Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-01-07 09:58:22
Husio - 
Użytkownik
Kernel z patchem layer7.
Niedawno zacząłem mieć w swojej sieci problem z p2p. Trochę poczytałem w sieci i okazało się, że np na BearShare nie wystarczy blokada portów. Ale rozwiązaniem może być ipp2p. W repozytorium niestety nie ma. Ściągnąłem więc źródła ostatniej wersji (0.8.2) i w pliku README przeczytałem.
Currently IPP2P is tested to be working together with:
-Linux-Kernels 2.6: 2.6.3, 2.6.4, 2.6.6, 2.6.17
...
-iptables (from netfilter.org) 1.2.7a, 1.2.8, 1.2.9, 1.2.11, 1.3.0, 1.3.1
Czyli krótko mówiąc projekt leży. Dodatkowo znalazłem informacje ze ipp2p przestał sobie radzić właśnie z BearShare. Szukałem więc dalej i znalazłem łatę layer7. Z tego co przeczytałem trzeba skompilować własne jądro z l7 i iptables z dodatkową łatą. W repozytorium niestety niczego nie znalazłem, pozostała więc kompilacja.
Sprawdziłem na forum i okazało się, że całkiem sporo osób pachtuje sobie tym kernel. Może ktoś z was robił paczkę (kernel + iptables) i zechce się podzielić?
Offline
#2 2008-01-07 10:15:46
Ryszard - Piwo DUG
- Ryszard
- Piwo DUG
- Skąd: Zadupia
- Zarejestrowany: 2006-06-30
Re: Kernel z patchem layer7.
ja tylko dam linka http://www.djgregor.one.pl/body/kernel.php kernel
+ iptables
Offline
#3 2008-01-07 10:43:42
Husio - Użytkownik
Re: Kernel z patchem layer7.
Już wcześniej znalazłem http://www.linuxbox.pl/index.php?go=kernel ale i tak bez kompilacji ani rusz. A zanim kernel zacznie działać tak jak będę chciał, minie naprawdę sporo czasu. Dlatego ciągle szukam jeszcze 'bezbolesnego' rozwiązania.
Offline
#4 2008-01-07 10:53:49
Ryszard - Piwo DUG
#5 2008-01-07 20:26:30
Husio - Użytkownik
Re: Kernel z patchem layer7.
Po całym dniu kompilacji udało mi się uzyskac to chcialem. Prawie...
W google znalezc mozna sporo regulek jak za pomoca l7 zablokowac bearshare. Tylko ze na stronie http://l7-filter.sourceforge.net/protocols nie ma zadnej informacji o tym ze protokol jest rozpoznawany. I rzeczywiscie, regula
Kod:
$iptables -I FORWARD -i $LAN -p tcp -m layer7 --l7proto bearshare -j DROP
po prostu nie dziala. Nie mam takiego pliku w /etc/l7-protocols/protocols/. Moze ktos z was ma specyfikacje?
Offline
#6 2008-01-07 21:48:20
Piotr3ks - Też człowiek :-)
- Piotr3ks
- Też człowiek :-)
- Zarejestrowany: 2007-06-24
Re: Kernel z patchem layer7.
Źródełka wrzucone przez ZlegoZwierza:
http://ingram.com.pl/zrodelka.tar.gz
Pozdrawiam!
Offline
#7 2008-01-07 22:00:38
siarka2107 - Użyszkodnik DUG
- siarka2107
- Użyszkodnik DUG
- Skąd: Warszawa
- Zarejestrowany: 2006-04-05
Re: Kernel z patchem layer7.
do /etc/l7-protocols ściągnij definicje protokołów, a tak mi się wydaje że bearshare działa w sieci gnutella, więc regułka powinna wyglądać następująco
Kod:
iptables -I FORWARD -m layer7 --l7proto gnutella -j DROP
a jak ci z layerem nie chce wychodzić to connlimit na każdegu usera i z głowy
Offline
#8 2008-01-10 21:39:45
Husio - Użytkownik
Re: Kernel z patchem layer7.
Chyba dziala, dla blokowania p2p zastosowalem:
Kod:
echo -en "\t"; printi "directconnect"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto directconnect -j DROP
echo -en "\t"; printi "fasttrack"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto fasttrack -j DROP
echo -en "\t"; printi "applejuice"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto applejuice -j DROP
echo -en "\t"; printi "bittorrent"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto bittorrent -j DROP
$iptables -t nat -I PREROUTING -i $LAN -p tcp --dport 6881:6889 -j DROP
echo -en "\t"; printi "gnucleuslan"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto gnucleuslan -j DROP
echo -en "\t"; printi "gnutella"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto gnutella -j DROP
echo -en "\t"; printi "live365"
$iptables -t mangle -I PREROUTING -i $LAN -p tcp -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto live365 -j DROP
echo -en "\t"; printi "edonkey"
$iptables -I FORWARD -i $LAN -p tcp -m layer7 --l7proto edonkey -j DROPOffline