Bloquer upload Edonkey avec ipcop 1.2

par **shubnigourat** » 16 Sep 2003 12:22

Bonjour, J ai des pb de bande passante upload saturées (et donc tout l Internet) a cause du traffic engendré par certains de mes utilisateurs. Pourtant, je filtre les ports P2P et Messagerie instantannée avec des scripts perso ipchains. La dessus j ai ajouté un filtrage de contenu, d url et de Header mime pour empecher le telechargement de flux stream video/audio. Ces regles fonctionnent pendant les heures de travail (8h-12h et 14h-18h) et se desactivent en dehors (fo etre tolerant). Malgres ces precautions, y a un probleme avec Emule. Pourquoi l upload de Emule est tjrs actifs alors que les ports de l appli sont filtrés et que mes utilisateurs ont donc une LOWID d office ? Emule utilise des ports differents de ceux que j ai filtré (4662, 4672, 4665, 4661) pour l Upload ? Y a t il un moyen d interdire complettement ce traffic sortant ?

par **West** » 16 Sep 2003 15:05

C koi exactement T regles de filtrage pour emule ?? Sans etre ni sur, ni spécialiste de ipchain, je me demande si ça ne viens pas du fait que les connexins étaient déjà établies, lors de l'activation des regles, bien sur en suposant que T regles sont corrects et bien apliquées . Mais bon je ne C pas si ipchain réagi de la sorte avec des connexions établies comme px le faire iptable... dc avoir .

par **sisg** » 16 Sep 2003 19:24

S'lut, Pour ma part, moi j'ai bloqué MSN, KAZAA,etc. avec IPCop 1.3.0Fix3+Squid+DansGuardian... Ça fonctionne à merveille ! Snoopyski

par **GozerX99** » 16 Sep 2003 19:37

L'upload edonkey, c'est du sortant, donc c'est toléré puisque, même en étant en Low ID, un autre client edonkey/emule/autres va demander au serveur, sur lequel est connecté le edonkey/emule de tes utilisateurs, de demander au client edonkey/emule de tes utilisateurs d'initier la connection, et d'envoyer le(s) morceau(x) de fichiers. Donc, pour moi, une solution efficace, c'est un proxy bien configuré (peut-être avec DansGuardian éventuellement, mais je le connais pas en détail, donc je ne suis pas affirmatif à 100%) qui n'autorise que le HTTP/HTTPS/FTP par ex.

par **gorka** » 17 Sep 2003 07:30

Je crois qu'on peut paramêtrer eMule pour qu'il utilise d'autres ports que les 4662 4665 4675 ... On peut lui affecter n'importe lequel non ?! <IMG SRC="images/smiles/icon_confused.gif">

par **shubnigourat** » 17 Sep 2003 09:41

pour WEST : mes regles ipchains pour le filtrage des ports Edonkey elles sont generees par un script. Il est executé a 8h, 12h, 14h et 18h via la cron. Il lit un fichier de conf /etc/ipchains.rules et /etc/ipchains.rules.exeption dans lesquelles il y a des listes de ports. exemple : # EMULE/EDONKEY output tcp 4662 input tcp 4662 output udp 4661 input udp 4661 output udp 4672 input udp 4672 output udp 4665 input udp 4665 Deplus le script genere les commandes ipchains qui vont bien en fonction d un argument passé en ligne de commande. "start" demarre le filtrage, "stop" arrete le filtrage", "status" affiche l'etat des chaines input et output. Les commandes générées sont du type ipchains -I input -p TCP -s 10.0.0.0/24 -d 0.0.0.0/0 4662 -j DENY ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4661 -j DENY ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4672 -j DENY ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4661 -j DENY ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4665 -j DENY ou 10.0.0.0/24 est mon sous reseau et 0.0.0.0/0 l'Internet et la meme chose pour la chaine output Les regles sont elles correctes ? Est il necessaire de les creer pour le chain input et output en meme temps ? Faut t il filtrer en sortie uniquement (comme mon exemple) en entrée egalement ? qq chose du type : ipchains -I input -p UDP -s 0.0.0.0/0 -d 10.0.0.0/24 4672 -j DENY

par **shubnigourat** » 17 Sep 2003 09:45

pour sisq : le blocage des appli de chat et les flux video/audio marche a merveille par la combinaison de ipchains et dansguardian. Le seul probleme c est emule. pour info voila les port filtrés par appli (extrait de mon fichier /etc/ipchains.rules) # KAZAA/GROKSTER/MORPHEUS output tcp 1214 input tcp 1214 input udp 2848 #Cute MX output tcp 2340 input tcp 2340 #iMESH output tcp 4329 #Gnutella based output tcp 6346:6347 input tcp 6346:6347 #Scour output tcp 8311 input tcp 8311 # ICQ/AIM output tcp 5190 input tcp 5190 # Ancienne version d ICQ output tcp 4000 input tcp 4000 # Old AIM output tcp 443 input tcp 563 # YAHOO MESSENGER output tcp 5050 input tcp 5050 #Messenger output tcp 6891:6900 input tcp 6891:6900 output tcp 6901 input tcp 6901 output udp 6901 input udp 6901 input tcp 1863 output tcp 1863 input tcp 1883 #IRC/MIRC/VIRC output tcp 6660:6669 input tcp 6660:6669 output udp 1080:6660 input udp 1080:6660 output tcp 113 input tcp 113

