upotreba iptables

• 1Ovo se svidja korisniku: FarscapeFan
  
  Registruj se da bi pohvalio/la poruku!

sad cu da gnjavim jos malo posto sam dozvolio da mi idu samo na adresu rutera 192.168.56.1 kako da filtriram korisnike da ne mogu da koriste na internetu na primer torrent?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

gogi100 ::sad cu da gnjavim jos malo posto sam dozvolio da mi idu samo na adresu rutera 192.168.56.1 kako da filtriram korisnike da ne mogu da koriste na internetu na primer torrent?
to nije moguće (ili recimo , nije lako moguće )
za to se koristi l7 filter na freebsd-u , ali kućni ruteri nemaju dovoljno procesorske snage da
obave ovakve zahtevnije funkcije filtriranja.

(gornji iptables redovi, na primer zahtevaju vrlo malo cpu snage )

Mogao bi da se blokira onaj port, 6881 ali ni on nije konstantan , dok i bez njega
funkcioniše p2p , čak ako su svi portovi blokirani u dolazu.

najbolja opcija je da se isključi UPNP na samom ruteru i da donekle oteža
tim programima posao

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 20 Apr 2011 14:00

Morao bi da filtriraš specifični port (ili portove) koje koriste torrent aplikacije. Međutim postoji mogućnost da oni zaobiđu zabranu navođenjem nekog drugog porta (većina torent aplikacija ima ovu opciju). Zato je bolje zabraniti sav saobraćaj jednim pravilom, a zatim dodatnim pravilima dozvoliti saobraćaj samo za protokole ili portove koje želiš da omogućiš.

Ono što je bitno je da se pravila primenjuju po tome kako su navedena. Opcija '-I' postavlja pravilo na vrh liste. Tako ono gore i funkcioniše.

Sa opcijom '-I' pravilo u svakoj sledećoj komandi se postavlja na vrh liste pravila. Tako ovo:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.0/24 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.1 -j ACCEPT

u listi pravila u stvari čini da poslednje ukucana komanda bude na vrhu i prva se izvršava. Kako to logički izgleda?

Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je 192.168.56.1, prihvati paket. Ako nije, pređi na drugo pravilo. Drugo pravilo: Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je u opsegu 192.168.56.1-192.168.56.254, odbaci paket.

Možemo napisati skript koji bi radio ovo što tebi treba, ali bi prvo morali da utvrdimo bar koja vrsta i verzija Linuxa na ruteru i kako su postavljene početne vrednosti firewalla. Pre toga je neophodno da definišeš čemu te mašine moraju imati pristup (file serveri, štampači, web, ftp, ssh, remote desktop, itd) i portove koje ti servisi koriste.

Dopuna: 20 Apr 2011 14:03

FarscapeFan ::to nije moguće (ili recimo , nije lako moguće )

Osim ako se blokiraju svi portovi osim onih neophodnih. Pretpostavljam da je to mali broj portova.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bocke ::


Osim ako se blokiraju svi portovi osim onih neophodnih. Pretpostavljam da je to mali broj portova, tako da mislim da nije nešto posebno procesorski zahtevno.

ali vidi, ti govoriš o tome da se blokiraju i odlazni portovi (u izlazu - output )
jel tako ?
(dok p2p mislim da mu ne smeta previše ako su svi dolazni portovi blokirani ,
malo je manja brzina skidanja ,ili puno manja )

tako sam jednom blokirao i odlazne portove , i za svaku novu aplikaciju
sam morao da redefinišem , pustim audio online stream -a on neće

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 20 Apr 2011 14:19

Ja bih to sve stavio na FORWARD lance. Blokiraš sav nepoželjan saobraćaj ka drugom ruteru i miran si.

Dopuna: 20 Apr 2011 14:50

Doduše, moj predlog ima manu. Ne vrši se filtriranje paketa na Layer 7 nivou. Tako da je teorijski moguće proterati nepoželjan application level protokol kroz bilo koji dozvoljeni port, napr: port 80 (www).