iptables / bloquer kazaa
iptables / bloquer kazaa - Logiciels - Linux et OS Alternatifs
Marsh Posté le 07-02-2003 à 15:10:34
il doit être très bien ce script, mais il est beaucoup trop compliqué pour moi...
je dirais une règle du genre :
iptable -A FORWARD -p tcp --dport 1214 -j DROP
iptable -A FORWARD -p tcp --sport 1214 -j DROP
qui interdit le port 1214 en entrée et sortie sur le protocole TCP ( http://christian.caleca.free.fr pour une bonne doc en français)
maintenant, pour kazaa, tu va avoir des pb, celui ci fait du tunneling dans sa version 2 (i.e. passe par le port 80 = http > difficile à bloquer)
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 07-02-2003 à 15:21:38
| Mjules a écrit : il doit être très bien ce script, mais il est beaucoup trop compliqué pour moi... |
ouais je viens de lire ça aussi sur soft&rezo 
donc je crois que je vais installer squid et bloquer le 1214 et le 80 .
Sinon les 2 regles que tu m'a donné, je peux les rajouter maintenant (enfin y a pas une priorite sur une autre regle ou un autre truc ...?) 
Marsh Posté le 07-02-2003 à 15:35:11
euh Squid est un proxy (qui peut faire filtre). tu bloqueras pas mieux avec un proxy qu'avec un firewall (qui est fait pour ça à la base) sauf si tu veux bloquer sur la destination des connexions.
une autre solution opur voir qui fait du Kazaa : tu regardes le traffic en upload et download : si l'upload n'est pas beaucoup moins important que le download (sur le port 80) > tu as du P2P sur ton réseau
autrement, pas de problème au niveau de l'enchainement des règles.
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 07-02-2003 à 16:10:00
sisi, un proxy est bien plus efficace qu'un firewall car il filtre suivant les protocoles
avec un proxy, pas de kazaa sur le port 80 !
Marsh Posté le 07-02-2003 à 16:17:33
je vais peut-être dire une connerie mais iptable filtre bien au niveau des protocoles, non ? (tcp, udp, icmp...)
comment ça marche pour emêcher kazaa sur le 80 ?
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 07-02-2003 à 16:23:07
en effet iptables filtre tcp/udp, etc
un proxy filtre ftp/http/irc/etc
ce ne sont pas les memes niveaux de protocoles.
par contre, si kazaa fait du VRAI tunneling http, ca va etre tres dur a bloquer
Marsh Posté le 07-02-2003 à 16:27:48
merci
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 14-04-2003 à 13:03:29
Et ya pas une sorte de serveur principal quand on se connecte a kazaa ? J'ai vu un post du style sur expert-echanges.
http://www.experts-exchange.com/Se [...] 93782.html
Du coup il suffirait de bloquer cette ip. Mais celle donnee semble pas correcte.
edit : j'ai trouve un autre truc
http://testweb.oofle.com/iptables/filesharing.htm
Message édité par Cruchot le 14-04-2003 à 13:05:45
Marsh Posté le 14-04-2003 à 13:24:55
Mouais ca marche pas terrible, doit y avoir d'autres ip ... 
Bon une petit seance de tcpdump
Message édité par Cruchot le 14-04-2003 à 13:25:11
Marsh Posté le 14-04-2003 à 13:29:14
Justement non, c'est là "l'intérêt" de Kazaa vs Napster, il n'y a pas de serveur principal. les serveurs tenant à jour la liste des fichiers s'appellent les supernodes et ils peuvent changer rapidement.
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 14-04-2003 à 13:41:22
Ok, donc kazaa faut le bloquer "a l'ancienne". Tu deboules dans le bureau : "Bon connard, t'arretes de dl avec kazaa sinon tu t'expliques avec les logs et le patron "
Mais quand meme quand Kazaa est lancé il initie bien une connexion quelqueaprt ? sur quelle ip ? Et il va la cherche ou ?? 
Message édité par Cruchot le 14-04-2003 à 13:45:33
Marsh Posté le 14-04-2003 à 13:56:53
pour le probleme de kazaa :
blocague de tout les ports et forçage des clients a passer par le proxy (pour le web)
comme ça si la personne utilise kazaa sans conf le proxy
ça bloque
et si il le configure --> tu le verra dans les log 
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 14-04-2003 à 13:58:16
| Cruchot a écrit : |
la tu le fait a l'ancienne tu lance ethereal et kazaa après
tu verras comme ça ce passe avec le sniffer
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 14-04-2003 à 14:01:15
| Cruchot a écrit : Ok, donc kazaa faut le bloquer "a l'ancienne". Tu deboules dans le bureau : "Bon connard, t'arretes de dl avec kazaa sinon tu t'expliques avec les logs et le patron |
![[:rofl]](https://forum-images.hardware.fr/images/perso/rofl.gif "[:rofl]")
je crois qu'il broadcast, mais pas sur
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 14-04-2003 à 14:21:13
Ouais pour le proxy c une bonne idee. Mais c dommage qu'on puisse pas tout faire avec iptables par ex
Marsh Posté le 14-04-2003 à 14:36:08
Apparemment ca ca peut marcher
iptables -I FORWARD -p tcp -m string --string "KazaaClient" -j ACCEPT --reject-with tcp-reset
Mais faut patcher pour pouvoir utiliser "string" et j'ai pas encore eu le tps. Si quelqu'un pouvait tester
http://www.netfilter.org/documenta [...] tml#string
Message édité par Cruchot le 14-04-2003 à 14:42:23
Marsh Posté le 14-04-2003 à 21:11:59
| Mjules a écrit : |
il fait une recherche d'apres ses vieux contacts. sinon il se connecte a un serveur dans des iles... gardé secret, mais on a admis son existence y a quelques temps.
