleatória pelas aplicações.

Então, se o provedor simplesmente considera que o range reservado para NAT (que pode ser usado pelas estações quando não estão fazendo NAT) é sempre usado para NAT e os bloqueia. Os usuários de NAT serão bloqueados (pelo menos os que não alterarem o range) e os usuários azarados também...

Mas é um caminho a se seguir, o problema é que a única forma de testar se é isso mesmo que estão usando é de dentro da rede do provedor.

usem algum sniffer e capture algums pacotes para ver o q tem diferente entre pacotes nateados e os q nao sao.

http://www.ethereal.com/mm/image/tethereal-20000125.gif

Lee

Descobri o que é!!!! HUAHUAHUAAH!

Quando o pacote passa pelo gateway do clientes, como dz no padrão de internet:

"para cada novo host ou salto, ou quando o pacote passa mais de um segundo na fila, o campo ttl deve ser decrementado"

Ou seja, o ttl do pacote IP que vem de uma conexão aberta no gateway é por padrão 127 (128 menos o primeiro salto), ja da maquina atras do gateway é 126 (primeiro salto: gateway do clientes, segundo salto: gateway do provedor)

O comando para bloquear pelo ttl está em www.netfilter.org
acabei de descobrir e tenho que ir pra faculdade, mais tarde eu posto os comandos completos (se alguem já nao tiver posto!!!)

abraços,
Patrick Brandão

Bom se for isso é legal a ideia so que é facil de burlar, primeiro que acho que 128 não é um padrão de ttl se não me engano, existem outras métricas usadas em ttl, alem do que pode se modificar, vou dar mais uma lida sobre isso mas a ideia é boa.

falows

comentarios interesantes no ano 2.003

http://www.dslreports.com/shownews/27754

Internet Header Format

pagina 10 (September 1981)

http://www.faqs.org/rfcs/rfc791.html

Lee

Estava pesquisando sobre o assunto e não encontrei nada que faça o bloqueio do compartilhamento, a unica coisa que achei que da para quebrar o galho e limitar as conexões simutaneas. limitando assim o numero de programas e conexoes abertas.

Se funcionar mesmo e vai ter muita gente interessada.

Eis o comando:

IPCLIENTE=192.168.20.35
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j DROP


Uma ideia interessante também é colocar as conexões compartilhadas em links virtuais no tc de baixa velocidade, tipo, se o cliente tem 128kits, as conexao de compartilhamento podem ser limitadas a 10% da banda contratada!

Outra coisa é concientizar!
Redirecionar pelo PREROUTING os pacotes com ttl suspeito para uma pagina de aviso:

E PROIBIDO COMPARTILHAR CONEXAO

Fontes:
http://www.netfilter.org/documentati...-3.html#ss3.20
http://www.linuxfan.pl/dyskusje/pcol...2003/8328.php3

Citação:

---

Postado originalmente por nataniel

Citação:

---

Postado originalmente por alex_sorocaba

Creio que um contrato que especifique o que pode fazer com a conexão
se pode compartilhar ou não não seja um bom contrato. Eu estaria roubando se por exemplo fizer alguma gambiarra pra aumetar minha banda ou algo parecido, mas desde que contratei 300kb posso usar esses 300kb da maneira que eu quiser isso eu digo com base nos usuários domésticos, agora se for pra empresa a conversa e outra as condições tem que ter diferenças, o que acho injusto é não permitir compartilhamento da internet quando o uso for para usuários domésticos ai sim é uma tremenda duma enorme sacanagem sem tamanho e sem nexo por parte do provedor, como eu encaro isso como tremenda sacanagem usada do provedor para comigo iria até os céus pra burlar ele.

---

Alex,

Nós, provedores, não permitimos o compartilhamento de uma conexão a internet porque DOIS (ou mais) clientes que TÊM TOTAL CAPACIDADE de comprar DOIS (ou mais) ACESSOS fazem apenas um dando prejuízo ao provedor já que irão usar por DOIS e pagarão apenas por UM.

Pense que TODO provedor têm por padrão o compartilhamento de banda (se não fosse assim eu teria que vender acesso de 64 Kbps por no mínimo R$ 140,00, o que inviabilizaria o negócio).

Toda banda comprada, inclusive DSL, é compartilhada com um mínimo de 6 clientes e um máximo de 10. Se todos usarem ao mesmo tempo cada um terá uma parcela da banda.

Agora imagine que um dos clientes divide o acesso. Consequentemente o uso dele dobra e então um usuário desses 10 fica prejudicado.

