Limitando as conexões do ARES!!!!

[ivangalves]

Olá pessoal, estava eu aqui vendo as minhas conexões no servidor e vi que tinha alguns clientes com várias conexões abertas com o ARES (maledeto ) e resolvi testar limitando as conexões do ARES.

Fiz assim:
ip firewall mangle
Marcando a conexão:
add action=mark-connection chain=prerouting comment=P2P disabled=no new-connection-mark=p2p_warez p2p=warez passthrough=yes
Marcando o Pacote:
add action=mark-packet chain=prerouting comment="" connection-mark=p2p_warez disabled=no new-packet-mark=p2pwarez passthrough=no

Depois em:
ip firewall filter
Usando a marcação:
add action=drop chain=forward comment="Exceto de 2 Conexões ARES" connection-limit=!2,32 connection-mark=p2p_warez disabled=no protocol=tcp tcp-flags=syn

Após isso voltei as conexões em: ip firewall connection e vi que as conexões a maioria fica com o TCP State: Last Ack, Fin Wait, Time Wait e Close, vi por algumas vezes 2 conexões lógico que foi o número que setei no connection-limit=!2, conectadas mas não passam de 1 minuto ou um pouco mais e já mudam o TCP State. Segue imagem em anexo.

Vou usar uma máquina virtual e instalar o ARES () e me conectar como cliente e tentar me conectar com ele e ver se o danado conecta.

Ivan Galves

[m4d3]

ivan,

ARES not WAREZ
A maneira mais eficaz de tentar o bloqueio do ares é bloqueando a busca que utiliza criptografia (0 udp) e o layer 7, este último todos já sabem que consome um bocado de recursos do sistema.

[osmano807]

Só uma pergunta, o controle de banda não limita isso já?

[ivangalves]

Só uma pergunta, o controle de banda não limita isso já?

Fala grande Osmano, a minha tentativa ali era fazer com que o ARES nem conecte, pois após ele fechar a conexão não sei como o Ares consegue usar mais banda que o cliente tem disponível para ele.

[m4d3]

O controle de banda limita sim, eu entendi que o ivan quer é limitar o ares abaixo do limite de velocidade do cliente em si, o que não limita é o número de conexões simultâneas, e isso pra quem utiliza adsl é morte certa, ajuda ter um limite de conexões no fw e um filtro p2p seja por portas ou layer7.

[osmano807]

Humm, talvez seria mais fácil detectar todos os serviços úteis (talvez por layer7), e botar o resto numa regra default com 1k de banda.
Bem, é só uma ideia.
Mas para bloquear o ares, creio que só via layer7 mesmo...

[osmano807]

Fala grande Osmano, a minha tentativa ali era fazer com que o ARES nem conecte, pois após ele fechar a conexão não sei como o Ares consegue usar mais banda que o cliente tem disponível para ele.

Isso não seria uma falha no controle de banda? (talvez do próprio software)

[MorpheusX]

Infelizmente estou passando por isso tambem... O ruim e fazer as regras L7 funfa corretamente... eu ate desisti de tentar!!!

[rubem]

Num servidor eu até coloquei umas partes do exemplo daqui:
Basic traffic shaping based on layer-7 protocols - MikroTik Wiki
mas nunca testei o "resultado".
(Minha intenção era bloquear somente ares e limewire, os mais usados na época)
Com 30~40 simultaneos num Pentium 4 2GHz 1GB não ví mudança no desempenho ou aumento grafico no uso de memória ou processador, aparentemente com tão poucos usuarios não incomoda (Ou cortei partes fundamentais).

[osmano807]

Protocolos obscuros podem mudar...
Se for para bloquear por layer7, é melhor catar um sniffer e debugar o protocolo para fazer a regra 'nova'...
Talvez é documentado no source do programa, se tiver; ou na própria documentação do mesmo.
Ou não, já que gostam de burlar o bloqueio ERRADO que alguns provedores costumam fazer. O ideal seria um controle de banda que realmente funcionasse.

[rubem]

O Ares mesmo, não é filtrado pelas regras que os demais p2p da rede gnutella são, devia ser 'igual' mas pelo visto é só 'baseado' em gnutella, ou não é da versão 0.4 como diz ser.
(Filtragens que o Limeware, outro usuario do protocolo gnutella, não burlaVA)

[int21]

O Osmano tem razão, snifar é o caminho pra algo que realmente funcione (até hoje, amanhã ja não tem garantias hehehehe).