Barrar acesso a redes P2P

Ae galera... salve. Eh o seguinte.... tenho servidores Conectiva Linux 7 e 8, Kernel 2.2 e 2.4 respectivamente. Eles fazem papel de proxy. Tenho o squid funcionando neles. To precisando barrar acesso a redes P2P como o Kazaa. Como faço? O Kazaa usa varias portas...

Faça um firewall que bloqueia tudo e libere apenas o que for necessario. Direcione tudo que for para 80 para o squid e lá crie suas acls.

Falow

eh... num eh tao simples... tenho duas placas de rede... e a porta que solicita o acesso ao serv P2P eu num tenho como saber qual eh... entaum... complica um pouco mais.

É simples sim. Eu tenho um firewall simples que bloqueia tudo e libera apenas as portas 80(www), 53(dns) e 443(https). E tudo que passar pela porta 80 direciono para a 3128(squid). E minha maquina tem 4 placas de rede(2 para links embratel e 2 para rede interna). Se quiser lhe ajudo a montar as regras.

Abraços

Jah tentou usar o ipp2p???
O ipp2p eh uma extensão do iptables... aqui eu uso ele e funciona blz!
Dah uma olhada <a href="http://rnvs.informatik.uni-leipzig.d...index_en.html" target=_blank>aqui</a> e pegue a versão mais nova.
OBS.: Vc vai precisar do src do iptables para compilar o ipp2p

O link q eu coloquei na mensagem anterior eh esse:
http://rnvs.informatik.uni-leipzig.d.../index_en.html

Desculpa pela falha!!!

aqui no under tem um artigo que postei que mostra como fazer isso: https://under-linux.org/modules.php?...icle&artid=286

Ae galera... valeu ai.... mas oq eh esse ipp2p???

Sou eu ai em cima... :)

cara, esse IPP2P eh um netfilter que indentifica conexão de tráfego P2P... ou seja eh uma ferramenta que te ajuda procurando pacotes TCP/IP que tenham no seu cabeçalho sinalização que o software acha que eh pra redes P2P....

Citação:

---

Postado originalmente por Lestat1

É simples sim. Eu tenho um firewall simples que bloqueia tudo e libera apenas as portas 80(www), 53(dns) e 443(https). E tudo que passar pela porta 80 direciono para a 3128(squid). E minha maquina tem 4 placas de rede(2 para links embratel e 2 para rede interna). Se quiser lhe ajudo a montar as regras.

Abraços

---

Primeiro, valeu ai pela força... li alguns artigos dizendo q os programas p2p usam varias portas, inclusive de outros serviços. Por exemplo... a porta 80 (www). Como vc disse, a porta 80 ta liberada, e tem q ta liberada realmente... nunca ocorreu utilização de rede p2p nessa porta, ou em outras???? Seria realmente eficaz uma tentativa de barrar redes p2p com um firewall com regras iptables? Novamente... valeu a força.

Eu administro uma rede academica com mais de 100 maquinas para os alunos e aqui todo bloqueio é pelo firewall, como eu já disse eu libero apenas as portas 80, 53 e 443 e direciono todo o trafego da porta 80 para o squid.
Aqui ninguem consegue acessar nada que naum for academico.

Abraços

Citação:

---

Postado originalmente por Lestat1

Eu administro uma rede academica com mais de 100 maquinas para os alunos e aqui todo bloqueio é pelo firewall, como eu já disse eu libero apenas as portas 80, 53 e 443 e direciono todo o trafego da porta 80 para o squid.
Aqui ninguem consegue acessar nada que naum for academico.

Abraços

---

Amigo,

Tenho este mesmo problema na empresa onde trabalho!
Será que voce poderia enviar-me uma copia do seu script iptables?

Grato,

[email protected]

Ai Lestat1. Manda pra mim tb... ainda num consegui resolver!!!!!

Valeu.

Mando sim galera, mas mando pelo forum ou por e-mail?
Eu não sei das regras dos moderadores sobre isso, pois faz pouco tempo que entrei para o forum.

Abraços

Pode postar no fórum.

Supondo que tenho duas redes 192.168.20.0/24 e 192.168.15.0/24 e a rede 15.0 não pode ter acesso a rede 20.0.

Caso aparece alguma duvida me escrevam.

