Pagina 1 di 1
Peer-to-Peer... aiuto!
Inviato: dom 02 mag , 2004 10:55 am
da Asimov
Ciao,
devo cercare un modo per evitare che i dipendenti dell'azienda non usino software peer-to-peer tipo Kazaa, EDonkey, bittorrent.
Qualche indizio? Non ho proprio tempo di leggermi le specifiche dei protocolli...
Inviato: lun 03 mag , 2004 12:55 pm
da TheIrish
Il metodo più efficace è indubbiamente utilizzare un proxy trasparente in modo da autorizzare solo i protocolli che desideri.
Visto il forum nel quale la domanda è stata inserita, mi sembra di capire che la modifica vada apportata a un router.
Con le access lists, il risultato è buono per la gran parte dei software peer-to-peer.
Consideriamo questa topologia:
Dipendentemente dal router in questione, i filtri agiranno analizzando indirizzi ip o interfacce.
Prima di tutto, è necessario negare categoricamente ai client di uscire da porte inferiori alla 1024.
Codice: Seleziona tutto
access-list 100 tcp deny 192.168.1.0 0.0.0.255 range 1 1023 any
Mi raccomando, I server potrebbero dover uscire da una di quelle porte, quindi occhio!
Poi è necessario bloccare le porte specifiche.
e-doneky, overnet:
Codice: Seleziona tutto
access-list 100 deny tcp any eq 4662 any
access-list 100 deny tcp any any eq 4662
access-list 100 deny udp any any eq 9126
stessa cosa da fare con Kazaa con TCP/1214.
Per bittorrent... ci sto lavorando...
Inviato: gio 01 lug , 2004 11:54 am
da BallBreaker
Per quanto riguarda Bittorrent basta negare la porta di destinazione
6969 che è quella di default per i tracker.
Ulteriori informazioni (in Inglese) sono disponibili qui:
http://dessent.net/btfaq/#ports
Inviato: gio 15 lug , 2004 6:34 pm
da Asimov
fighissimo!
adesso anche bittorent è a posto!
grazie
Inviato: mar 07 set , 2004 6:11 pm
da vectorx
Salve a tutti, io non riesco a bloccare eDonkey con una semplice acl. In particolare EMule continua a negoziare nuove connessioni, non sempre usando le classiche 4462 o 4672. Alla fine ho provato con qualcosa tipo:
access-list 111 deny tcp any gt 1024 any gt 1024
...ma qualcosa ci scappava comunque!!
Ed in più mi costringeva ad andare a specificare altre linee di acl precedenti per altri protocolli che volevo permettere (non uno o due, molti). Ho provato anche le policy-map di NBAR, scaricando i pdlm aggiornati ma non ho avuto molta soddisfazione.
Idee???
Inviato: mar 07 set , 2004 6:14 pm
da Samba84
access-list 111 deny tcp any gt 1024 any gt 1024
Non ho capito bene questa acl.
Codice: Seleziona tutto
BLOCCA OGNI TCP CON PORTA MITTENTE MAGGIORE A 1024 E PORTA RICEVENTE MAGGIORE A 1024
Dove applichi questa acl? Dialer? Ethernet? In? Out? E di conseguenza, qual è la policy di default? Deny any o permit any?
Inviato: mar 07 set , 2004 6:32 pm
da TheIrish
Bloccare eDonkey pensando di bloccare le porte usate dai client all'interno della nostra LAN non porta a grandi risultati. Bloccare i pacchetti che escono dalla nostra LAN non è una soluzione perché la porta in uscita può essere sostituita con una meno nota. Bloccare i pacchetti in entrata è una buona soluzione: gli "avventori" non sanno quale porta si sta usando all'interno.
Quindi, in pseudocodice:
SCARTA TUTTI I PACCHETTI DA QUALSIASI PROVENIENZA CON PORTA 4662 D'ORIGINE
applicata all'interfaccia dialer o atm dovrebbe sortire buoni risultati, senza dimenticare che
i client non possono uscire con porte inferiori alla 1024 né possono ricevere dati indirizzati porte inferiori alla 1024, provenienti da internet.
Soluzione quindi? Non proprio, qualcosa potrebbe ancora filtrare per pura casualità.
Ci potrebbero essere alcuni host che usano porte diverse dalle 4662, ma eDonkey è un network basato sui grandi numeri, e quattro gatti che filtrano rendono il mezzo inaccessibile.
Se cerchi la soluzione definitiva, non la troverai in un router ma in un
proxy, magari trasparente e magari basato su linux (
Squid) ma questa è un'altra storia.
Se vuoi maggiori informazioni su squid, posta un thread nel forum dedicato a linux.
In bocca al lupo!