Limitando as conexões do ARES!!!!

Olá pessoal, estava eu aqui vendo as minhas conexões no servidor e vi que tinha alguns clientes com várias conexões abertas com o ARES (maledeto :thumpdown:) e resolvi testar limitando as conexões do ARES.

Fiz assim:
ip firewall mangle
Marcando a conexão:
add action=mark-connection chain=prerouting comment=P2P disabled=no new-connection-mark=p2p_warez p2p=warez passthrough=yes
Marcando o Pacote:
add action=mark-packet chain=prerouting comment="" connection-mark=p2p_warez disabled=no new-packet-mark=p2pwarez passthrough=no

Depois em:
ip firewall filter
Usando a marcação:
add action=drop chain=forward comment="Exceto de 2 Conexões ARES" connection-limit=!2,32 connection-mark=p2p_warez disabled=no protocol=tcp tcp-flags=syn

Após isso voltei as conexões em: ip firewall connection e vi que as conexões a maioria fica com o TCP State: Last Ack, Fin Wait, Time Wait e Close, vi por algumas vezes 2 conexões lógico que foi o número que setei no connection-limit=!2, conectadas mas não passam de 1 minuto ou um pouco mais e já mudam o TCP State. Segue imagem em anexo.Anexo 17059

Vou usar uma máquina virtual e instalar o ARES (:thumpdown:) e me conectar como cliente e tentar me conectar com ele e ver se o danado conecta.

Ivan Galves

ivan,

ARES not WAREZ
A maneira mais eficaz de tentar o bloqueio do ares é bloqueando a busca que utiliza criptografia (0 udp) e o layer 7, este último todos já sabem que consome um bocado de recursos do sistema.

Só uma pergunta, o controle de banda não limita isso já?

Citação:

---

Postado originalmente por osmano807

Só uma pergunta, o controle de banda não limita isso já?

---

Fala grande Osmano, a minha tentativa ali era fazer com que o ARES nem conecte, pois após ele fechar a conexão não sei como o Ares consegue usar mais banda que o cliente tem disponível para ele.

O controle de banda limita sim, eu entendi que o ivan quer é limitar o ares abaixo do limite de velocidade do cliente em si, o que não limita é o número de conexões simultâneas, e isso pra quem utiliza adsl é morte certa, ajuda ter um limite de conexões no fw e um filtro p2p seja por portas ou layer7.

Humm, talvez seria mais fácil detectar todos os serviços úteis (talvez por layer7), e botar o resto numa regra default com 1k de banda.
Bem, é só uma ideia.
Mas para bloquear o ares, creio que só via layer7 mesmo...

Citação:

---

Postado originalmente por ivangalves

Fala grande Osmano, a minha tentativa ali era fazer com que o ARES nem conecte, pois após ele fechar a conexão não sei como o Ares consegue usar mais banda que o cliente tem disponível para ele.

---

Isso não seria uma falha no controle de banda? (talvez do próprio software)

Infelizmente estou passando por isso tambem... O ruim e fazer as regras L7 funfa corretamente... eu ate desisti de tentar!!!

Num servidor eu até coloquei umas partes do exemplo daqui:
Basic traffic shaping based on layer-7 protocols - MikroTik Wiki
mas nunca testei o "resultado".
(Minha intenção era bloquear somente ares e limewire, os mais usados na época)
Com 30~40 simultaneos num Pentium 4 2GHz 1GB não ví mudança no desempenho ou aumento grafico no uso de memória ou processador, aparentemente com tão poucos usuarios não incomoda (Ou cortei partes fundamentais).

Protocolos obscuros podem mudar...
Se for para bloquear por layer7, é melhor catar um sniffer e debugar o protocolo para fazer a regra 'nova'...
Talvez é documentado no source do programa, se tiver; ou na própria documentação do mesmo.
Ou não, já que gostam de burlar o bloqueio ERRADO que alguns provedores costumam fazer. O ideal seria um controle de banda que realmente funcionasse.

O Ares mesmo, não é filtrado pelas regras que os demais p2p da rede gnutella são, devia ser 'igual' mas pelo visto é só 'baseado' em gnutella, ou não é da versão 0.4 como diz ser.
(Filtragens que o Limeware, outro usuario do protocolo gnutella, não burlaVA)

O Osmano tem razão, snifar é o caminho pra algo que realmente funcione (até hoje, amanhã ja não tem garantias hehehehe).