Isso não é sacanagem do provedor e sim a forma que existe para ganharmos dinheiro, termos um determinando lucro (entre 18~22% na maioria dos casos).

---

Sinceramente não consigo entender! Antes quando utilizavamos o modem 56K éra tudo uma maravilha, sem problemas de restrição de compartilhamento. Pô, afinal estamos contratando um acesso a Internet ou uma change de navegar numa estrada congestionada com pedagios e rodisios?? Se é uma conexão de 300 kbps contrata, é ela que devemos ter, se á pra todo mundo dividir essa conexao, então que a cobrança seja feita pela velocidade de navegaçao momentanea. Por que pagar por 300 kbps se nunca vai têla? Isso sim é roubar e iludir o consumidor.
Se contrato uma um fornecimento de energia, eu pago pelo que uso, isso sim é justo, e sempre vou ter a energia que preciso quando preciso.
Agora, se o provedor não tem condiçoes de fornecer a banda que foi contratada, é sujeira mesmo, a não ser que conste no contrato ( que no meu não tem).
Se é muito caro fornecer serviço de provedor, então não forneça. Para que se preocupar? Deixe o captalismo enrrustido das grandes companhias correrem atrás, e vão.
Me desculpe, mas se eu contratei um acesso a Internet, não interessa ao fornecedor o que vou fazer com ele, se acessar paginas pornograficas, acessar banco, baixar arquivos, usar VOIP, ou ligar outro computador.
É um acesso e pronto.
O que me deixa P da vida, é que sempre a gente leva a pior.
:kiss:

Pessoal,

respeito a opnião do consumidor. Minha posição aqui nesse tópico e discutir e descobrir técnicas de redes e oferecer, como prestador de serviço, aos provedores de internet.

Quero sugerir aos consumidores e provedores que iniciem um topico para discutir politica de contrato, etica de consumo e fornecimento de acesso a internet.

Gostaria de discutir nesse topico apenas assuntos técnicos que envolvem camada 2 a camada 5 de redes de computadores. Creio que vai dar boas ideias!

Concordo com vc patrick, já que eu tb nem tenho provedor gostei desse topico para conhecimento da coisa, pois alem do ttl pode ter outras formas de controle, que alem de podermos oferecer serviços diferentes também podemos aumentar a segurança de nosso servidores e melhorar nossos serviços.

falows

Pessoal,

o bloqueio por ttl realmente funciona. As caracteristicas do bloqueio são os mesmos do apresentado pelo amigo que criou esse tópico: ping funciona mas não resolve dns nem conecta.

Fiz os teste compartilhando com um windows xp e também fiz testes com o linux. Cheguei as conclusões:

Definição:

web(4)
|
|
gateway provedor(3) <---------> pc cliente(2) <------- pc interno(1)

1 - os valores de ttl originais usados pelos sistemas operacionais são:
windows - a maioria usa 128
linux - por padrao, 64 mas pode ser alterado em /proc/sys/net/ipv4/ip_default_ttl

2 - conexão vindas diretas do pc do cliente apresentam ttl padrão menos um, ou seja, 127 (windows) ou 63 (linux). Permitir esses ttl é garantir com 90% de precisão que não haverá conexões compartilhadas. A técnica para garantir o bloqueio será listado mais abaixo.

3 - quando a maquina da rede interna (pc interno) usa proxy na maquina do pc cliente que compartilha a internet, o ttl não é decrementado duas vezes como no caso do nat. Como há uma conexão do pc interno com o pc cliente, e outra conexão do pc cliente com a internet, não é possível identificar pelo conteudo dos cabeçalhos ip. A técnica para inibir o proxy no pc cliente será listada abaixo.

4 - Inibindo o uso do proxy: Como o proxy se faz passar por um browser na visão do servidor remoto na web(4), ele é obrigado a enviar o campo User-Agent (leia: http://en.wikipedia.org/wiki/User_agent ). Utilizando o path-o-matic é possível bloquear os pacotes contendo essa string, assim não haverá conexão pelo proxy do pc cliente(2) (hauhauah!!!). Exemplo de bloquear o proxy no pc cliente(2):

IPCLIENTE="192.168.10.24"

