hallo,

welche ports muß ich blocken damit kazaa von einem bestimmten rechner hier in meinem kleinen netzwerk nicht mehr geht (währe supi wenn jemand auch direkt den direkt iptables befehl hätte :) )?

noob

google oder die Suchfunktion hier im Forum hilft dir bestimmt weiter! ;)

ein Beispiel aus dem google Suchergebnis: http://board.protecus.de/showtopic.php?threadid=3731

cu

Jochen

mhh also ich hab nun port 1214 geblockt. trotzdem geht es noch :(

@noob

der link verweist zwar auch auf einen comment von mir in einem anderen forum, aber trotzdem nochmal für dich:

es ist nahezu unmöglich P2P traffic zu blocken (zumindest über die normalen filterregeln)

möglichkeiten wären:

- Verbindungsaufbau zu Kazaa Server blocken
- Iptables mit string match "kazaa" versuchen

Bsp (wenn linux mit iptables als router fungiert):

$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-Username: -j REJECT
--reject-with tcp-reset

$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-Network: -j REJECT
--reject-with tcp-reset

$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-IP: -j REJECT
--reject-with tcp-reset

$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-SupernodeIP: -j REJECT --reject-with tcp-reset

http://www.securityfocus.com/infocus/1531

greez

Ist eigentlich fast unmöglich, weil man bei Kazaa die Ports beliebig einstellen kann. Du müsstest also eigentlich alle Ports sperren, aber zu not kann man immer noch Port 80 benutzen...

@kane

was denkst, warum ich das oben mit den strings gepostet habe ;) ?
ist ein versuch wert

greez

hat jemand mal getestet ? bringt das was ?

naja "string" sollte die ip egal sein.

Ein Problem dürfte sein, dass dann auch andere, eventuell gewünschte Inhalte ebenfalls durch die String-Match-Regeln ausgefiltert werden.

Thomas.

naja wenn DU *exakt* matchssst ?

Ich denke dass beim String-Match das Paket nach dem String durchsucht wird und wenn der String irgendwo gefunden wird, wird das Packet verworfen. Wenn du nun also zum Beispiel diesen Thread im Forum lesen willst, dann ist in der Musterlösung dieser Kazaa-String enthalten und die Linuxforenseite kann nicht angezeigt werden. So stelle ich mir das vor, aber einen Versuch ist es auf jeden Fall wert!

Thomas.

kannst ja die linuxforen IP zulassen.

Kann man denn nicht Protokoll Optionen nutzen?
Ich habe kein KAZZAa. Läuft das über alle Protokolle durch?

Du koenntest evtl. dem Match noch sagen er soll alles innerhalb <html> tags passieren lassen. Oder?

wie ist es denn mit der performance des routers wenn man sowas macht? geht die da nicht in den keller?

Eine berechtigte Frage.

Gibt es noch andere Kazza Eigenschaften?
Kann mal jemand so ein Packet hier darstellen?

Evtl. reicht es weniger als den String zu /matchen/ allerdings
gibts dann wohl auch mehr Fehler? :rolleyes:

hi!

ich habe mich jetzt mal dem problem in meinem netzwerk angenommen. Ich hatte bis jetzt immer alles über einen NAT Router laufen, da ich aber in Zukunft verhindern will das Leute in meinem Netz Kazaa oder änhnliches benutzen hab ich squid installiert und zwinge alle bis auf 4 rechner (die über mac-addresse bestimmt werden) den Proxy zu benutzen. Problem das ich nicht bedacht habe: Jetzt kann auch niemand mehr seine Mails checken ;( .. Wenn ich jetzt in der FW festlege das Packete mit destination port 25 und 110 (smtp und pop3) masquiert werden sollen ... geht dann kazaa wieder? ... kann kazaa darüber raus ?

Original geschrieben von linuxhanz
Eine berechtigte Frage.

Gibt es noch andere Kazza Eigenschaften?
Kann mal jemand so ein Packet hier darstellen?

Evtl. reicht es weniger als den String zu /matchen/ allerdings
gibts dann wohl auch mehr Fehler? :rolleyes:

http://cvs.berlios.de/cgi-bin/viewcvs.cgi/gift-fasttrack/giFT-FastTrack/PROTOCOL
http://cvs.berlios.de/cgi-bin/viewcvs.cgi/gift-fasttrack/giFT-FastTrack/src/fst_packet.c
http://cvs.berlios.de/cgi-bin/viewcvs.cgi/gift-fasttrack/giFT-FastTrack/src/fst_packet.h

Guck, ob ein "\n" vor dem "X-Kazaa-blAh: Wert" und ein "\n" oder "\r\n" (überprüfen, bin nicht sicher, welches von beiden benutzt wird) dahinter auftaucht.

