Тема: Ограничаване трафика по порт (Прочетена 2237 пъти)

Vectra · « -: Feb 13, 2007, 17:41 »

Здравейте. Пак ми се налага да попитам за помощ. Да сте живи и здрави че помагате

'>

Зора ми е следния: Искам да огранича трафика към вътрешната мрежа по определен порт (torrent клиент - BitCommet). Ако не се лъжа порта е 24000. Разгледах няколко примера за ограничаване на трафика, но ставаше дума за разделяне на скоростта към BG и NET адреси а и правилата ми се видяха сложни. Има ли някакво просто правило с което да резна трафика към този порт , а в краен случай, ако е много сложно направо да го забраня от файеруола. Това, последното, също как става, че от YaST-a не успях, а пробите, които правих с iptables ми убиха целия нет. Благодаря

neter · « **Отговор #1 -:** Feb 13, 2007, 18:14 »

Аве с туй SuSE... мен вече ме е страх да отговарям на въпроси за него, щото все може да каже някой, че трябва през графика

'>
Забраняването на порт в iptables става с командата
/sbin/iptables -A FORWARD -s 111.222.333.444 -p tcp -m tcp --dport 24000 -j DROP
ако искаш да спреш порта само за това IP към навсякъде навън
/sbin/iptables -A FORWARD -d 111.222.333.444 -p tcp -m tcp --dport 24000 -j DROP
ако искаш да спреш порта на всички зад рутера към това външно IP
/sbin/iptables -A FORWARD -s 555.666.777.888 -d 111.222.333.444 -p tcp -m tcp --dport 24000 -j DROP
ако искаш да спреш порта за това IP към това външно IP и
/sbin/iptables -A FORWARD -p tcp -m tcp --dport 24000 -j DROP
ако искаш да спреш порта на всички зад рутера към навсякъде навън

Vectra · « **Отговор #2 -:** Feb 13, 2007, 20:08 »

Благодаря за отговора. Нещо такова опитах, ама не се получи.
Юзера си теглеше с пълна сила. Утре ще пробвам по начина който ми написа. Само едно не ми е ясно. Правилата, които изпълнява защитната стена няма ли да попречат на тази команда? В смисъл кое правило ще се изпълни? Това на стената(явно разрешава преминаване на пакети по този порт) или забраната, която сега ще дам? Ако ще трябва да премахна първо всички правила не означава ли че трябва да си пренапиша целя файеруол?

neter · « **Отговор #3 -:** Feb 13, 2007, 22:00 »

Правилата на защитната стена би трябвало да си ги описал в един файл. В същия този файл добави реда за забрана на 24000-ти порт най-отгоре в групата за FORWARD. По този начин правилото ще застане в най-горна позиция в таблицата и ще действа. Това, което ти си опитал най-вероятно, е ръчно добавяне на правилото, когато firewall-а вече е бил зареден. В този случай не трябва да се използва "-А FORWARD", защото така правилото застава най-отдолу в таблицата и заради правилата във firewall-а явно се обезсмисля. При ръчно добавяне в таблицата трябва да се използва "-I FORWARD 1", където номера е позицията в таблицата, на която ще застане правилото (в случая най-добре е да е 1). Одеве забравих да спомена, че е възможно да се наложи да добавиш още едно правило, но за UDP (т.е. там, където пише tcp, трябва да сложиш udp), понеже не съм сигурен в случая трябва ли да се забранят и UDP конекциите, а нямам време сега да пробвам.

VladSun · « **Отговор #4 -:** Feb 14, 2007, 11:23 »

Цитат (Vectra @ Фев. 13 2007,17:41)

Искам да огранича трафика към вътрешната мрежа по определен порт (torrent клиент - BitCommet). Ако не се лъжа порта е 24000.

Със сигурност Bitcommet-а дава възможност на потребителя да избира кой порт да се използва (може и случаен всеки път

'> ) - т.е. това с рязането на портове не е решение.

emagi · « **Отговор #5 -:** Feb 14, 2007, 11:52 »

Мен ако питаш за по стабилна мрежа,зашо не опиташ да ограничиш конекциите!Аз го направих това,именно заради торентите,тъй като поради тяхна причина много "увисвеше" вътрешната мрежа!

