Kazaa i IPTABLES

hmm. luk alle de porte du ikk bruger. har også hørt rygter om kazaa kan bruge port 80, hvis det er tilfældet ser det sort ud desværre.

Jeg ved det kan lade sig gøre. for vejle tekniske skole har lukket så det ikke kan lade sig gøre

det kan være de har adgang til en lidt smatere router end dig, ved at 3com laver nogle som kan lukke for trafik hvis portnr er eller ip ikk overholder nogle rules. fx. hvis du lammesuger på kazaa, så fanger routeren det og lukker for trafikken.

hvad skal du bruge maskinerne til som skal beskyttes af iptables?
-evt. kunne jo spørge skolens sys-op hvordan man gør det.

prøv at kigge i det her spm - der er et iptables script.

Der er bla følgende kode
#FastTrack (KaZaA, Grokster)
/sbin/iptables -A INSPECT -p TCP -m string --string "X-Kazaa-Username:" -j INSDROP
/sbin/iptables -A INSPECT -p TCP -m string --string "X-Kazaa-Network:" -j INSDROP
/sbin/iptables -A INSPECT -p TCP -m string --string "X-Kazaa-SupernodeIP:" -j INSDROP

argh
http://www.eksperten.dk/spm/270702

Tror av ulike grunner at de tingene som står i scriptet til den refererte link ikke vil kjøre, men det det er jo bare å ta en copy paste og så se om det kjører. (Dette scriptet inneholder etter mitt syn allikevell en hel del interesante detaljer.)

Når det gjelder filtrering av trafikk til/fra Kazaa så er det slik som jeg ser det to i utgangspuktet to viktige spørsmål: "Hvor kjører server" og hvor "kjører klient". Her er det vel snakk om peer to peer servere, slik at det er snakk om at en windows arbeidsstasjon inne på lan skal fungere eller ikke fungere som kombinert klient/server i forhold til en eller flere tilsvarende ute på internett - rett ??

Dette betyr i så fal at filteringen ikke skal skje i INPUT eller OUTPUT cain men i FORWARD chain. En slik filtering er i utgangspunktet ukomplisert å sette opp.

Men så kommer neste spørsmål: Hvordan klarer man å formulere fitrerings regler slik at firewall er i stand til å skille mellom den trafikken som er til/fra kazaa og den øvrige trafikk. Kjører den sine spesielle porter så er problemstillingen grei nok da kan man jo fitrere på basis av portnummer. Kjører den port 80 likt med Web browser da blir problemstillingen litt mere komplisert men forhåpentligvis ikke helt umulig.

lynx-dlk -> Hadde håpet på at du kjørte en Red Hat installasjon men jeg kan se at det dreier seg om en Debian. Red Hat har som default installert et program som heter "iptraf". Det finnes forhåpentligvis til Debiab også.

Kan du kjøre i gang først "iptraf" på Linux. Der etter så velger du monitoring av den trafikken gjennom det kortet som er koplet opp mot internett. Start så opp en Web browser inne på Lan. Du vil da kunne se at det etableres trafikk på port 80 (pluss noen flere).

Etter at du har fått dette til å fungere så "nuller du ut" de tingene som står på Linux console slik at du i prinsippet har en ny eller blank skjerm. Kjør så i gang kazaa på Windows maskinen inne på Lan. Kople deg også opp mot en ekstern kazaa maskin for fildeling. Mens du gjør dette så følger du med i console windu på Linux hva slags trafikk du har gjennom Linux maskinen. Legg spesielt merke til portnummer for inngående og utgående trafikk og legg ut resultatet her !!

Det er også mulig å bruke "tcpdump" eller "tethneteal" som er packet sniffer programmer, men disse produserer en utrolig stor mengde data slik at loggen er vanskelig å lese. "iptraf" fungerer mere som en slags "litt enklere trafikkmonitor" for den trafikken som er "her og nå"

Selv om det eventuelt i verste fakk skulle vise seg at at Kazaa kjører port 80 og i prinsipp ingen ting annet, så kan det fremdeles være mulig å filtere på basis av port 80 etter som man for eksempel kan la trafikk på port 80 passere ut mens den samtidig er stengt for retning inn. Source og target portnummer er vanligvis ikke det samme. (Dette kan man tydelig se på "iptraf").

