Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-01-07 09:58:22

  Husio - Użytkownik

Husio
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2006-06-04
Serwis

Kernel z patchem layer7.

Niedawno zacząłem mieć w swojej sieci problem z p2p. Trochę poczytałem w sieci i okazało się, że np na BearShare nie wystarczy blokada portów. Ale rozwiązaniem może być ipp2p. W repozytorium niestety nie ma. Ściągnąłem więc źródła ostatniej wersji (0.8.2) i w pliku README przeczytałem.

Currently IPP2P is tested to be working together with:
-Linux-Kernels 2.6: 2.6.3, 2.6.4, 2.6.6, 2.6.17
...
-iptables (from netfilter.org) 1.2.7a, 1.2.8, 1.2.9, 1.2.11, 1.3.0, 1.3.1

Czyli krótko mówiąc projekt leży. Dodatkowo znalazłem informacje ze ipp2p przestał sobie radzić właśnie z BearShare. Szukałem więc dalej i znalazłem łatę layer7. Z tego co przeczytałem trzeba skompilować własne jądro z l7 i iptables z dodatkową łatą. W repozytorium niestety niczego nie znalazłem, pozostała więc kompilacja.
Sprawdziłem na forum i okazało się, że całkiem sporo osób pachtuje sobie tym kernel. Może ktoś z was robił paczkę (kernel + iptables) i zechce się podzielić?


http://husioavatar.prv.pl/panel.png

Offline

 

#2  2008-01-07 10:15:46

  Ryszard - Piwo DUG

Ryszard
Piwo DUG
Skąd: Zadupia
Zarejestrowany: 2006-06-30

Re: Kernel z patchem layer7.

ja tylko dam linka http://www.djgregor.one.pl/body/kernel.php kernel
+ iptables


http://img196.imageshack.us/img196/3770/freebsde.jpg

Offline

 

#3  2008-01-07 10:43:42

  Husio - Użytkownik

Husio
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2006-06-04
Serwis

Re: Kernel z patchem layer7.

Już wcześniej znalazłem http://www.linuxbox.pl/index.php?go=kernel ale i tak bez kompilacji ani rusz. A zanim kernel zacznie działać tak jak będę chciał, minie naprawdę sporo czasu. Dlatego ciągle szukam jeszcze 'bezbolesnego' rozwiązania.


http://husioavatar.prv.pl/panel.png

Offline

 

#4  2008-01-07 10:53:49

  Ryszard - Piwo DUG

Ryszard
Piwo DUG
Skąd: Zadupia
Zarejestrowany: 2006-06-30

Re: Kernel z patchem layer7.


http://img196.imageshack.us/img196/3770/freebsde.jpg

Offline

 

#5  2008-01-07 20:26:30

  Husio - Użytkownik

Husio
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2006-06-04
Serwis

Re: Kernel z patchem layer7.

Po całym dniu kompilacji udało mi się uzyskac to chcialem. Prawie...
W google znalezc mozna sporo regulek jak za pomoca l7 zablokowac bearshare. Tylko ze na stronie http://l7-filter.sourceforge.net/protocols nie ma zadnej informacji o tym ze protokol jest rozpoznawany. I rzeczywiscie, regula

Kod:

$iptables -I FORWARD -i $LAN -p tcp -m layer7 --l7proto bearshare -j DROP

po prostu nie dziala. Nie mam takiego pliku w /etc/l7-protocols/protocols/. Moze ktos z was ma specyfikacje?


http://husioavatar.prv.pl/panel.png

Offline

 

#6  2008-01-07 21:48:20

  Piotr3ks - Też człowiek :-)

Piotr3ks
Też człowiek :-)
Zarejestrowany: 2007-06-24

Re: Kernel z patchem layer7.

Źródełka wrzucone przez ZlegoZwierza:
http://ingram.com.pl/zrodelka.tar.gz

Pozdrawiam!

Offline

 

#7  2008-01-07 22:00:38

  siarka2107 - Użyszkodnik DUG

siarka2107
Użyszkodnik DUG
Skąd: Warszawa
Zarejestrowany: 2006-04-05

Re: Kernel z patchem layer7.

do /etc/l7-protocols ściągnij definicje protokołów, a tak mi się wydaje że bearshare działa w sieci gnutella, więc regułka powinna wyglądać następująco

Kod:

iptables -I FORWARD -m layer7 --l7proto gnutella -j DROP

a jak ci z layerem nie chce wychodzić to connlimit na każdegu usera i z głowy

Offline

 

#8  2008-01-10 21:39:45

  Husio - Użytkownik

Husio
Użytkownik
Skąd: Warszawa
Zarejestrowany: 2006-06-04
Serwis

Re: Kernel z patchem layer7.

Chyba dziala, dla blokowania p2p zastosowalem:

Kod:

    echo -en "\t"; printi "directconnect"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto directconnect -j DROP
    echo -en "\t"; printi "fasttrack"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto fasttrack -j DROP
    echo -en "\t"; printi "applejuice"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto applejuice -j DROP
    echo -en "\t"; printi "bittorrent"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto bittorrent -j DROP
    $iptables -t nat -I PREROUTING -i $LAN -p tcp --dport 6881:6889 -j DROP
    echo -en "\t"; printi "gnucleuslan"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto gnucleuslan -j DROP
    echo -en "\t"; printi "gnutella"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto gnutella -j DROP
    echo -en "\t"; printi "live365"
    $iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto live365 -j DROP
    echo -en "\t"; printi "edonkey"
    $iptables -I FORWARD -i $LAN -p tcp -m layer7 --l7proto edonkey -j DROP

http://husioavatar.prv.pl/panel.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)