bloquar ares (programas p2p)

humbertofe
(usa Debian)

Enviado em 26/05/2009 - 14:13h

Boa tarde
Gostaria de uma ajuda,
gostaria de saber qual a porta que o programa Ares P2P Utiliza para poder bloquear o acesso!!
Como faço pra bloquear esse, outros programas p2p e ou download de arquivos do tipo avi, wma, etc.
Abraco,

Humberto.

albfneto
(usa openSUSE)

Enviado em 26/05/2009 - 15:01h

Olha, não sou especialista nisso, nem em redes, mas os P2P não usum portas aleatórias?

gesousa
(usa Ubuntu)

Enviado em 26/05/2009 - 16:39h

Como o amigo abfneto disse, não adianta travar portas, pois a maioria dos p2p podem usar portas aleatórias, A Melhor forma que conheço para bloquear p2p é utilizando o layer7, ele é um filtro que atua na camada do netfilter, verificando o pacote de dados, assim independente da porta ele consegue classificar que aplicação está enviando aquele pacote, depois basta adicionar a regra no iptables para bloquear este tipo de conexão.

http://l7-filter.sourceforge.net/

a melhor forma de utilizar ele seria junto do kernel, para isso vc precisará compilar o kernel com os patch...

bom há opção de instalar ele também como um módulo...


Bom há vários artigos aqui na vol sobre como implementar o layer7

http://www.vivaolinux.com.br/artigo/Iptables-+-Layer7/
http://www.vivaolinux.com.br/artigo/Instalacao-do-Layer7-no-Debian-Etch/
http://www.vivaolinux.com.br/artigo/Incrementando-seu-Firewall-com-o-Layer-7-Filter/


Bom se for utilizar ele meu conselho é so verificar na lista de prontocolo suportados, o tempo e o grau de funcionamento deste protocolo com o layer7, evite criar regras para protocolos com pouco grau de compatibilidade e que gaste muito tempo para ser verificados, como também evite utilizar muitas regras de filtragem, pois pode causar utilização do processador em excesso além de deixar a rede mais lenta...

http://l7-filter.sourceforge.net/protocols

morfetico
(usa CentOS)

Enviado em 08/07/2009 - 16:09h

Olá da pra bloquear sim, uma forma é o kernel ter suporte para reconhecer o protocolo p2p o outro é o mais simples de todas (mais facil que tirar doçe da boca de nenem) é o seguinte:
se esta esta utilizando linux como roteador utilize o iptables exemplo:
Se esta utilizando o arquivo de configuração original do iptables que fica em /etc/sysconfig/iptables (red hat, centOS, fedora etc)
descomente qualquer linha de SNAT ou MASQUERADE que abre todas as portas e substitua pelas as seguintes linhas:

# smtp (saida email outlook)
-A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 25 -j MASQUERADE
# http tcp udp
-A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -p udp --dport 80 -j MASQUERADE
# ssl tcp udp
-A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -p udp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 445 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -p udp --dport 445 -j MASQUERADE
# postas do bate papo uol
-A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 8000:8020 -j MASQUERADE
# abre ping
-A POSTROUTING -s 192.168.0.0/24 -p icmp -j MASQUERADE
# vai abrindo conforme o necessário


Se voçe utiliza script de configuração ao invéz do original (/etc/init.d/iptables) basta trocar
-A POSTROUTING = /sbin/iptables -t nat -A POSTROUTING


# Para abrir porta da internet para a lan para ( vuze, ares, utorrent,emule, etc) ficar o o ID alto porém não baixar quase nada ( enganar usuário) utilize o DNAT

44000=porta tcp a ser especificado no programa p2p
44001=porta udp a ser especificado no programa p2p
eth0= WAN do seu servidor
192.168.0.10= ip do computador que possui p2p instalado

-A PREROUTING -i eth0 -p tcp --dport 44000 -j DNAT -to-destination 192.168.0.10
-A PREROUTING -i eth0 -p udp --dport 44001 -j DNAT -to-destination 192.168.0.10
# Redirecione quantas portas e ips da lan quiser

-A PREROUTING = /sin/iptables -t nat -A PREROUTING

Outra forma é comprar um roteador wireless que possua no kernel que controle p2p por exemplo
oiwtech (wireless router), aprouter etc... Estes roteadores consequem bloquear totalmente ou controlar uma banda somente no protocolo p2p e ainda limitar a quantidade de portas.
Voçe não irá precisar utilizar a interface wireless do roteador para utilizar este recurso.
Espero ter ajudado

Geraldo