Alguem poderia me ajudar com bloqueio do ARES, tentei com o IPP2P, iptables, mais nao obtive sucesso, existe alguma saída, aqui na rede que administro sempre tem uns carinhas, usando na moita..hahah
abracos, desde ja agradeco!
Alguem poderia me ajudar com bloqueio do ARES, tentei com o IPP2P, iptables, mais nao obtive sucesso, existe alguma saída, aqui na rede que administro sempre tem uns carinhas, usando na moita..hahah
abracos, desde ja agradeco!
bloqueio.. bloqueio definitivo
eh bem dificil...
alem de gerar um alto processamento em seu servidor
te aconselho a usar um conjunto de marcacao de pacotes de cada pc na rede + limite de conexao
ai no limite de conexao, vc prioriza as portas nativas, dando um limite so para eles
e outro limite somente para portas altas...
assim, mesmo q alguem use torrent, p2p da vida...
estara limitado ao numero de conexoes possiveis... tendo assim, q esperar um download terminar para comecar o outro.
aqui eu criei uma tabela chamada CONNLIMIT.# Connlimit
# Controle de conexao
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 20,21,23,25,53,110,443 -j CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 96 --connlimit-mask 32 -j DROP
echo " Connlimit porta nativa iniciado...............[ OK ]"
coloquei nessa tabela as principais portas: 20,21,23,25,53,110,443,1863,2210,3128,5600,8080,8081
no final, ativei o limite de 96 conexao simultaneas (--connlimit-above 96) para cada ip na rede (--connlimit-mask 32)...
PS:alterando o (--connlimit-mask 32) para (--connlimit-mask 24) vc ira limitar uma rede ao todo, ao total de conexoes configuradas.
aqui eu deixei em "32", pois assim eu limito ip por ip...
aqui eu criei uma outra tabela chamada CONLIMIT.iptables -t mangle -N CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1:19 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 26:52 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 54:79 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 81:109 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 111:442 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 444:1862 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1864:2209 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 2211:3127 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 5601:8079 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 8082:65535 -j CONLIMIT
iptables -t mangle -A CONLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 45 --connlimit-mask 32 -j DROP
echo " Connlimit portas nao nativa iniciado..........[ OK ]"
e limitei todas as outras portas para um total de 45 conexoes simultaneas...por IP
Coloquei umas regras semelhantes a uns dias atras... senti uma pequena melhora no desempenho, porem, nao fiz nenhum teste mais profundo com alguma ferramenta especifica.
Segue abaixo as regras de bloqueio que uso e funciona 100%:
ip>firewall>filter>
0 ;;; Bloqueio Geral P2P
chain=forward p2p=all-p2p action=drop
1 chain=forward protocol=udp dst-port=0 action=drop
2 chain=forward protocol=tcp dst-port=0 action=drop
ip>firewall>mangle>
12 ;;; Bloquear Warez/Gnutella/Edonkey
chain=prerouting in-interface=Internet p2p=warez action=mark-connection
new-connection-mark=MP2P passthrough=no
13 chain=prerouting in-interface=Internet p2p=gnutella action=mark-connectio>
new-connection-mark=MP2P passthrough=no
14 chain=prerouting in-interface=Internet p2p=edonkey action=mark-connection
new-connection-mark=MP2P passthrough=no
só isso ai bloqueia os malditos.
bom amigo...
mikrotik usa iptables como firewall...
vc podera facilmente traduzir ele e implementar em seu servidor
porem, para implementar essas regras acima... vc tera que recompilar o kernel...
pois, tera que aplicar o patch-o-matic no iptables.. e depois compilar o iptables no sistema...