Gaara · « **Отговор #6 -:** Feb 14, 2007, 11:59 »

http://l7-filter.sourceforge.net/

neter · « **Отговор #7 -:** Feb 14, 2007, 12:01 »

Това, че може да си избира порт не го знаех, но рязането на портове все още може да бъде решение - режеш всички портове и позволяваш само тези, които искаш да ползват, напр. 25, 80, 110, 143 и т.н. Не съм сигурен обаче, какво ще стане, ако клиента си настрои в BitCommet-а да ползва 80-и порт например.

edit: Това, което е дал Gaara изглежда интересно

Gaara · « **Отговор #8 -:** Feb 14, 2007, 12:10 »

След като си паченеш ядрото, трябва да разгледаш използването на l7. Ето ти и пример за спиране p2p
iptables -t filter -A FORWARD -m layer7 --l7proto edonkey -j DROP
, но може да имаш загуби на полезен трафик.

gat3way · « **Отговор #9 -:** Feb 14, 2007, 13:58 »

Рано или късно, повечето bittorent клиенти ще почнат да криптират трафика. А иначе и сега layer7 филтрирането не е особено добра идея.

KPETEH · « **Отговор #10 -:** Feb 14, 2007, 14:02 »

Май по-добре е да инсталира squid поне ще ги резне по разширения и няма никой да може да тегли .torrent освен тези които са в white списъка

'>

neter · « **Отговор #11 -:** Feb 14, 2007, 15:58 »

И Squid-а не е достатъчен, защото съвсем спокойно може някой друг да му тегли файловете с разширение .torrent, след което да му ги дава да си ги тегли от неговия http сървър преименувани. За хитрата глава граници няма, ама няма да приказвам повече за такива работи, щото в една тема се отплеснахме и я заключиха накрая. Ако модераторите смятат поста ми, че е в разрез с правилата, нека го затрият, но да оставят темата отворена

'>

Vectra · « **Отговор #12 -:** Feb 14, 2007, 17:08 »

Благодаря на всички, но все още не мога да се справя.
Нямам още достатъчно опит за методите, които ми предлагате. iptables -I FORWARD 1 .... не сработва. Пробвах го на 22 порт и тествах с ShieldsUp. Остава си отворен.
Опитах да бутна конфигурационния файл на файеруола и по-точно следната секция:
## Type: string
## Default: 0/0
#
# Which internal computers/networks are allowed to access the
# internet via masquerading (not via proxys on the firewall)?
#
# Format: space separated list of
# <source network>[,<destination network>,<protocol>[,port[:port]]
#
# If the protocol is icmp then port is interpreted as icmp type
#
# Examples: - "0/0" unrestricted access to the internet
# - "10.0.0.0/8" allows the whole 10.0.0.0 network with
# unrestricted access.
# - "10.0.1.0/24,0/0,tcp,80 10.0.1.0/24,0/0,tcp,21" allows
# the 10.0.1.0 network to use www/ftp to the internet. -
# - "10.0.1.0/24,0/0,tcp,1024:65535 10.0.2.0/24" the
# 10.0.1.0/24 network is allowed to access unprivileged
# ports whereas 10.0.2.0/24 is granted unrestricted
# access.
#
FW_MASQ_NETS="192.168.0.0/24"

така има пълен достъп от вътрешната мрежа,обаче ако се опитам да филтрирам по порт:

FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80"
спира всичко, включително и нета.
Опитах всякакви комбинации с обхват на портовете но няма ефект.
Къде бъркам?

Vectra · « **Отговор #13 -:** Feb 14, 2007, 19:58 »

интересен факт:
когато променя правилото на
FW_MASQ_NETS="192.168.0.0/24,0/0,tcp"
торентите започват да се теглят а www няма
ако уточня и порта:
FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80"
торентите спират, но нет пак няма.
Явно правилото си бачка, някъде нещо друго съм омазал.Нет има само така:
FW_MASQ_NETS="192.168.0.0/24,0/0"

Какво да правя... ':crazy:'

Vectra · « **Отговор #14 -:** Feb 14, 2007, 22:34 »

Хм... справих се с проблема, ама не ми е ясно защо се получи
направих го така:
FW_MASQ_NETS="192.168.0.0/24,,tcp,0:1024 192.168.0.0/24,,udp,0:1024"
без разрешение по udp нета не върви. Защо е така?
Благодаря...

Автор Тема: Ограничаване трафика по порт (Прочетена 2237 пъти)