Essa é minha primeira contribuição com dicas para o VOL, pretendo ajudar não somente respondendo perguntas como estava fazendo, mas com algumas coisas que vou precisando para meu dia a dia e vou pesquisando.

Então, bora lá.

Essa primeira dica é de como derrubar uma conexão que já está ativa.

Já aconteceu várias vezes de querer bloquear algum download da rede, ou coisa semelhante, e a única alternativa que eu tinha era reiniciar o sistema de proxy, o Squid, derrubando mais coisas do que deveria, pois mesmo adicionando alguma regra no squid ou iptables, só serão aplicadas para as novas conexões, as já ativas permanecem lá.

Pesquisas... alguns testes... acabei chegando nestes dois métodos, ambos funcionam, mas trabalham de forma diferente.

Método 1: Derrubando a rota para o endereço de destino

Consiste em derrubar a rota, o caminho do computador até o servidor onde está hospedado o arquivo. Por exemplo, alguém fazendo o download do Ubuntu do link:

http://espelhos.edugraf.ufsc.br/ubuntu-releases//natty/ubuntu-11.04-desktop-i386.iso

Usando o ping podemos encontrar o IP deste servidor:

$ ping espelhos.edugraf.ufsc.br

Retorna algo como:

PING espelhos.edugraf.ufsc.br (150.162.61.76) 56(84) bytes of data.

Após sabermos o IP, basta fazer o seguinte.

No terminal, como root, digitar o seguinte comando:

# route add -host IPPEGOANTERIORMENTE reject

Neste exemplo ficaria como:

# route add -host 150.162.61.76 reject

Após alguns segundos, a conexão do usuário é fechada.

Para liberar novamente, basta remover esta rota criada, bastando substituir o add por del. Exemplo:

# route del -host 150.162.61.76 reject

Método 2: Alterando a tabela ARP do servidor/Bloqueio total da máquina

Outra forma de bloquear seria associando um endereço MAC inválido para o IP da máquina, derrubando totalmente a comunicação dela, não somente o download. Pode ser feito assim (necessário estar logado como root):

# arp -s 192.168.1.100 00:00:00:00:00:00

A sintaxe do comando, com se pode notar, é:

# arp -s ENDEREÇO.IP.PARA.BLOQUEAR ALGUM:MAC:INVÁLIDO:QUALQUER

Você deve substituir o endereço IP 192.168.1.100 do exemplo pelo endereço que deseja bloquear. No MAC inválido você pode utilizar o valor informado, caso desejar.

Para remover a regra, basta usar o seguinte comando:

# arp -d 192.168.1.100

Lembrando de alterar o IP 192.168.1.100 para o bloqueado anteriormente.

Essa é minha primeira contribuição.

Espero que tenham gostado.

Qualquer dúvida, sugestão do que melhorar, que tenho muito de aprender aqui ainda também, podem mandar ;)

Abraço.
Porque o conhecimento é de todos!!

[1] Comentário enviado por end em 17/08/2011 - 20:47h:

legal, todos os dois métodos, porem como saber quem é que esta pesando a rede?
qual o ip de cada um q esta em minha rede?
valeu

[2] Comentário enviado por andreaszaia em 19/08/2011 - 15:49h:

o "/etc/hosts.deny" resolveria !?!

[3] Comentário enviado por maionesebr em 19/08/2011 - 17:16h:

Muito interessante. Um forma simples de derrubar uma conexão que está prejudicando de alguma forma o servidor.

Porém, o bloqueio é feito através de ip, e não por conexão. Usar o /etc/hosts.deny funciona da mesma maneira se você estiver usando o inetd, ou xinetd, para monitorar os serviços. Mas e se o ip é de um servidor proxy? ou de um provedor, como o locaweb? Então todos que estiverem atrás do proxy, ou todos os sites hospedados no provedor, estarão bloqueados.

[4] Comentário enviado por dimasdaros em 19/08/2011 - 20:35h:

@maionesebr
Realmente, é um fato a se considerar 'maionesebr', mas como a é utilizada somente para derrubar a conexão da pessoa no momento, pois na próxima conexão ela já estará bloqueada, na maioria dos casos não existirão problemas.


@end
aqui utilizo o 'iptraf' para verificar o tráfego na rede.
Dei uma procurada e não achei um guia de utilização dele, posso fazer um artigo explicando, agora que já tive umas dicas ai, que não abordei algumas coisas hehe