Moin,
die Frage gabs wahrscheilich schon einige male, hab aber keine tread dazu gefunden.
Ich arbeite in einer PC Werkstatt und unser Problem ist das einige Leute nicht Lernfähig sind und trotz mehrfacher Aufforderung nicht aufhören können Tonnenweise zu saugen. Und die Arbeit im Netz
dadurch zur qual wird, wenn man bei SSH auf jeden Buchstaben sekunden warten muss......
nun suche ich die korreckten zeilen um erstmal für alle bekannten
Tools (Morpheus, Edonkey, .......) das Forwarding etc. zu Sperren.
ich habe schonmal angefangen leider mit keinen Erfolg
mein Morpheus versuch:

iptables -A OUTPUT -p tcp --sport 6346 -j DROP
iptables -A OUTPUT -p udp --sport 6346 -j DROP
iptables -A OUTPUT -p tcp --sport 6347 -j DROP
iptables -A OUTPUT -p udp --sport 6347 -j DROP

iptables -A INPUT -p tcp --dport 6346 -j DROP
iptables -A INPUT -p udp --dport 6346 -j DROP
iptables -A INPUT -p tcp --dport 6347 -j DROP
iptables -A INPUT -p udp --dport 6347 -j DROP

iptables -A FORWARD -p tcp --sport 6346 -j DROP
iptables -A FORWARD -p udp --sport 6346 -j DROP
iptables -A FORWARD -p tcp --sport 6347 -j DROP
iptables -A FORWARD -p udp --sport 6347 -j DROP

ich hab hier die gnutella ports genommen, ????

für Hilfe bin ich dankbar

boba


ps. wenn die es gelernt haben kann man sich ja einigen,
und mit vernunft saugen :D

Hm, es wäre weitaus einfacher, zuerst mal die Policies auf REJECT zu setzten, um dann nur die tatsächlich benötigten Ports freizugeben.

Durch diese Vorgehensweise werden auch alle in der Zukunft entstehenden Saug-Tools erfolgreich abgewehrt werden, ohne dass neue Rules benötigt werden. (ausser die neuen Programme umgehen die Firewall auf trickreiche Art und Weise ;-)
Zudem wird sich diese Vorgehensweise auch possitiv auf die Sicherheit auswirken.


Gruß, Thomas.

Ich hatte ganz vergessen:

Setzte die Targets besser auf REJECT, dann wird ein ICMP_SERVICE-UNREACHABLE zu den Clients gesendet und gegebenfalls auch bei den Clients angezeigt. (vorrausgesetzt natürlich, dass du die ICMP-Message festlegst...)
Die Netzbelastung wird so reduziert und die Clients und sonstige gesperrte Programme laufen nicht in Timeouts.

(Falls du die Default-Policies nicht umstellen willst)

Hi,
ich hab das öfters mal mit der Suse Firewall probiert.
aber da funzen einige dienste aus unerklärlichen gründen irgentwann nicht mehr ...
ausserdem ist es schöner wenn man
es selber gemacht hat.
Hier mein Versuch ein Script zu schreiben leider funzt es nich so
wie man das will.
kann sich das mal jemand anschauen?


#!/bin/bash
# Firewallscript
#

# Variable werden definiert

lan="192.168.1.0/24"
lan_i="eth0"
inet="ppp0"

# Kernelforwarding wird aktiviert
echo 1 > /proc/sys/net/ipv4/ip_forward
# echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
# echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
# echo 0 > /proc/sys/net/ipv4/tcp_sack

# Netfiltermodule werden geladen
modprobe ip_conntrack
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_MASQUERADE
modprobe ipt_tcpmss
modprobe ipt_TCPMSS
modprobe ip_conntrack_ftp
modprobe ipt_multiport
modprobe ipt_LOG
modprobe iptable_filter

# alte regeln werden gelöscht
iptables -F
iptables -t nat -F
iptables -X

# Masqerading aktivieren
iptables -A POSTROUTING -t nat -o $inet -s $lan -j MASQUERADE

# default policy alles verweigern, weiterleitung von paketen wird
erlaubt
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP


iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# ungültige Pakete werden abgewiesen, pakete die als quelle eine
private ip
# haben werden abgelehnt
iptables -A FORWARD -i $inet -m state --state NEW,INVALID -j DROP
iptables -A INPUT -m unclean -j DROP

# iptables -t nat -P PREROUTING -i $inet -s 192.168.1.0/16 -j DROP
iptables -t nat -P PREROUTING -i $inet -s 10.0.0.0/8 -j DROP
iptables -t nat -P PREROUTING -i $inet -s 172.16.1.0/12 -j DROP
iptables -t nat -P PREROUTING -i $inet -s 127.0.0.1/8 -j DROP

# iptables -A FORWARD -i $inet -s 192.168.1.0/24 -j DROP
iptables -A FORWARD -i $inet -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i $inet -s 172.16.1.0/12 -j DROP
iptables -A FORWARD -i $inet -s 127.0.0.1/8 -j DROP

# einzelne Dienste werden erlaubt


# www-forwarding
iptables -A FORWARD -i $lan -p TCP --dport 80 -j ACCEPT
iptables -A FORWARD -i $inet -p TCP --sport 80 -j ACCEPT

# ftp-forwarding
# iptables -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT
# iptables -A FORWARD -i ppp0 -p TCP --sport 21 -j ACCEPT
# iptables -A FORWARD -i eth0 -p TCP --dport 20 -j ACCEPT
# iptables -A FORWARD -i ppp0 -p TCP --sport 20 -j ACCEPT

iptables -A INPUT -i $inet -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $lan -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i $inet -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $lan -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT

iptables -A INPUT -i $inet -p tcp --sport 1024:65535 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $lan -p tcp --sport 1024:65535 --dport 1024:65535
-m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i $inet -p TCP -m state --state ESTABLISHED,RELATED
-j ACCEPT

# www Server nach aussen sichtbar
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT

# pop3-forwarding
iptables -A FORWARD -i $lan -p TCP --dport 110 -j ACCEPT
iptables -A FORWARD -i $inet -p TCP --sport 110 -j ACCEPT

# ssh vom client aus
iptables -A INPUT -p TCP --dport 22 -s 192.168.1.17 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -d 192.168.1.17 -j ACCEPT

# ICMP: ping, wichtige Fehlerpakete
iptables -A FORWARD -p ICMP --icmp-type 0 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 3 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 5 -j ACCEPT
iptables -A FORWARD -p ICMP --icmp-type 11 -j ACCEPT

# Logging abgewiesener Pakete

iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG

da sind wahrscheinlich tausende Denkfehler drin,
ich kann auch keine Howtos oder so mehr sehn, (kurz vor Amoklauf)

thnx