P2p - BLOQUEIO

[rockltda]

Alguem poderia me ajudar com bloqueio do ARES, tentei com o IPP2P, iptables, mais nao obtive sucesso, existe alguma saída, aqui na rede que administro sempre tem uns carinhas, usando na moita..hahah


abracos, desde ja agradeco!

[AndrioPJ]

bloqueio.. bloqueio definitivo
eh bem dificil...
alem de gerar um alto processamento em seu servidor

te aconselho a usar um conjunto de marcacao de pacotes de cada pc na rede + limite de conexao

ai no limite de conexao, vc prioriza as portas nativas, dando um limite so para eles
e outro limite somente para portas altas...
assim, mesmo q alguem use torrent, p2p da vida...
estara limitado ao numero de conexoes possiveis... tendo assim, q esperar um download terminar para comecar o outro.

[rockltda]

bloqueio.. bloqueio definitivo
eh bem dificil...
alem de gerar um alto processamento em seu servidor

te aconselho a usar um conjunto de marcacao de pacotes de cada pc na rede + limite de conexao

ai no limite de conexao, vc prioriza as portas nativas, dando um limite so para eles
e outro limite somente para portas altas...
assim, mesmo q alguem use torrent, p2p da vida...
estara limitado ao numero de conexoes possiveis... tendo assim, q esperar um download terminar para comecar o outro.

Mascaraapj, orbigado pela força, mais sou um pouco noob ainda em linux, existe algum exemplo para voce poder postar aqui? de como fazer isso?

desde ja agradeço..
abraços

[AndrioPJ]

# Connlimit
# Controle de conexao
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 20,21,23,25,53,110,443 -j CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 96 --connlimit-mask 32 -j DROP
echo " Connlimit porta nativa iniciado...............[ OK ]"

aqui eu criei uma tabela chamada CONNLIMIT.
coloquei nessa tabela as principais portas: 20,21,23,25,53,110,443,1863,2210,3128,5600,8080,8081

no final, ativei o limite de 96 conexao simultaneas (--connlimit-above 96) para cada ip na rede (--connlimit-mask 32)...

PS:alterando o (--connlimit-mask 32) para (--connlimit-mask 24) vc ira limitar uma rede ao todo, ao total de conexoes configuradas.
aqui eu deixei em "32", pois assim eu limito ip por ip...

iptables -t mangle -N CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1:19 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 26:52 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 54:79 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 81:109 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 111:442 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 444:1862 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 1864:2209 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 2211:3127 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 5601:8079 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 --dport 8082:65535 -j CONLIMIT
iptables -t mangle -A CONLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 45 --connlimit-mask 32 -j DROP
echo " Connlimit portas nao nativa iniciado..........[ OK ]"

aqui eu criei uma outra tabela chamada CONLIMIT.
e limitei todas as outras portas para um total de 45 conexoes simultaneas...por IP



Coloquei umas regras semelhantes a uns dias atras... senti uma pequena melhora no desempenho, porem, nao fiz nenhum teste mais profundo com alguma ferramenta especifica.

[Psman]

Alguem poderia me ajudar com bloqueio do ARES, tentei com o IPP2P, iptables, mais nao obtive sucesso, existe alguma saída, aqui na rede que administro sempre tem uns carinhas, usando na moita..hahah


abracos, desde ja agradeco!

Linux: Firewall bridge + iptables + layer7 + ipp2p [Artigo]

[kyanbatera]

Alguem poderia me ajudar com bloqueio do ARES, tentei com o IPP2P, iptables, mais nao obtive sucesso, existe alguma saída, aqui na rede que administro sempre tem uns carinhas, usando na moita..hahah


abracos, desde ja agradeco!

Segue abaixo as regras de bloqueio que uso e funciona 100%:

ip>firewall>filter>
0 ;;; Bloqueio Geral P2P
chain=forward p2p=all-p2p action=drop
1 chain=forward protocol=udp dst-port=0 action=drop
2 chain=forward protocol=tcp dst-port=0 action=drop

ip>firewall>mangle>
12 ;;; Bloquear Warez/Gnutella/Edonkey
chain=prerouting in-interface=Internet p2p=warez action=mark-connection
new-connection-mark=MP2P passthrough=no
13 chain=prerouting in-interface=Internet p2p=gnutella action=mark-connectio>
new-connection-mark=MP2P passthrough=no
14 chain=prerouting in-interface=Internet p2p=edonkey action=mark-connection
new-connection-mark=MP2P passthrough=no

só isso ai bloqueia os malditos.

[rockltda]

Segue abaixo as regras de bloqueio que uso e funciona 100%:

ip>firewall>filter>
0 ;;; Bloqueio Geral P2P
chain=forward p2p=all-p2p action=drop
1 chain=forward protocol=udp dst-port=0 action=drop
2 chain=forward protocol=tcp dst-port=0 action=drop

ip>firewall>mangle>
12 ;;; Bloquear Warez/Gnutella/Edonkey
chain=prerouting in-interface=Internet p2p=warez action=mark-connection
new-connection-mark=MP2P passthrough=no
13 chain=prerouting in-interface=Internet p2p=gnutella action=mark-connectio>
new-connection-mark=MP2P passthrough=no
14 chain=prerouting in-interface=Internet p2p=edonkey action=mark-connection
new-connection-mark=MP2P passthrough=no

só isso ai bloqueia os malditos.

mais Kyan.... isso é IPTABLES??? qual firewaal vc usa?
abraços e valeu!

[kyanbatera]

mais Kyan.... isso é IPTABLES??? qual firewaal vc usa?
abraços e valeu!

é as regras de firewall normal

você vai no menu IP, depois firewall, na aba Filter Rules e coloque as regras de filter depois na aba mangle coloque as regras de mangle.

ou

se não coloque as regras via terminal.

[rockltda]

é as regras de firewall normal

você vai no menu IP, depois firewall, na aba Filter Rules e coloque as regras de filter depois na aba mangle coloque as regras de mangle.

ou

se não coloque as regras via terminal.

Valew pela dica... mais acho que voce esta falando de MIkRotKit ne...o meu aki..servidor de internet para rede de uma empresa,..na qual eu uso IPTABLES, mais valew plea forca...ta agradecido ja!

[AndrioPJ]

bom amigo...
mikrotik usa iptables como firewall...
vc podera facilmente traduzir ele e implementar em seu servidor
porem, para implementar essas regras acima... vc tera que recompilar o kernel...
pois, tera que aplicar o patch-o-matic no iptables.. e depois compilar o iptables no sistema...