[FUGSPBR] Controle de Banda

TEC Meganet tec em mega.net.br
Dom Jan 11 21:11:05 BRST 2004


olha não sei, mas talvez não é o caminho certo
sem avaliar o snort, ele detecta certos trafegos
objetivo dele é detectar tentativas de certos ataques ou intrusões
e conforme previa configuração ele reage

problema maior do snort é que ele não é inteligente porque depende de
configuração humana :) (é que somos meio burros, devagar em pensar e ainda
emotivos, portanto inúteis para tomar decisões corretas)

ele também não sabe muito diferenciar entre trafego normal ou maligno
e pior, se for configurado ele rejeita daquele origem tudo ou todo naquela
porta, mas a decisão dele é estática. Tb normalmente instalar um programa
deste para agir na rede interna não é a melhor ideía.

Aquele programa adicional não é necessário porque o snort "sabe" executar
qualquer comando unix, entre eles por exemplo ipfw para criar regras quaisquer

bom, assunto é que o trafego kazaa não é nenhuma intrusão e ataque, ele é
trafego normal tcp/ip

o que vc precisa é um controle de fluxo tcp/ip e isso você pode resolver
perfeitamente com ipfw só sem fazer grandes experimentos ou qualquer outro
programa para essa finalidade de controle de trafego

é muito fácil "enganar" o Kazaa, sem precisar de fazer acrobacia alguma
vou te passar uma orientação como fazer sem o squid, ideía que aprentemente
não gostou:

lan=sua rede interna
oif= nome da interface da sua placa de rede "internet" no gateway
ipfu=ip da máquina interna

#primeiro trancamos udp
#dependendo do tamnho da sua rede precisa ajustar alguns sysctl
ipfw add check-state
ipfw add pass udp from ${lan} to any keep-state
ipfw add demy log udp from any to any

#depois impossibilitamos a entrada de tcp
ipfw add deny tcp from any to ${lan} setup
ipfw add pass tcp from ${lan} to any setup
ipfw add pass tcp from any to any established

#ou caso sua máquina tem memória e sabe setar os parametros
ipfw add deny tcp from any to any established
ipfw add pass tcp from ${lan} to any setup keep-state



#o truque! e essas linhas devem estar primeiro no config
# e deve criar um set para cada IP de seus colegas
ipfw add pipe 01 ip from ${ipfu} to any
ipfw pipe 01 config bw 32Kbit/s

#mas para que funcione deve setar
/sbin/sysctl -w net.inet.ip.fw.one_pass=0


e porque funciona? Leia o manual do Kazaa :)







Mauro Pedrini (mauped em terra.com.br) wrote*:
>
> Heini,
>
> Com isso eu crio o que chamam de IPS (Intrusion Prevention System)? Ou
> tem mais coisa???
>
> Valeu,
> Mauro
>
> Heini Thomas Geib wrote:
> > Eduardo,
> >
> > Para barrar o Kazaa, utilize o Snort (http://www.snort.org) em conjunto com
> > Guardian (http://www.chaotic.org/guardian/) e IPFW.
> >
> > Funciona!
> >
> > []'s
> > Heini.
> >
>
> _______________________________________________________________
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd