[FUG-BR] RES: RES: Problemas com P2P
Eduardo Schoedler
eschoedler em viavale.com.br
Quarta Setembro 3 17:45:54 BRT 2008
Como ficou o classifyd ?
Abraços.
--------------------------------------------------
From: "Paulo Henrique" <paulo.rddck em bsd.com.br>
Subject: Re: [FUG-BR] RES: RES: Problemas com P2P
2008/9/3 Alex Almeida <almeida.alex em gmail.com>
> Bom dia senhores,
>
> O nosso inimigo "P2P", precisa de informações para poder se
> conectar, tais informações são passadas via arquivo de hosts chamados
> "server.met"
> (no caso do emule), todos os programas são de codigo aberto.
> Em vez de brincar de gato e rato vamos usar as inforções destes
> programas, criar um programa para simular um cliente P2P, que se conecte
> as redes
> deles como um espião, pegando todos os endereços ip do servidores para
> gerar uma lista para banir em nossos firewall´s esses acessos.
> Para isso precisamos que alguem se habilite nessa empreitada, é tão
> somente um decodificador do arquivo "server.met", irá tirar de
> circulação uns
> 80% dos servidores P2P os outros 20% teriamos de fazer o simulador, para
> rastrear e posteriormente bloquear.
>
> []´s
> Alex Almeida
Creio que melhorar a aplicação ou escrever um modulo de extenção sobre o
Layer 7 seria melhor e resolveriamos mais problemas no geral.
> Paulo Henrique escreveu:
> > Poderia colocar um Sniffer na interface interna do servidor e verificar
> > quais são os ipsou classes que estão trafegando internamente na rede.
> >
> >
> > 2008/9/1 Cobausque <cobausque em ig.com.br>
> >
> >
> >> Ok,,, meu exemplo ...
> >> Estou usando atualmente este modelo como teste .. já testei outras
> >> variações
> >> de script mm estou com este no momento funciona normalmente mas com o
> p2p
> >> tb
> >> acontece a quebra de banda ..
> >> Por exemplo já testei mascaras diferentes .. sem mascara .. entre
> >> outros
> >> detalhes funciona normalente mas o Ares consegue burlar ..
> >>
> >> ====== FIREWALL============
> >>
> >> ######NAT####################################################
> >> ipfw add 400 allow all from me to any 80
> >> ipfw add 401 fwd 127.0.0.1,3128 tcp from any to not me 80
> >> ipfw add 403 divert 8668 all from 10.1.60.0/24 to any out via xl0
> >> ipfw add 405 divert 8668 all from any to 172.20.1.2 in via xl0
> >> ipfw add 406 allow icmp from any to any icmptype 0,3,8,11
> >> ipfw add 407 allow all from any to any 22,53
> >> ipfw add 408 allow all from any 22,53 to any
> >> ##################################################################
> >>
> >> ###REDE 1 adm######
> >> ipfw pipe 802 config mask dst-ip 0xfffff00 bw 200Kbit/s queue 11
> >> ipfw pipe 803 config mask src-ip 0xfffff00 bw 200Kbit/s queue 11
> >> ipfw add 802 pipe 802 ip from any to
> >> 10.1.60.0/24{2-23,47,49,62,70-110}<http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>
> <http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>out
> >> via fxp0 limit src-addr 55
> >> ipfw add 803 pipe 803 ip from
> >> 10.1.60.0/24{2-23,47,49,62,70-110}<http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>
> <http://10.1.60.0/24%7B2-23,47,49,62,70-110%7D>to any in
> >> via fxp0 limit dst-addr 55
> >>
> >>
> >>
> >> ipfw add 30000 deny log all from any to any not layer2 in via fxp0
> >> ============================
> >>
> >> ======KERNEL=====
> >>
> >> options IPFIREWALL
> >> options IPFIREWALL_FORWARD
> >> options IPFIREWALL_VERBOSE
> >> options IPFIREWALL_VERBOSE_LIMIT=1000
> >> options IPFIREWALL_DEFAULT_TO_ACCEPT
> >> options IPDIVERT
> >> options IPSTEALTH
> >> options BRIDGE
> >> options TCP_DROP_SYNFIN
> >> options DUMMYNET
> >> options SYSVSHM
> >> options SHMSEG=16
> >> options SHMMNI=32
> >> options SHMMAX=2097152
> >> options SHMALL=4096
> >> options SYSVMSG
> >> options MSGMNB=16384
> >> options MSGMNI=41
> >> options MSGSEG=2049
> >> options MSGSSZ=64
> >> options MSGTQL=2049
> >>
> >> device pf
> >> device pflog
> >> device pfsync
> >>
> >> options ALTQ
> >> options ALTQ_NOPCC
> >> options ALTQ_CBQ # Class Bases Queueing
> >> options ALTQ_RED # Random Early Drop
> >> options ALTQ_RIO # RED In/Out
> >> options ALTQ_HFSC # Hierarchical Packet Scheduler
> >> options ALTQ_CDNR # Traffic conditioner
> >> options ALTQ_PRIQ
> >>
> >> options NETGRAPH
> >> options NETGRAPH_PPPOE
> >> options NETGRAPH_SOCKET
> >> options NETGRAPH_IFACE
> >> =================
> >>
> >>
> >>
> >> -----Mensagem original-----
> >> De: Paulo Henrique
> >> Assunto: Re: [FUG-BR] RES: Problemas com P2P
> >>
> >> POderia postar todo o seu firewall.rules para podermos ter uma melhor
> base
> >> para analise do problema.