Marsh Posté le 14-04-2003 à 22:23:05
kazaa passe par le port 80 si les autres sont bloqués
donc on ne peut pas le stopper comme ça si on veut continuer a surfer
la seule façon que j'ai trouvé efficace, c'est les boitiers très chers de bluecoat ( www.bluecoat.com ) qui surveillent le port 80 et bloquent les transferts si ce n'est pas du trafic qu'il reconnait (http, https, etc)
j'ai testé quand je bossais chez eux et apparemment ça marche bien... mais vazi le prix...
Sujets relatifs:
- [IPTables] gère-t-il les interfaces virtuelles ?
- [iptables] FTP et suivi de connexion
- IPTables
- Petite question Firewall [IPTABLES]
- IpTables & erreur de table
- iptables command not found
- [Reseau] IpTables : script de firewalling
- Mandrake 9 / pb partage internet avec iptables
- Mon 1er script iptables
- [iptables] un script de 2 ligne qui marche pas
Marsh Posté le 07-02-2003 à 11:27:49
J'utilise le script iptables de monmotha , et j'arrive pas à trouver dans la doc comment bloquer un port precis (provenant d'un client interne!), pour bloquer l'acces à kazaa par exemple (1214 si je ne me trompe...)....
![[:spamafote]](https://forum-images.hardware.fr/images/perso/spamafote.gif "[:spamafote]")
![[:quannum]](https://forum-images.hardware.fr/images/perso/quannum.gif "[:quannum]")
):
Donc voici l'url ou d/l le script:
http://monmotha.mplug.org/firewall/index.php
et la doc
http://www.mplug.org/phpwiki/index [...] renceGuide
c'est tres clair, mais j'arrive pas à trouver cte fonction...je dois pas etre tres fute
voici mes regles actuelles (pour les purites
Chain INPUT (policy DROP)
target prot opt source destination
INETIN all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
INETIN all -- anywhere anywhere
INETOUT all -- anywhere anywhere
ACCEPT all -- 192.168.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
INETOUT all -- anywhere anywhere
Chain DMZIN (0 references)
target prot opt source destination
Chain DMZOUT (0 references)
target prot opt source destination
Chain INETIN (2 references)
target prot opt source destination
TREJECT all -- anywhere anywhere state INVALID
TREJECT icmp -- anywhere anywhere icmp redirect
TREJECT icmp -- anywhere anywhere icmp router-advertisement
TREJECT icmp -- anywhere anywhere icmp router-solicitation
TREJECT icmp -- anywhere anywhere icmp type 15
TREJECT icmp -- anywhere anywhere icmp type 16
TREJECT icmp -- anywhere anywhere icmp address-mask-request
TREJECT icmp -- anywhere anywhere icmp address-mask-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
TREJECT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere icmp !echo-request
TCPACCEPT tcp -- anywhere anywhere tcp dpt:ftp
TCPACCEPT tcp -- anywhere anywhere tcp dpt:2002
TCPACCEPT tcp -- anywhere anywhere tcp dpt:1241
ACCEPT all -- anywhere anywhere state ESTABLISHED
TCPACCEPT tcp -- anywhere anywhere tcp dpts:1024:65535 state RELATED
UDPACCEPT udp -- anywhere anywhere udp dpts:1024:65535 state RELATED
TREJECT all -- anywhere anywhere
Chain INETOUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain LDROP (0 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `TCP Dropped '
LOG udp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `UDP Dropped '
LOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 LOG level info prefix `ICMP Dropped '
LOG all -f anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `FRAGMENT Dropped '
DROP all -- anywhere anywhere
Chain LREJECTLTREJECT (0 references)
target prot opt source destination
Chain TCPACCEPT (4 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 20/sec burst 5
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 2/sec burst 5 LOG level warning prefix `Possible SynFlood '
TREJECT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch in TCPACCEPT '
TREJECT all -- anywhere anywhere
Chain TREJECT (13 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
DROP icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain UDPACCEPT (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 2/sec burst 5 LOG level warning prefix `Mismatch on UDPACCEPT '
TREJECT all -- anywhere anywhere
Chain ULDROP (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_ICMP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LDROP_FRAG' queue_threshold 1
DROP all -- anywhere anywhere
Chain ULREJECT (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_UDP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LREJECT_FRAG' queue_threshold 1
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ULTREJECT (0 references)
target prot opt source destination
ULOG tcp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_TCP' queue_threshold 1
ULOG udp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_UDP' queue_threshold 1
ULOG icmp -- anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_ICMP' queue_threshold 1
ULOG all -f anywhere anywhere limit: avg 2/sec burst 5 ULOG copy_range 0 nlgroup 1 prefix `LTREJECT_FRAG' queue_threshold 1
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
DROP icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable