Hallo Habe ein grossen Problem!!! Ist es möglich alle P2P programme zu blocken, bisher wird über Port geblockt (iptables), Es ist aber im Netzwerk jemand dahintergekommen, einen anderen Port zu benutzen. Kann ja nicht alle Ports Blocken Gibt es eine möglichkeit? Danke im vorraus volker Mit schönen Grüßen von Yahoo! Mail - http://mail.yahoo.de
hans meyer
Ist es möglich alle P2P programme zu blocken, bisher wird über Port geblockt (iptables), Es ist aber im Netzwerk jemand dahintergekommen, einen anderen Port zu benutzen. Kann ja nicht alle Ports Blocken Gibt es eine möglichkeit?
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst (Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen! Martin
--- Martin Schmitz
hans meyer
writes: Ist es möglich alle P2P programme zu blocken, bisher wird über Port geblockt (iptables), Es ist aber im Netzwerk jemand dahintergekommen, einen anderen Port zu benutzen. Kann ja nicht alle Ports Blocken Gibt es eine möglichkeit?
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst (Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen!
Martin
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Danke für den Tip, nur das Problem ist, der Nutzer geht über Port 80!!! Mit schönen Grüßen von Yahoo! Mail - http://mail.yahoo.de
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst (Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen!
Heute gehen doch sehr viele P2P Clients über den http Port, dass kannst du so leicht nicht blocken. Irgendwo habe ich mal gehört das man FWs so einstellen kann, dass diese nur für bestimmte Applikationen offen sind. Ob das stimmt kA. Eventuell weiß jemand anderes mehr? Gruß Ronny
Am Donnerstag, 15. April 2004 15:50 schrieb Ronny Dombrowski:
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst (Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen!
Heute gehen doch sehr viele P2P Clients über den http Port, dass kannst du so leicht nicht blocken. Irgendwo habe ich mal gehört das man FWs so einstellen kann, dass diese nur für bestimmte Applikationen offen sind. Ob das stimmt kA. Eventuell weiß jemand anderes mehr?
Es gibt ein netfilter modul zur identifizierung von P2P Verbindungen namens IPP2P: http://kea.informatik.uni-leipzig.de/ipp2p/ Ich hab das zwar nicht getestet, aber vll hilft das. Frieder
On Thursday 15 April 2004 15:32, hans meyer wrote:
Danke für den Tip, nur das Problem ist, der Nutzer geht über Port 80!!!
Zur Not loggst Du einfach ein wenig Traffic mit, wenn man diesen definitiv einem Filesharingprogramm zuordnen kann sperrst Du diesen User einfach. Der wird sich dann schon bei Dir melden. :-) Dann kannst Du ihm persönlich nochmal daraufhinweisen, daß p2p ncith erlaubt ist. So ähnlich wird das bei uns an der Uni im wlan gemacht. Wird jemand erwischt ist der Account dicht und muss persönlich wieder freigeschaltet werden. MfG Marco
hier wieder der Ursprungsposter
1. Tunnel funktioniert, benutze es selbst
2. Bisher hat gut zureden nichts gebracht
(sprachbariere)
3. Ip ist jetzt geblockt, aber das ist ja auch nicht
der Wahrheit letzter....
4. geht es ja eigentlich nicht direkt gegen p2p, nur
hängen an der Leitung ins Netz mehr als ein Nutzer,
und wenn einer die ganze Leitung mit seinem P2P
scheiss blockiert ist das nicht sonderlich sozial
aber danke für die vielen Tips
Grüsse
Volker
--- Marco Röben
Danke für den Tip, nur das Problem ist, der Nutzer geht über Port 80!!!
Zur Not loggst Du einfach ein wenig Traffic mit, wenn man diesen definitiv einem Filesharingprogramm zuordnen kann sperrst Du diesen User einfach. Der wird sich dann schon bei Dir melden. :-) Dann kannst Du ihm persönlich nochmal daraufhinweisen, daß p2p ncith erlaubt ist.
So ähnlich wird das bei uns an der Uni im wlan gemacht. Wird jemand erwischt ist der Account dicht und muss persönlich wieder freigeschaltet werden.
