iptables / bloquer kazaa

iptables / bloquer kazaa - Logiciels - Linux et OS Alternatifs

Marsh Posté le 07-02-2003 à 11:27:49    

J'utilise le script iptables de monmotha , et j'arrive pas à trouver dans la doc comment bloquer un port precis (provenant d'un client interne!), pour bloquer l'acces à kazaa par exemple (1214 si je ne me trompe...)....
 
Donc voici l'url ou d/l le script:
http://monmotha.mplug.org/firewall/index.php
et la doc  
http://www.mplug.org/phpwiki/index [...] renceGuide
 
c'est tres clair, mais j'arrive pas à trouver cte fonction...je dois pas etre tres fute  [:spamafote]  [:quannum]  
 
 
voici mes regles actuelles (pour les purites :D):

Chain INPUT (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere            
 
Chain FORWARD (policy DROP)
target     prot opt source               destination          
INETIN     all  --  anywhere             anywhere            
INETOUT    all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination          
INETOUT    all  --  anywhere             anywhere            
 
Chain DMZIN (0 references)
target     prot opt source               destination          
 
Chain DMZOUT (0 references)
target     prot opt source               destination          
 
Chain INETIN (2 references)
target     prot opt source               destination          
TREJECT    all  --  anywhere             anywhere           state INVALID  
TREJECT    icmp --  anywhere             anywhere           icmp redirect  
TREJECT    icmp --  anywhere             anywhere           icmp router-advertisement  
TREJECT    icmp --  anywhere             anywhere           icmp router-solicitation  
TREJECT    icmp --  anywhere             anywhere           icmp type 15  
TREJECT    icmp --  anywhere             anywhere           icmp type 16  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-request  
TREJECT    icmp --  anywhere             anywhere           icmp address-mask-reply  
ACCEPT     icmp --  anywhere             anywhere           icmp echo-request limit: avg 1/sec burst 5  
TREJECT    icmp --  anywhere             anywhere           icmp echo-request  
ACCEPT     icmp --  anywhere             anywhere           icmp !echo-request  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpt:ftp  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpt:2002  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpt:1241  
ACCEPT     all  --  anywhere             anywhere           state ESTABLISHED  
TCPACCEPT  tcp  --  anywhere             anywhere           tcp dpts:1024:65535 state RELATED  
UDPACCEPT  udp  --  anywhere             anywhere           udp dpts:1024:65535 state RELATED  
TREJECT    all  --  anywhere             anywhere            
 
Chain INETOUT (2 references)
target     prot opt source               destination          
ACCEPT     all  --  anywhere             anywhere            
 
Chain LDROP (0 references)
target     prot opt source               destination          
LOG        tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `TCP Dropped '  
LOG        udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `UDP Dropped '  
LOG        icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level info prefix `ICMP Dropped '  
LOG        all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `FRAGMENT Dropped '  
DROP       all  --  anywhere             anywhere            
 
Chain LREJECTLTREJECT (0 references)
target     prot opt source               destination          
 
Chain TCPACCEPT (4 references)
target     prot opt source               destination          
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 20/sec burst 5  
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 2/sec burst 5 LOG level warning prefix `Possible SynFlood '  
TREJECT    tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN  
ACCEPT     tcp  --  anywhere             anywhere           tcp flags:!SYN,RST,ACK/SYN  
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch in TCPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain TREJECT (13 references)
target     prot opt source               destination          
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain UDPACCEPT (1 references)
target     prot opt source               destination          
ACCEPT     udp  --  anywhere             anywhere            
LOG        all  --  anywhere             anywhere           limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch on UDPACCEPT '  
TREJECT    all  --  anywhere             anywhere            
 
Chain ULDROP (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_FRAG' queue_threshold 1  
DROP       all  --  anywhere             anywhere            
 
Chain ULREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_FRAG' queue_threshold 1  
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable  
 