# squid (www.squid-cache.org):
iptables -I FORWARD -s $IPCLIENTE -m string --string 'User-Agent: Squid' -j DROP


5 - o cliente pode manipular a ttl em qualquer sistema operacional para descobrir um valor de ttl que burle a regra, a solução para isso é garantir acesso apenas a ttl 127. Como o valor maximo de ttl é 128, o cliente não vai conseguir colocar 129 para se safar dos dois decrescimos que sofrerá! Em compensação, o provedor deve ficar atendo em corrigir esse fator em clientes com linux que por padrão tem ttl 64.
Use:
# bloquear todas os pacotes com ttl menor que 127
iptables -I FORWARD -m ttl --ttl-lt 127 -j DROP

#ou, permitir apenas a 127
iptables -I FORWARD -m ttl --ttl-eq 127 -j ACCEPT
iptables -P FORWARD DROP

Relativamente, apenas essas duas técnicas foram funcionais até o momento para determinar um compartilhamento: TTL e String User-Agent

Quem aprender mais alguma posta aqui!

Citação:

---

Postado originalmente por PatrickBrandao

Descobri o que é!!!! HUAHUAHUAAH!

Quando o pacote passa pelo gateway do clientes, como dz no padrão de internet:

"para cada novo host ou salto, ou quando o pacote passa mais de um segundo na fila, o campo ttl deve ser decrementado"

Ou seja, o ttl do pacote IP que vem de uma conexão aberta no gateway é por padrão 127 (128 menos o primeiro salto), ja da maquina atras do gateway é 126 (primeiro salto: gateway do clientes, segundo salto: gateway do provedor)

O comando para bloquear pelo ttl está em www.netfilter.org
acabei de descobrir e tenho que ir pra faculdade, mais tarde eu posto os comandos completos (se alguem já nao tiver posto!!!)

abraços,
Patrick Brandão

---

No proprio gateway e sem NAT o ttl é o default, ou seja, 128 para os Windows e 64 para a maioria dos Linux e se não me engano Win95. A partir dai se decrementa 1 por roteador lembrando-se qu bridges não decrementam o ttl. Assim no próximo hop atras do gateway o ttl normal é 127. Se houver NAT ai sim seria 126.

Para os sysadmin que quiserem detectar NAT com a técnica do ttl basta instalar o tcpdump no gateway e fazer:

tcpdump -v -c 1000 src net 192.168 > tcpdump.log
cat tcpdump.log | grep "ttl 127"

No output estarão os cabeçalhos dos pacotes de maquinas windows atrás de NAT.
Para detectar linux atras de NAT portanto se usa "ttl 63".
Use o man do tcpdump para entender e modificar os parametros.
Se o tcpdump rodar em outra maquina que não o gateway decremente o numero de hops de acordo.

Para bloquear basta usar o match ttl, mas melhor do que simplesmente bloquear é detectar e primeiro entrar em contato para educar o seu cliente.

Na verdade o ttl pode ser facilmente manipulado, mas existem outras técnicas de detecção baseadas em sequencias SYN/ACK/RST que são muito precisas e quase impossiveis de se evadir.

Neste caso não é trivial fazer um bloqueio usando extensões do iptables como acima, mas a detecção tambem é simples pois existem algumas ferramentas de codigo livre disponiveis.
Impedir a detecção por estas ferramentas é muto mais dificil pois seria preciso alterar a pilha TCP/IP do gateway NAT com este objetivo.

Seguem links p/ duas ferramentas de detecção de NAT que usam mas não dependem do ttl do pacote. Para compilar o natdet dependendo da distro usada pode ser preciso mover ou copiar alguns headers, mas existe um pacote com os binarios p/ o slack 10.1.

http://lcamtuf.coredump.cx/p0f.shtml
http://elceef.itsec.pl/natdet/natdet-1.0.5.tgz

[]'s

Prezado Patrick,

Alguns probleams nas técnicas que vc citou:

Sobre inibir o uso do proxy não é possivel usar o string match para inibir o uso de um proxy como o squid pois com as diretivas anonymize_headers e fake_user_agent vc pode driblar isto facilmente.

Sobre a manipulação de ttl, basta fazer o gateway NAT setar o ttl dos pacotes internos para o default do SO e a partir dai este pacote, do ponto de vista de ttl, é absolutamente identico aos pacotes originados no proprio gateway e portanto não podem mais ser filtrados pelo ttl.

[]'s

Ta bom! As técnicas podem ser burladas mas vai exigir um conhecimento técnico intermediário-avançado e muito tempo, onde o primeiro não é pra qualquer um.

Agora, alguem pode expor novas técnicas com comandos do iptables, ebtables ou qualquer outra coisa especifica que incremente verificação nos pacotes a fim de atingirmos nosso objetivo: bloquear o compartilhamento de internet?