Hace poco ingresé nuevamente a este tema... hace tiempo que usaba ipp2p contento yo.. pero me doy con la sorpresa q actualmente ya no filtra Ares ni otros como limewire...

Actualmente no encuentro la forma de bloquearlo (in DROPear todos los puertos claro), he probado con ipp2p y iptables layer7... y sigue pasando..

Alguien conoce una forma optima de bloquearlo.

Saludos

Jaime M. Tan Nozawa

PD: actualmente es un server en produccion con las reglas ACCEPT por defecto, asi que no puedo pasarlo a DROP por defecto :S

---

Mi blog de PHP: http://phpexperto.blogspot.com

Yo para lograr bloquear esto decidi usar Utangle lo hace muy bien desde una consola muy amigable.

Pruebala seguro te funcionara.

Saludos

La pregunta seria entonces:

que usa Utangle para bloquear p2p

Salu2

Jaime

---

Mi blog de PHP: http://phpexperto.blogspot.com

What It Does

Transparently scans application data stream, logging and blocking designated protocols
How It Does It

* Uses L7-Filter Netfilters to classify protocols based on OSI layer 7 data, regardless of port or port-hopping
* Uses Untangle custom scanning engine, default settings, tuning and updates

Controls

* Default settings include a wide array of protocol signatures that can be configured for logging and/or blocking
* Custom signatures can be added

Entonces usa iptables layer7

Jaime

---

Mi blog de PHP: http://phpexperto.blogspot.com

Espero puedas ponerlo a andar seria una gran aportacion.

Saludos

Señores, lo del bloqueo del ares YA esta solucionado...

Escribo este POST para la gente que esté buscando este tema de bloqueo P2P, especialmente ARES.

Después de haber testeado layer7 e ipp2p , al final NINGUNO bloquea.. la misma documentacion de layer7 dice que no se puede hacer DROP , más bien SI realizar QoS por servicio bajandole el ancho de banda con MANGLE. Esto debido a que los protocolos algunas veces los detecta como ares o como bitttorrent o al final ni detecta la secuencia layer7.

Al final lo que hice fue desactivar el POSTROUTING MASQUERADE a toda la red. Con esto ya nadie sale, ni aun teniendo reglas FORWARD, de ahi esmascaré el 21 ,20, 443 y el 80 se lo deje al squid transparente...

Con eso P2P murio y yo happy.

Saludos desde Perú


Jaime M. Tan Nozawa

PD: Si alguien quiere sabes como hice para layer7 y QoS me avisa,que eso ya es un tema de compilar todo el kernel e iptables de nuevo.

#NO ESMASCARAR TODO, solo puerto a puerto ::: X.X.X.X/24 es mi LAN
#iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p udp -m tcp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 20 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 31 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 443 -j MASQUERADE

---

Mi blog de PHP: http://phpexperto.blogspot.com

UPS....hola man, sabes creo que el hecho no es que tu digas. que yo hago esas cosas en la empresa, que lo solucione, que esto era asi.BLA BLA BLA....
no se si sabras que los foros es para que tu exspongas tus experiencias y los postees...bueno si es que puedes no...para que asi algunos de este foro puedan hacer uso de tu experiencia....de eso se trata la filosofia GNU/Linux MI ESTIMADO AMIGO
bye...es solo un simple comentario

Jeje, por eso escribo articulos y tutoriales en este pequeño espacio que me da
Alcance libre.

Usualmente no publico howto en foros porque creo resulta engorroso.

El POST solo era un mensaje de alegría de que hace unos minutos logre hacerlo funcionar.

Muchos saludos amigo

Jaime M. Tan Nozawa

PD: Que suceptible ta la gente

---

Mi blog de PHP: http://phpexperto.blogspot.com

Hola seria bueno que mandes un manual aqui a la pagina para saber como lo hicistes y tambien para tenerlo en cuenta. yo lo hice poniendo todas las reglas en drop y solo abria los puertos necesarios para lo que es los usos mas comunes.

gracias anticipadamente si manda el manual.

algo para meditar sobre esto !! http://www.alcancelibre.org/forum/viewtopic.php?showtopic=980

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Bueno la verdad , las solución no es nada espectacular...

Indirectamente estoy usando el DENY por defecto , pero sin usarlo..

Lo que pasa es como saben, si es que no hago MASQUERADE o SNAT cuando hay mas de 2 tarjetas, no va a hacer FORWARDING por mas que le pongas una regla FORWARD ACCEPT TOTAL...

Por eso si nosotros no ponemos la regla:
#iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -j MASQUERADE

NO reenviamos nada...
Ahora simplemente voy haciendo masquerada por puerto.. eso es todo


iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p udp -m tcp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 20 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 31 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport 443 -j MASQUERADE


SAludos

Jaime M. Tan Nozawa

PD: sobre el ipp2p y Layer7 de iptables... es otro tema muy aparte... solo para hacer QoS... eso ya es otro cantar

---

Mi blog de PHP: http://phpexperto.blogspot.com

bueno mi idea en si era que me des unas pautas para configurar el ipp2p y el layer7 y todo acerca del QoS...

gracias anticipadamente.

Yo me quitaría de problemas y haría lo siguiente: Cerrar todo en el cortafuegos y hacer NAT para cada protocolo que quieras permitir la salida. Es decir, quitar tu NAT actual que deja pasar todo y meter un NAT restrictivo puerto por puerto. Con shorewall lo haces muy sencillo.

si en eso tienes mucha razon, yo tambien lo hice asi pero lo hize con iptables le puse DROP a todo, pero lo que me interesa de eso es que con el ipp2p y con el layer7 y otras herramientas más puedes aplicar QoS y tambien aplicar velocidades por ips es decir asignar cuotas a cada ip.