Forresten kan jeg informere om, at skoler kan købe en ydelse (fra deres ISP), hvor der bliver lukket for adgang til p2p. Dette fungerer relativt simpelt ved at nogle filtre i cisco-routeren holdes ved lige.

Det vil sige, at kommer der nye måder til p2p, opdateres filteret - og routeren er ikke speciel - og har ikke nødvendigvis PIX installeret.

Det ser ut som om kazaa kjører port 1241, og det er i så fall helt uproblematisk å stanse.

http://www.digitaltoad.net/docs/port/port01200-01299.html
http://www.digitaltoad.net/docs/port/
(Vet eller ikke hvor riktige eller oppdaterte disse linkene er, men har sjekket et annet sted også.)

Siden forlaget om å sjekke alle sider ved trafikken først er kommet opp, vil du se om iptraf er der og om den vil kjøre ?? (Hvis ikke så får ve vel i all enkelhet bare blokkere for port 1241/TCP/UDP.)

L> Du mente vel 1214 - 1241 er nessus :-) ?

Hei lap ! Mon ikke Linux kan de fitreingsmåter som Cisco kan pluss .. ? :-)
Hva menes forresten "med pix installert" ?
http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/pix_pa.htm  ??

Hva slags generelt regelsett eller generell funksjonalitet bruker man til å stanse p2p i sin alminnelighet ??

1241 .. Kikke en gang til .. "Web Hacking, Attack and Defence", tabell side 450:

1241 KaZaA File Sharing Server (HTTP-like protocol).

Husker i farten ikke en gang hva Nessus er, men der høres merkelig kjent ut ..

Ja selvfølgelig ... http://www.nessus.org/intro.html :-)

http://www.wwdsi.com/products/saint_engine.html

Hej L
Jo, det er jeg ret sikker på at Linux kan, men den store forskel på en commerciel og en "privat" løsning er, at der sidder betalte mennesker og opdaterer disse filte så snart der kommer nye porte/servere. Vi andre vil gerne lave en rimelig permanent løsning - selvom en firewall er en never-ending process.

Cisco IOS i den rigtige version bliver til en PIX-firewall - det vil sige, at de fleste (større) routere fra Cisco kan blive til firewalls - og fortsat være regulære Cisco routere.

Dit link peger på en hardware firewall, men "almindelige" routere kan også blive PIX firewalls (fra Cisco) vha. Cisco firewall IOS.

Jeg kender ingen detaljer i hvorledes p2p stoppes i ovenstående model, men da det er baseret på en router, så er jeg ret sikker på, at det alene baserer sig på porte og ip-adresser - altså basal routning.

Jeg faldt følgende i min søgen http://testweb.oofle.com/filesharing/ - som beskriver de forskellige p2p services, og hvordan de blokeres i f.eks. iptables.

Foresten er jeg også blevet en del klogere af dine indlæg - tak.

Jo takker. Har faktisk blitt litt klokere jeg og (Håper jeg) :-)
Fant ut to ting akkurat nå. Hadde i grunnen glemt ut hele nessus, og nå ser jeg at den også finnes i gratis Windows versjon !!
Det annet, den linken du la ut, lap, den inneholder vel faktisk nesten hele løsningen:

http://testweb.oofle.com/filesharing/KaZaa/index.htm

Se her: iptables -A FORWARD --dport 1214 -j REJECT

(Forutsetter at det stmmer over ens med resten av firewall.)

Men  .. Her står det port 1214 mens boken min og linken jeg fant på web sier port 1241 !! Her er det visst fortsatt behov for litt sjekking med iptraf !!