> >> Fica complicado, pois como já descrito aqui poderá ser erro de
> >> semântica
> no
> >> arquivo.
> >> Coloque junto as opções que compilou o seu sistema com relação ao
> >> firewall.
> >>
> >> 2008/8/29 Eduardo Schoedler <eschoedler em viavale.com.br>
> >>
> >>
> >>> Mais uma coisa.
> >>> Coloque a última regra como "deny log from any to any".
> >>> E veja no /var/log/security o que está passando que você não consegue
> >>> capturar.
> >>>
> >>> Abraço.
> >>>
> >>>
> >>>
> >>> --------------------------------------------------
> >>> From: "Eduardo Schoedler" <eschoedler em viavale.com.br>
> >>> Subject: Re: [FUG-BR] RES: Problemas com P2P
> >>>
> >>> Só por curiosidade... o ip do seu cliente é 10.0.0.10 ou 10.0.0.20 ?
> >>>
> >>> Abraço.
> >>>
> >>>
> >>> --------------------------------------------------
> >>> From: "Cobausque" <cobausque em ig.com.br>
> >>> Subject: [FUG-BR] RES: Problemas com P2P
> >>>
> >>> Não alterei não .. como comentaram acho estranho o firewall permitir
> >>>
> >> este
> >>
> >>> descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100
> >>> pipe
> >>>
> >> 200
> >>
> >>> ip from any to 10.0.0.10 via xl0
> >>> Ou seja desrevi IP.. .... e o danado consegue.. ultrapassar .. tentei
> Tb
> >>>
> >> .
> >>
> >>> Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0
> >>> Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse
> algum
> >>> tipo de criptografia .. não deveria haver o estouro da banda .
> >>>
> >>>
> >>>
> >>> -----Mensagem original-----
> >>> De: Eduardo Schoedler
> >>> Assunto: Re: [FUG-BR] Problemas com P2P
> >>>
> >>> Não interessa o que tem no pacote.
> >>> Ele lê os headers (layer 3).
> >>>
> >>> Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0
> >>> Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0
> >>>
> >>> Você alterou o parâmetro net.inet.ip.fw.one_pass ?
> >>> Se alterou, ele pode estar pegando uma regra mais abaixo, menos
> >>>
> >> restritiva.
> >>
> >>> Veja:
> >>>
> >>> net.inet.ip.fw.one_pass: 1
> >>> When set, the packet exiting from the dummynet(4) pipe or from
> >>> ng_ipfw(4) node is not passed though the firewall again.
> >>> Other-
> >>> wise, after an action, the packet is reinjected into the
> firewall
> >>> at the next rule.
> >>>
> >>>
> >>> Abraços.
> >>>
> >>> --------------------------------------------------
> >>> From: "Breno Vale" <breno em brenovale.com.br>
> >>> Subject: Re: [FUG-BR] Problemas com P2P
> >>>
> >>> Amigo,
> >>> Ares usa criptografia quando fecha o P2P. Sendo assim as regras não
> >>> conseguem identificar que o pacote é P2P.
> >>> Ares é melhor bloquear do que tentar controlá-lo.
> >>> []'s
> >>> Breno
> >>> Cobausque escreveu:
> >>>
> >>> Pessoal estou tendo problemas com um comportamento de um programa P2P
> >>> o
> >>> Ares..
> >>>
> >>> Estou usando ipfw e com queues defino a banda de meus clientes .. mas
> >>> quando
> >>> o cliente usa este Ares ele consegue burlar o controle queue e se ele
> tem
> >>> 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém
> já
> >>> teve semelhante problema ???
> >>>
> >>> Gostaria de alguns exemplos de script pra fazer comparações .. testei
> >>> varias
> >>> variações de scripts ... não funcionaram bem ..
Mais detalhes sobre a lista de discussão freebsd