MfG Marco
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Mit schönen Grüßen von Yahoo! Mail - http://mail.yahoo.de
Hi Hans, hi Liste, Am Donnerstag, 15. April 2004 20:43 schrieb hans meyer:
hier wieder der Ursprungsposter 1. Tunnel funktioniert, benutze es selbst 2. Bisher hat gut zureden nichts gebracht (sprachbariere) 3. Ip ist jetzt geblockt, aber das ist ja auch nicht der Wahrheit letzter.... 4. geht es ja eigentlich nicht direkt gegen p2p, nur hängen an der Leitung ins Netz mehr als ein Nutzer, und wenn einer die ganze Leitung mit seinem P2P scheiss blockiert ist das nicht sonderlich sozial
Schon mal über traffic shaping nachgedacht? cu Gerald
Gerald Goebel schrieb:
Hi Hans, hi Liste,
Am Donnerstag, 15. April 2004 20:43 schrieb hans meyer:
hier wieder der Ursprungsposter 1. Tunnel funktioniert, benutze es selbst 2. Bisher hat gut zureden nichts gebracht (sprachbariere) 3. Ip ist jetzt geblockt, aber das ist ja auch nicht der Wahrheit letzter.... 4. geht es ja eigentlich nicht direkt gegen p2p, nur hängen an der Leitung ins Netz mehr als ein Nutzer, und wenn einer die ganze Leitung mit seinem P2P scheiss blockiert ist das nicht sonderlich sozial
Schon mal über traffic shaping nachgedacht?
...oder tcpkill? Damit kann der Delinquent zwar noch ganz normal arbeiten, aber man kann ihm ansonsten alle Dienste verleiden :-) Gruß hebi -- Dirk Hebenstreit Tel : +49-170-2461522 Eschenweg 3 +49-33200-85997 14558 Bergholz-Rehbruecke Dirk.Hebenstreit@epost.de PingoS - LINUX-User helfen Schulen: http://www.pingos.org
Hi Dirk, hi Liste Am Freitag, 16. April 2004 23:08 schrieb Dirk Hebenstreit:
Gerald Goebel schrieb:
Schon mal über traffic shaping nachgedacht?
...oder tcpkill? Damit kann der Delinquent zwar noch ganz normal arbeiten, aber man kann ihm ansonsten alle Dienste verleiden :-)
Was wilst du denn da einstellen? Den Port? Es wird Port 80 für p2p benutzt, oder die Server? Ständig wechselnde Server und IP-Addressen. Ich glaube Hans hat anderes zu tun als sich den ganzen Tag hinzusetzen und ständig tcpkill mit neuen Namen und/oder IP-Addressen zu füttern. Anstatt tcpkill kann man auch iptables nehmen, es kann nämlich nicht mehr. Wäre da noch tcpnice, aber das ist auch nur für traffic shaping, hier ist aber tc wesentlich mächtiger und flexibler. BTW sind das zwei BSD-Programme, hat BSD sowas nicht im Kernel, oder sind das nur Frontents ,wie tc und iptables, dafür? cu Gerald
Hallo Hans, ja es ist moeglich. angenommen: es sollen folgende Anwendungen funktionieren email-versenden (25), email-empfangen (110, 995 (mir nicht 100%ig sicher)) http (80). 995: muesste der Port fuer verschluesselten email-empfang sein, bin mir da aber nicht sicher... Was solltest du tun: Schliesse alle Ports, sowohl eingehend als auch ausgehend. Dann erlaubst du folgende Verbindungen: alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:25 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:110 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:995 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:80 Die Firewall darf nur Pakete (tcp) durchlassen, die ueber eine established oder related Verbindung eingehen. Dabei bedeuted: established: eine bereits vorhandene Verbindung und related: eine angeforderte Verbindung. Der Three-Hand-Shake bei TCP sollte dir etwas sagen.. ;-) Ich habe es selbst nicht ausprobiert, aber ein Freund und ich glauben, dass so alle p2p-Verbindungen unterbunden werden, es sein denn, das filesharing laeuft haupsaechlich ueber einen der 4 Ports. IIRC gibt es ein solches file-sharing noch nicht. 2. Moeglichkeit, die wohl am erfolgreichsten ist, du setzt Proxies ein. Gruss Christian PS: Koennt ihr bitte mal drueberschauen und mir bescheid geben, wenn ich Fehler gemacht habe... Bin selbst Neuling im Einrichten von Firewalls. Danke
hans meyer
writes: Ist es möglich alle P2P programme zu blocken, bisher wird über Port geblockt (iptables), Es ist aber im Netzwerk jemand dahintergekommen, einen anderen Port zu benutzen. Kann ja nicht alle Ports Blocken Gibt es eine möglichkeit?
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst (Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen!
Martin
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- NEU : GMX Internet.FreeDSL Ab sofort DSL-Tarif ohne Grundgebühr: http://www.gmx.net/info
Hallo Hans,
ja es ist moeglich.
angenommen: es sollen folgende Anwendungen funktionieren email-versenden (25), email-empfangen (110, 995 (mir nicht 100%ig sicher))
http (80).
995: muesste der Port fuer verschluesselten email-empfang sein, bin mir da
aber nicht sicher...
Was solltest du tun: Schliesse alle Ports, sowohl eingehend als auch ausgehend.