Korrekt, for dine links peger også på 1214 - men ja, porten skal verificeres. Opskiften for at lukke for selve filoverførslen er jo rigtig god (som beskrevet via link).

Jeg har faktisk brugt nessus en del gange - også i destruktiv mode - og den er effektiv, men netsaint skulle også være god.

Forslag til lynx-firewall.sh i forhold til tidligere indlæg:

############################
# Close access to file sharing services
# Source: http://testweb.oofle.com/filesharing/
############################
#Kazaa
iptables -I FORWARD -p TCP --dport 1214 -j REJECT 
iptables -I FORWARD -p UDP --dport 1214 -j REJECT 
#Gnutella
iptables -I FORWARD -p TCP --dport 6346 -j REJECT 
#Napster
iptables -I FORWARD -d 64.124.41.0/24 -j REJECT 
#IMesh
iptables -I FORWARD -d 216.35.208.0/24 -j REJECT 
#AudioGalaxy
iptables -I FORWARD -d 64.245.58.0/23 -j REJECT 
############################

Nå, men signing off - må hellere sove nogle timer.

http://www.kazaa.com/us/help/faq/supernodes.htm#port1214

Jo det ser ganske greit ut !!

Reglene er satt opp til å være bidireksjonale dvs de virker likt begge veier i forward chain. -I i stedet for -A plasserer reglene på topp. Helt ok. Pleier normalt å skrive -j DROP og aldri -j REJECT men i dette tilfellet så blir vel det det samme (?).

I følge tidligere spørsmål så benytter han (lunx-dk)en forward policy som er satt til ACCEPT men det får vel passere selv om det kanskje ikke er optimalt.

Disse ip adressene 64.124.41.0/24 osv kjenner jeg ikke til, men dette må da dreie seg om eksterne servere (som man ikke skal kunne komme inn på)

Modulen over skulle ellers kunne redigeres inn i den orginale firewall eller event kjøres som et firewall script no 2.

Apropos sove et par timer ja, jo .. enig :-)

"eksterne servere" .. dvs ip adress range ..

hejsa bare lige en oplysning som i selv har været inde på

KAZAA kan uden problemer køre på port 80, så kan det være meget svært at lukke for den.

Det ser ud til, at supernoder skal køre på port 1214 - selve overførslenkan godt være på port 80, men hvis ikke man kan komme i kontakt med en supernode, så virker det alligevel ikke.

snip fra link i ovenstående:
This rule will not block access to the KaZaA network, but instead will block filetransfers from occuring across KaZaA or Morpheus, as the software has a static port. This is pretty much just as effective, and can actually be more effective as the user won't believe that you have firewalled, but they are just having problems connecting to other users.

Det ville være interessant at få bekræftet, om ovenstående løsning rent faktisk virker (jeg bruger ikke produkter såsom kazaa eller lignende, og kan derfor ikke teste det :-)

Bruker heller ikke Kazaa eller liknende men er også interessert i å få tingene litt avklart (slik at keg slipper å installere Kazaa).

Dersom Kazaa eventuelt kan kjøre bare port 80 så er dette etter mitt syn ikke nødvendigvis et avgjørende argument for at man ikke kan stenge for Kazaa på port 80 somtidig som man holder åpent for Web trafikk på den samme port 80. Det kommer bare litt ann på hvordan trafikken ser ut og hvordan komunikasjonen skjer. "iptraf" bør kunne gi et svar på det. Kan man stenge for Kazaa og tilsvarende programmer med andre firewalls så kan man det etter all sansynlighet stenge for det med Linux også.

Ellers, prinsippielt: Internett bør bestå av helt åpne linjer. De restriksjoner som finnes bør enten settes av sluttbruker selv eller administrator ned mot brukernivå. Filtreing av trafikk lengere opp i et sytem eller organisasjonshierki bør prinsipielt sett helst ikke forekomme med mindre ulovlig bruk. (Min mening om den saken.)

husk at lukke sprøgsmålet

Jeg siger tak for hælpen :-)