Chain ULTREJECT (0 references)
target     prot opt source               destination          
ULOG       tcp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_TCP' queue_threshold 1  
ULOG       udp  --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_UDP' queue_threshold 1  
ULOG       icmp --  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_ICMP' queue_threshold 1  
ULOG       all  -f  anywhere             anywhere           limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_FRAG' queue_threshold 1  
REJECT     tcp  --  anywhere             anywhere           reject-with tcp-reset  
REJECT     udp  --  anywhere             anywhere           reject-with icmp-port-unreachable  
DROP       icmp --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere           reject-with icmp-port-unreachable


 

Reply

Marsh Posté le 07-02-2003 à 11:27:49   

Reply

Marsh Posté le 07-02-2003 à 15:04:36    

:sweat:

Reply

Marsh Posté le 07-02-2003 à 15:10:34    

il doit être très bien ce script, mais il est beaucoup trop compliqué pour moi...
 
je dirais une règle du genre :
 
iptable -A FORWARD -p tcp --dport 1214 -j DROP
iptable -A FORWARD -p tcp --sport 1214 -j DROP
 
qui interdit le port 1214 en entrée et sortie sur le protocole TCP ( http://christian.caleca.free.fr pour une bonne doc en français)
 
maintenant, pour kazaa, tu va avoir des pb, celui ci fait du tunneling dans sa version 2 (i.e. passe par le port 80 = http > difficile à bloquer)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-02-2003 à 15:21:38    

Mjules a écrit :

il doit être très bien ce script, mais il est beaucoup trop compliqué pour moi...
 
je dirais une règle du genre :
 
iptable -A FORWARD -p tcp --dport 1214 -j DROP
iptable -A FORWARD -p tcp --sport 1214 -j DROP
 
qui interdit le port 1214 en entrée et sortie sur le protocole TCP ( http://christian.caleca.free.fr pour une bonne doc en français)
 
maintenant, pour kazaa, tu va avoir des pb, celui ci fait du tunneling dans sa version 2 (i.e. passe par le port 80 = http > difficile à bloquer)

:jap: ouais je viens de lire ça aussi sur soft&rezo :D
donc je crois que je vais installer squid et bloquer le 1214 et le 80 .
Sinon les 2 regles que tu m'a donné, je peux les rajouter maintenant (enfin y a pas une priorite sur une autre regle ou un autre truc ...?)  :hello:

Reply

Marsh Posté le 07-02-2003 à 15:35:11    

euh Squid est un proxy (qui peut faire filtre). tu bloqueras pas mieux avec un proxy qu'avec un firewall (qui est fait pour ça à la base) sauf si tu veux bloquer sur la destination des connexions.
 
une autre solution opur voir qui fait du Kazaa : tu regardes le traffic en upload et download : si l'upload n'est pas beaucoup moins important que le download (sur le port 80) > tu as du P2P sur ton réseau  
 
autrement, pas de problème au niveau de l'enchainement des règles.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-02-2003 à 16:10:00    

sisi, un proxy est bien plus efficace qu'un firewall car il filtre suivant les protocoles
 
avec un proxy, pas de kazaa sur le port 80 !

Reply

Marsh Posté le 07-02-2003 à 16:17:33    

je vais peut-être dire une connerie mais iptable filtre bien au niveau des protocoles, non ? (tcp, udp, icmp...)  
 
comment ça marche pour emêcher kazaa sur le 80 ?


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 07-02-2003 à 16:23:07    

en effet iptables filtre tcp/udp, etc
 
un proxy filtre ftp/http/irc/etc
 
ce ne sont pas les memes niveaux de protocoles.
 
par contre, si kazaa fait du VRAI tunneling http, ca va etre tres dur a bloquer

Reply

Marsh Posté le 07-02-2003 à 16:27:48    

merci


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 14-04-2003 à 13:03:29    

Et ya pas une sorte de serveur principal quand on se connecte a kazaa ? J'ai vu un post du style sur expert-echanges.
http://www.experts-exchange.com/Se [...] 93782.html
Du coup il suffirait de bloquer cette ip. Mais celle donnee semble pas correcte.
 