Dann erlaubst du folgende Verbindungen: alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:25 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:110 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:995 alle inneren IPs:alle Ports ueber 1024 ==> alle IPs:80
Die Firewall darf nur Pakete (tcp) durchlassen, die ueber eine established
oder related Verbindung eingehen. Dabei bedeuted: established: eine bereits vorhandene Verbindung und related: eine angeforderte Verbindung.
Der Three-Hand-Shake bei TCP sollte dir etwas sagen.. ;-)
Ich habe es selbst nicht ausprobiert, aber ein Freund und ich glauben, dass so alle p2p-Verbindungen unterbunden werden, es sein denn, das filesharing laeuft haupsaechlich ueber einen der 4 Ports. IIRC gibt es ein solches file-sharing noch nicht.
OK... ich habe die letzten Themas dazu erst vorhin (nachdem ich meine emails geschrieben habe) bekommen... Koennt ihr mir bitte mal die Namen von den Progz nennen, die Files ueber Port 80 sharen.. Danke...
2. Moeglichkeit, die wohl am erfolgreichsten ist, du setzt Proxies ein.
Gruss Christian
PS: Koennt ihr bitte mal drueberschauen und mir bescheid geben, wenn ich Fehler gemacht habe... Bin selbst Neuling im Einrichten von Firewalls. Danke
hans meyer
writes: Ist es möglich alle P2P programme zu blocken, bisher wird über Port geblockt (iptables), Es ist aber im Netzwerk jemand dahintergekommen, einen anderen Port zu benutzen. Kann ja nicht alle Ports Blocken Gibt es eine möglichkeit?
Doch. Genau so macht man das eigentlich. Man sperrt sämtlichen Netz-Verkehr und gibt dann den wieder frei, den man wirklich haben möchte. Da Du offensichtlich einen Paketfilter für andere administrierst
(Firewall?), solltest Du Dich *dringend* mit den zugrundeliegenden Grundlagen befassen!
Martin
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- NEU : GMX Internet.FreeDSL Ab sofort DSL-Tarif ohne Grundgebühr: http://www.gmx.net/info
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- NEU : GMX Internet.FreeDSL Ab sofort DSL-Tarif ohne Grundgebühr: http://www.gmx.net/info
-----Ursprüngliche Nachricht----- Von: Christian Panten [mailto:mcr76@gmx.net] Gesendet: Donnerstag, 15. April 2004 15:53 An: suse-linux@suse.com Betreff: Re: blockieren von p2p
2. Moeglichkeit, die wohl am erfolgreichsten ist, du setzt Proxies ein.
Gruss Christian
PS: Koennt ihr bitte mal drueberschauen und mir bescheid geben, wenn ich Fehler gemacht habe... Bin selbst Neuling im Einrichten von Firewalls. Danke
Hallo Christian, es kann sein das ich jetzt falsch liege, aber selbst bei einem Proxy kannst du doch zumindest über ein P2P saugen. Nicht uploaden aber saugen sofern du über genügend Rechte verfügst um den Client zu installieren und dies über Port 80 geht. Gruß Ronny
-----Ursprüngliche Nachricht----- Von: Christian Panten [mailto:mcr76@gmx.net] Gesendet: Donnerstag, 15. April 2004 15:53 An: suse-linux@suse.com Betreff: Re: blockieren von p2p
2. Moeglichkeit, die wohl am erfolgreichsten ist, du setzt Proxies ein.
Gruss Christian
PS: Koennt ihr bitte mal drueberschauen und mir bescheid geben, wenn ich Fehler gemacht habe... Bin selbst Neuling im Einrichten von Firewalls. Danke
Hallo Christian,
es kann sein das ich jetzt falsch liege, aber selbst bei einem Proxy kannst du doch zumindest über ein P2P saugen. Nicht uploaden aber saugen sofern du über genügend Rechte verfügst um den Client zu installieren und dies über Port 80 geht.
Gruß Ronny
Hallo, theoretisch ist sowohl der Upload als auch der Download in ein P2P-Netz möglich, auch wenn nur ausgehende Verbindungen zu Port 80 auf fremden Rechnern oder HTTP Verbindungen zum Proxy erlaubt sind. Dabei vermittelt einfach der Filesharing-Server die Datenströme und die Clients müssen sich nur zum Server verbinden. So ähnlich funktionieren auch Webchat Systeme. Meine Frage ist nun, gibt es ein aktuelles P2P Netz, dass diese Möglichkeit (nur ausgehende Verbindungen zu Port 80) nutzt? IMHO ist dies bei den wichtigsten Netzen (eDonkey, Kazaa, Bittorrent) so nicht möglich. Angesichts von Programmen wie HTTPtunnel ist eine solche Diskussion eher müssig, da man einfach ein bestehendes Protokoll tunneln kann. Ich bezweifle jedoch, dass die Benutzer im Netzwerk des Ursprungsposters einen solchen Tunnel herstellen können, und falls doch haben sie es nicht nötig innerhalb des Netzwerkes P2P zu betreiben.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- NEU : GMX Internet.FreeDSL Ab sofort DSL-Tarif ohne Grundgebühr: http://www.gmx.net/info
Ronny Dombrowski, Donnerstag, 15. April 2004 16:06:
-----Ursprüngliche Nachricht----- Von: Christian Panten [mailto:mcr76@gmx.net] Gesendet: Donnerstag, 15. April 2004 15:53 An: suse-linux@suse.com Betreff: Re: blockieren von p2p ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Muss so was sein?