par **shubnigourat** » 17 Sep 2003 09:47

pour Grozerx99 : Donc, pour moi, une solution efficace, c'est un proxy bien configuré (peut-être avec DansGuardian éventuellement, mais je le connais pas en détail, donc je ne suis pas affirmatif à 100%) qui n'autorise que le HTTP/HTTPS/FTP par ex. Interessant ca ! Squid serait capable de filtrer un tel traffic ? Quelqu un a des infos la dessus ?

par **GozerX99** » 17 Sep 2003 14:17

ben, il faut voir comme fonctionne des softs comme edonkey2000, si il encapsule en format HTTP ou non lorsqu'on le configure avec un proxy ...

par **shubnigourat** » 17 Sep 2003 17:23

gozer le gozerrien : le proxy est configuré en tranparent y a pas de proxy configuré sur les clients ni dans edonkey. edonkey transfererait par le port 80 par defaut ?

par **GozerX99** » 19 Sep 2003 00:30

d'après la recherche google.fr que j'ai fait (avec "edonkey 80 proxy" en Francais), edonkey est tout à fait capable d'utiliser le port et un proxy (c'est d'ailleurs une facon de le faire fonctionner dans le cas où il y a un firewall et un proxy!). Pour info, y a l'option proxy dans le client edonkey2000 officiel. Du coup, je me suis demandé comment et pourquoi le proxy laissait passer ce traffic : j'ai donc regardé le fichier de configuration de Squid dans IPCop (/etc/squid/squid.conf), et là ... surprise dans les ACL (un peu trop ouvert à mon gout pour un proxy) : acl Safe_ports port 1025-65535 # unregistered ports Puis plus tard dessus, les ACCESS : http_access deny !Safe_ports => ici, on refuse tous accès vers des ports non listés dans les Safe_ports http_access allow localnet => ici, on autorise le réseau local (défini dans les ACL) http_access deny all => derniere régle (comme un firewall) qui refuse le reste ! Donc, je pense que tu peux essayer un truc (ca m'intéresse d'avoir un retour d'expérience dessus, d'ailleurs <IMG SRC="images/smiles/icon_smile.gif"> : Copier le fichier /etc/squid/squid.conf dans /etc/squid/squif.conf.bak (pour pouvoir faire retour arrière si ca marche pas bien !) Modifier le fichier squid.conf en commentant la ligne "acl Safe_ports port 1025-65535 # unregistered ports" Modifier la ligne "http_access allow localnet" en "http_access allow localnet Safe_ports" <= c'est un peu redondant, mais ca me semble plus propre. Et, enfin, redémarrer squid pour qu'il prenne en compte les modifications : le plus simple, soit en décochant la cache proxy dans l'interface Web de IpCop, puis Save, puis on recoche, et Save à nouveau, soit tu rebootes IPCop (un peu lourd, je te l'avou <IMG SRC="images/smiles/icon_smile.gif"> Tiens nous au courant si ca marche. NB: je serais pas contre un ou plusieurs avis sur la solution que je viens de proposer, car j'ai jamais essayé celà ...

par **shubnigourat** » 19 Sep 2003 09:00

j ai testé la modif des ACL squid j ai commenté #acl Safe_ports port 1025-65535 # unregistered ports et laissé le reste comme il etait http_access allow localhost http_access allow localhost2 http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access deny all je vois pas pourquoi il faudrait ajouter http_access allow safeport http_access deny !Safe_ports ca revient au meme. non ? BILAN : Rien. ca change strictement rien. L upload de edonkey est tjrs actif. La navigaton Internet n es t pas affectée (site de mail, de chat en ligne ok) de meme pour messenger, ICQ ...

par **belugha** » 19 Sep 2003 09:05

Le but de Edonkey c'est le partage non <IMG SRC="images/smiles/icon_confused.gif"> Donc je ne vois pas pourquoi tu veux bloquer l'upload si tu download ? <IMG SRC="images/smiles/icon_wink.gif">

par **GozerX99** » 19 Sep 2003 14:58

C'est des méchants utilisateurs qui utilisent le réseau de l'entreprise pour télécharger sur le réseau edonkey ... c'est pas lui ! Sinon, t'as pensé à redémarrer Squid pour prendre en compte les modifications ? (<- tu le précises pas dans ta réponse ...)

par **grosbedos** » 19 Sep 2003 15:16

arf ne pas repondre a un truk contre le partage c'est si rare de nos jours!! partage legal il va sans dire <IMG SRC="images/smiles/icon_biggrin.gif">

Bloquer upload Edonkey avec ipcop 1.2

Qui est en ligne ?