Abraços



echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING DROP

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT

iptables -A INPUT -s 192.168.15.0/24 -d 0/0 -j ACCEPT
iptables -A INPUT -s 192.168.20.0/24 -d 0/0 -j ACCEPT
iptables -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p all -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp --dport 0:65535 -j LOG --log-prefix "Acesso Externo Indevido"
iptables -A INPUT -p udp --dport 0:65535 -j LOG --log-prefix "Acesso Externo Indevido"
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

iptables -A FORWARD -d 192.168.15.0/24 -s 0/0 -j ACCEPT
iptables -A FORWARD -s 192.168.15.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -d 192.168.20.0/24 -s 0/0 -j ACCEPT
iptables -A FORWARD -s 192.168.20.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.15.0/24 -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -s 0/0 -d 192.168.20.0/24 -m state --state ESTABLISHED,RELATED

iptables -t nat -A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ppp0 -j MASQUERADE

iptables -t nat -A PREROUTING -s 192.168.20.0/24 -d 192.168.15.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.1 -d 192.168.15.1 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.15.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp -s 192.168.20.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p tcp --dport 1025:65535 -j LOG --log-prefix "Acesso Indevido "
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p udp --dport 1025:65535 -j LOG --log-prefix "Acesso Indevido "
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p tcp --dport 1025:65535 -j LOG --log-prefix "Acesso Indevido "
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p udp --dport 1025:65535 -j LOG --log-prefix "Acesso Indevido "
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p udp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p udp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.15.0/24 -p tcp --dport 443 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.20.0/24 -p tcp --dport 443 -j ACCEPT

Ae cara... blz, deu certo. Ta barrando o kazaa e outros p2p. Agora o seguinte. To precisando liberar a porta 22 pra ssh e a porta de webcam do msn. Como faço.

Ah, valeu ae....

Tb to precisando liberar ping externo. Sabe como faço? Ah, a porta do squid ta liberado para acesso externo.

Valeu.

Ae galera.... ja consegui liberar o ssh e o ping. Qnd o meu firewall estiver todo pronto, posto aqui tb.

Valeu ae a todos.

No caso de um Provedor:
Porque bloquear os serviços?
Não há controle de banda?
Vcs vão criar problemas para seus usuarios, pois muitos deles usam o ICQ ou MSN ou outros serviços para se comunicarem ou tratarem de negócios.
E mais, tomem cuidados pois acredito que no contrato que os clientes assinaram, provavelmente nao tem nada sobre limitaçoes ou censuras.

Citação:

---

Postado originalmente por lbrazluc

No caso de um Provedor:
Porque bloquear os serviços?
Não há controle de banda?
Vcs vão criar problemas para seus usuarios, pois muitos deles usam o ICQ ou MSN ou outros serviços para se comunicarem ou tratarem de negócios.
E mais, tomem cuidados pois acredito que no contrato que os clientes assinaram, provavelmente nao tem nada sobre limitaçoes ou censuras.

---

Valeu pela dica... mas estamos querendo bloquear uso de programas p2p. Esses progs pegam toda a banda... ae complica. :wink:

Falou...

Citação:

---

Postado originalmente por Daniels

Citação:

---

Postado originalmente por lbrazluc

No caso de um Provedor:
Porque bloquear os serviços?
Não há controle de banda?
Vcs vão criar problemas para seus usuarios, pois muitos deles usam o ICQ ou MSN ou outros serviços para se comunicarem ou tratarem de negócios.
E mais, tomem cuidados pois acredito que no contrato que os clientes assinaram, provavelmente nao tem nada sobre limitaçoes ou censuras.

---

Valeu pela dica... mas estamos querendo bloquear uso de programas p2p. Esses progs pegam toda a banda... ae complica. :wink:

Falou...

---

Não bloqueia, limita...

Eh cara, mas limitando, aqueles clientes que nao fazem uso de tais progs, e usam a internet soh para consulta, ficariam insatisfeitos. Pq estariam com uma banda limitada.

manda pelo forum, é sempre bom dar uma olhada em configurações de outros firewall, sempre ajuda a melhorar o seu. E quanto ao ipp2p, este netfilter funciona bem eu ja testei, so nao estou usando pois minha rede é pequena e nao tenho problemas com p2p, minha unica preocupação é a segurança, pois tenho 800 Gflops de capacidade de processamento com link de internet de 2.5 Gbits. Prato cheio para invasoes nao? :twisted:

[] Dotta

manda pelo forum, é sempre bom dar uma olhada em configurações de outros firewall, sempre ajuda a melhorar o seu. E quanto ao ipp2p, este netfilter funciona bem eu ja testei, so nao estou usando pois minha rede é pequena e nao tenho problemas com p2p, minha unica preocupação é a segurança, pois tenho 800 Gflops de capacidade de processamento com link de internet de 2.5 Gbits. Prato cheio para invasoes nao? :twisted:

[] Dotta

Citação:

---

Postado originalmente por Daniels

Eh cara, mas limitando, aqueles clientes que nao fazem uso de tais progs, e usam a internet soh para consulta, ficariam insatisfeitos. Pq estariam com uma banda limitada.

---

Limita por serviço (porta), alem disto, se o cara contrata 64k é isto que ele deveria ter, em tese...