Original geschrieben von Kip
hi!

ich habe mich jetzt mal dem problem in meinem netzwerk angenommen. Ich hatte bis jetzt immer alles über einen NAT Router laufen, da ich aber in Zukunft verhindern will das Leute in meinem Netz Kazaa oder änhnliches benutzen hab ich squid installiert und zwinge alle bis auf 4 rechner (die über mac-addresse bestimmt werden) den Proxy zu benutzen. Problem das ich nicht bedacht habe: Jetzt kann auch niemand mehr seine Mails checken ;( .. Wenn ich jetzt in der FW festlege das Packete mit destination port 25 und 110 (smtp und pop3) masquiert werden sollen ... geht dann kazaa wieder? ... kann kazaa darüber raus ?

Hm also wenn es durch jeden Port kann, dann ja.
Andrerseits sind doch die Ports durch die Daemons besetzt oder?
Wenn da schon ein Platzhirsch ist ? Naja kann mich auch irren.

Mach doch ne positiv-Liste von Ports, die Du zulassen willst. Mit Portforwading kann man sich bei Eselleuten auch ein paar Punkte holen. Den Proxy würd ich auch aufsetzen und den Leuten empfehlen zu benutzen. Wenn dann ein Idiot auf die dumme Idee kommt, den guten Port 80 für seine Dateiaustäusche zu verwenden, kannst Du ihm den immer noch sperren, ohne dass er das so richtig merkt, weil er ja über den Proxy surft. Vorstellbar ist weiterhin eine cron-gesteuerte Abfolge von iptables-scripten, dass z. B. saugen über Nacht erlaubt bleibt. Ich glaube allerdings nicht, dass Kazaa sich selbst die ganz guten Ports nimmt, sonst würden glaub ich die Administratoren dieser Welt diesem Programm den Garaus machen. Als User kann man aber Kazaa IMHO so konfigurieren.

vielleicht wurde es schon gepostet, aber das ist auch ein gutes tool:

http://www.pro-linux.de/news/2003/5849.html

moin moin

eine weitere möglichkeit wäre, bei den regeln mit dem owner modul zu arbeiten.

iptables ... -m owner --pid-owner <pid> -j ACCEPT


nachteil hierbei => das ganze funktioniert nur in der OUTPUT CHAIN, du müßtest das ganze also auf den rechnern machen, die kazaa nicht nutzen sollen. kommt also auf deine überedungskünste an ;).


Gruß HL

@msi

hört sich interessant an.


Gruß HL

Hallo

So ich hol den Thread mal aus der Versenkung raus, denn ich versuch momentan genau das gleiche.

Ich habe das mal mit dem String matching probiert, allerdings keinen erfolg gehabt. kazaa läuft als probeiervariante mal auf meinem rechner und ich kann nach jedem versuch immer noch connecten.

ich habe die regeln als erstes mal in einen eigenen chain gespeichert, dann in FORWARD und dann hab ichs nochmal mit OUTPUT versucht.


Ich poste mal ganz kurz die Zeilen aus meinem Script und aus den iptables. vielleicht seht ihr da noch einen Fehler...

$IPTABLES -A FORWARD -p tcp -m string --string "X-Kazaa-Username:" -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p tcp -m string --string "X-Kazaa-Network:" -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p tcp -m string --string "X-Kazaa-IP:" -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p tcp -m string --string "X-Kazaa-SupernodeIP:" -j REJECT --reject-with tcp-reset

und hier nochmal der richtige eintrag in den iptables


Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
REJECT tcp -- anywhere anywhere STRING match X-Kazaa-Username: reject-with tcp-reset
REJECT tcp -- anywhere anywhere STRING match X-Kazaa-Network: reject-with tcp-reset
REJECT tcp -- anywhere anywhere STRING match X-Kazaa-IP: reject-with tcp-reset
REJECT tcp -- anywhere anywhere STRING match X-Kazaa-SupernodeIP: reject-with tcp-reset
drop_log all -- anywhere anywhere



wobei ich da die frage hätte ob die einträge auch richtig angeordnet sind.. also erst alles akzeptieren dann die stringmatchings blocken und dann ein drop_log auf den rest..

danke schon mal für die tipps...

okay jetzt gehts und zwar hab ich die string rules vor das new, established gemacht.. da ist alles dicht...


kazaa kann zwar noch zum server connecten aber das wars dann auch.... download geht nicht....

und der server connect geht glaub ich auch nur weil er über udp läuft
vielleicht krieg ich das auch noch aus...

http://rnvs.informatik.uni-leipzig.de/ipp2p/index_en.html

das programm sieht gar nicht mal schlecht aus, aber da gibts ein kleines merkmal was mich daran hindern würde das prog einzusetzen.

ich hab die ganze zeit nur gelesen das man den kompletten p2p verkehr auf unterschiedliche weise stoppen kann. Das würde auf meinem Netz nicht zutreffen, da im gewissen Rahmen P2P (emule) erlaubt ist.

Du kannst dir doch einfach verschiedene chains mit unterschiedlichen Regelsätzen anlegen.

hmm. Denke das könnte gehen.

trotzdem denk ich werd ich erst mal bei meiner Lösung bleiben, denn bisher kann ich mich in keinster weise beklagen.. Funktioniert super mit dem String matching...

jetzt muß ich erst mal nen DNS-Server aufsetzen.. aber das ist ein anderes Thema...

Danke trotzdem für den Tipp