2. Moeglichkeit, die wohl am erfolgreichsten ist, du setzt Proxies ein.
Hallo Christian,
es kann sein das ich jetzt falsch liege, aber selbst bei einem Proxy kannst du doch zumindest über ein P2P saugen.
Ein Proxy kann im Gegensatz zu einem Paketfilter (z.B. netfilter bei Linux) auch den Inhalt der Pakete analysieren (in Squid lässt sich so z.B. ein Virenfilter einbinden). Gut, das erfordert Rechenpower, aber eine andere Möglichkeit als über den Content gibt es wohl kaum, wenn P2P auch schon über TCP-Port 80 abgewickelt wird. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Donnerstag, 15. April 2004 16:59 schrieb Matthias Houdek:
Ronny Dombrowski, Donnerstag, 15. April 2004 16:06:
-----Ursprüngliche Nachricht----- Von: Christian Panten [mailto:mcr76@gmx.net] Gesendet: Donnerstag, 15. April 2004 15:53 An: suse-linux@suse.com Betreff: Re: blockieren von p2p
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Muss so was sein?
Sorry, kann jedem mal passieren...
Ein Proxy kann im Gegensatz zu einem Paketfilter (z.B. netfilter bei Linux) auch den Inhalt der Pakete analysieren (in Squid lässt sich so z.B. ein Virenfilter einbinden). Gut, das erfordert Rechenpower, aber eine andere Möglichkeit als über den Content gibt es wohl kaum, wenn P2P auch schon über TCP-Port 80 abgewickelt wird.
Ich glaube nicht, daß das wirklich hier weiterhilft. Schließlich gibt es ja auch, wie vorhin schon mal erwähnt HTTPtunnel. Damit kann man jeden beliebigen Datenstrom in einem Http-Stream verpacken, ohne daß die darüberliegenden Schichten etwas davon mitbekommen, was für Pakete da verschickt werden. Für den netfilter sehen diese Packete aus wie normale erlaubte Pakete. Sollten die Benutzer im Netzwerk des Ursprungsposter einen solchen Tunnel installieren können, habe die es nicht nötig, in diesem Netzwerk Files zu sharen. Schließlich hat solch ein Tunnel immer zwei Enden. Gruß Christian
Christian Panten, Donnerstag, 15. April 2004 19:19:
Am Donnerstag, 15. April 2004 16:59 schrieb Matthias Houdek:
Ronny Dombrowski, Donnerstag, 15. April 2004 16:06:
-----Ursprüngliche Nachricht----- Von: Christian Panten [mailto:mcr76@gmx.net] Gesendet: Donnerstag, 15. April 2004 15:53 An: suse-linux@suse.com Betreff: Re: blockieren von p2p
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Muss so was sein?
Sorry, kann jedem mal passieren...
Ein Proxy kann im Gegensatz zu einem Paketfilter (z.B. netfilter bei Linux) auch den Inhalt der Pakete analysieren (in Squid lässt sich so z.B. ein Virenfilter einbinden). Gut, das erfordert Rechenpower, aber eine andere Möglichkeit als über den Content gibt es wohl kaum, wenn P2P auch schon über TCP-Port 80 abgewickelt wird.
Ich glaube nicht, daß das wirklich hier weiterhilft. Schließlich gibt es ja auch, wie vorhin schon mal erwähnt HTTPtunnel. Damit kann man jeden beliebigen Datenstrom in einem Http-Stream verpacken, ohne daß die darüberliegenden Schichten etwas davon mitbekommen, was für Pakete da verschickt werden. Für den netfilter sehen diese Packete aus wie normale erlaubte Pakete.
Sollten die Benutzer im Netzwerk des Ursprungsposter einen solchen Tunnel installieren können, habe die es nicht nötig, in diesem Netzwerk Files zu sharen. Schließlich hat solch ein Tunnel immer zwei Enden.
Eben. Und wenn das Ende hier immer per netfilter im transparenten Proxy landet ;-) -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
participants (9)
-
Christian Panten
-
Dirk Hebenstreit
-
Frieder Simmeth
-
Gerald Goebel
-
hans meyer
-
Marco Röben
-
Martin Schmitz
-
Matthias Houdek
-
Ronny Dombrowski