edit : j'ai trouve un autre truc
http://testweb.oofle.com/iptables/filesharing.htm


Message édité par Cruchot le 14-04-2003 à 13:05:45
Reply

Marsh Posté le 14-04-2003 à 13:03:29   

Reply

Marsh Posté le 14-04-2003 à 13:24:55    

Mouais ca marche pas terrible, doit y avoir d'autres ip ... :/
Bon une petit seance de tcpdump :D


Message édité par Cruchot le 14-04-2003 à 13:25:11
Reply

Marsh Posté le 14-04-2003 à 13:29:14    

Justement non, c'est là "l'intérêt" de Kazaa vs Napster, il n'y a pas de serveur principal. les serveurs tenant à jour la liste des fichiers s'appellent les supernodes et ils peuvent changer rapidement.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 14-04-2003 à 13:41:22    

Ok, donc kazaa faut le bloquer "a l'ancienne". Tu deboules dans le bureau : "Bon connard, t'arretes de dl avec kazaa sinon tu t'expliques avec les logs et le patron :D"
 
Mais quand meme quand Kazaa est lancé il initie bien une connexion quelqueaprt ? sur quelle ip ? Et il va la cherche ou ??  :??:


Message édité par Cruchot le 14-04-2003 à 13:45:33
Reply

Marsh Posté le 14-04-2003 à 13:56:53    

pour le probleme de kazaa :
blocague de tout les ports et forçage des clients a passer par le proxy (pour le web)
 
comme ça si la personne utilise kazaa sans conf le proxy
ça bloque
 
 
et si il le configure --> tu le verra dans les log ;)


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 14-04-2003 à 13:58:16    

Cruchot a écrit :


 
Mais quand meme quand Kazaa est lancé il initie bien une connexion quelqueaprt ? sur quelle ip ? Et il va la cherche ou ??  :??:  


la tu le fait a l'ancienne tu lance ethereal et kazaa après ;)
tu verras comme ça ce passe avec le sniffer


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 14-04-2003 à 14:01:15    

Cruchot a écrit :

Ok, donc kazaa faut le bloquer "a l'ancienne". Tu deboules dans le bureau : "Bon connard, t'arretes de dl avec kazaa sinon tu t'expliques avec les logs et le patron :D"
 [:rofl]  
 
Mais quand meme quand Kazaa est lancé il initie bien une connexion quelqueaprt ? sur quelle ip ? Et il va la cherche ou ??  :??:  


je crois qu'il broadcast, mais pas sur


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 14-04-2003 à 14:21:13    

Ouais pour le proxy c une bonne idee. Mais c dommage qu'on puisse pas tout faire avec iptables par ex :/

Reply

Marsh Posté le 14-04-2003 à 14:36:08    

Apparemment ca ca peut marcher
iptables -I FORWARD -p tcp -m string --string "KazaaClient" -j ACCEPT --reject-with tcp-reset
 
Mais faut patcher pour pouvoir utiliser "string" et j'ai pas encore eu le tps. Si quelqu'un pouvait tester ;)
 
http://www.netfilter.org/documenta [...] tml#string


Message édité par Cruchot le 14-04-2003 à 14:42:23
Reply

Marsh Posté le 14-04-2003 à 21:11:59    

Mjules a écrit :


je crois qu'il broadcast, mais pas sur


 
il fait une recherche d'apres ses vieux contacts. sinon il se connecte a un serveur dans des iles... gardé secret, mais on a admis son existence y a quelques temps.

Reply

Marsh Posté le 14-04-2003 à 22:23:05    

kazaa passe par le port 80 si les autres sont bloqués
 
donc on ne peut pas le stopper comme ça si on veut continuer a surfer :/
 
la seule façon que j'ai trouvé efficace, c'est les boitiers très chers de bluecoat ( www.bluecoat.com ) qui surveillent le port 80 et bloquent les transferts si ce n'est pas du trafic qu'il reconnait (http, https, etc)
 
j'ai testé quand je bossais chez eux et apparemment ça marche bien... mais vazi le prix...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed