Bloquer upload Edonkey avec ipcop 1.2

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar shubnigourat » 16 Sep 2003 12:22

Bonjour, <BR> <BR>J ai des pb de bande passante upload saturées (et donc tout l Internet) a cause du traffic engendré par certains de mes utilisateurs. <BR> <BR>Pourtant, je filtre les ports P2P et Messagerie instantannée avec des scripts perso ipchains. La dessus j ai ajouté un filtrage de contenu, d url et de Header mime pour empecher le telechargement de flux stream video/audio. <BR>Ces regles fonctionnent pendant les heures de travail (8h-12h et 14h-18h) et se desactivent en dehors (fo etre tolerant). <BR> <BR>Malgres ces precautions, y a un probleme avec Emule. <BR> <BR>Pourquoi l upload de Emule est tjrs actifs alors que les ports de l appli sont filtrés et que mes utilisateurs ont donc une LOWID d office ? <BR> <BR>Emule utilise des ports differents de ceux que j ai filtré (4662, 4672, 4665, 4661) pour l Upload ? <BR> <BR>Y a t il un moyen d interdire complettement ce traffic sortant ?
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar West » 16 Sep 2003 15:05

C koi exactement T regles de filtrage pour emule ?? <BR> <BR>Sans etre ni sur, ni spécialiste de ipchain, je me demande si ça ne viens pas du fait que les connexins étaient déjà établies, lors de l'activation des regles, bien sur en suposant que T regles sont corrects et bien apliquées . <BR> <BR>Mais bon je ne C pas si ipchain réagi de la sorte avec des connexions établies comme px le faire iptable... dc avoir .
http://www.gwadanet.com [share your Doc]
Avatar de l’utilisateur
West
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 08 Jan 2003 01:00

Messagepar sisg » 16 Sep 2003 19:24

S'lut, <BR> <BR>Pour ma part, moi j'ai bloqué MSN, KAZAA,etc. avec IPCop 1.3.0Fix3+Squid+DansGuardian... <BR> <BR>Ça fonctionne à merveille ! <BR> <BR>Snoopyski
- PIII 500Mhz = IPCop 1.4.10 + Advance Proxy + URL Filter en VERT-ROUGE-ORANGE
- Athlon 1800+ = SME Server 6.0.1 (Orange)
Serveur Web/MySQL/MamboServer/eGroupWare
- Athlon 2500+ = SME Server 7.0 RC3 (Green)
Avatar de l’utilisateur
sisg
Vice-Amiral
Vice-Amiral
 
Messages: 552
Inscrit le: 07 Août 2003 00:00
Localisation: Québec / Région Montréal

Messagepar GozerX99 » 16 Sep 2003 19:37

L'upload edonkey, c'est du sortant, donc c'est toléré puisque, même en étant en Low ID, un autre client edonkey/emule/autres va demander au serveur, sur lequel est connecté le edonkey/emule de tes utilisateurs, de demander au client edonkey/emule de tes utilisateurs d'initier la connection, et d'envoyer le(s) morceau(x) de fichiers. <BR>Donc, pour moi, une solution efficace, c'est un proxy bien configuré (peut-être avec DansGuardian éventuellement, mais je le connais pas en détail, donc je ne suis pas affirmatif à 100%) qui n'autorise que le HTTP/HTTPS/FTP par ex.
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar gorka » 17 Sep 2003 07:30

Je crois qu'on peut paramêtrer eMule pour qu'il utilise d'autres ports que les 4662 4665 4675 ... <BR>On peut lui affecter n'importe lequel non ?! <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
gorka
Matelot
Matelot
 
Messages: 6
Inscrit le: 09 Sep 2003 00:00
Localisation: TOULOUSE

Messagepar shubnigourat » 17 Sep 2003 09:41

pour WEST : <BR> <BR>mes regles ipchains pour le filtrage des ports Edonkey <BR> <BR>elles sont generees par un script. Il est executé a 8h, 12h, 14h et 18h via la cron. <BR>Il lit un fichier de conf /etc/ipchains.rules et /etc/ipchains.rules.exeption dans lesquelles il y a des listes de ports. <BR>exemple : <BR> <BR># EMULE/EDONKEY <BR>output tcp 4662 <BR>input tcp 4662 <BR>output udp 4661 <BR>input udp 4661 <BR>output udp 4672 <BR>input udp 4672 <BR>output udp 4665 <BR>input udp 4665 <BR> <BR>Deplus le script genere les commandes ipchains qui vont bien en fonction d un argument passé en ligne de commande. "start" demarre le filtrage, "stop" arrete le filtrage", "status" affiche l'etat des chaines input et output. <BR> <BR>Les commandes générées sont du type <BR> <BR>ipchains -I input -p TCP -s 10.0.0.0/24 -d 0.0.0.0/0 4662 -j DENY <BR>ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4661 -j DENY <BR>ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4672 -j DENY <BR>ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4661 -j DENY <BR>ipchains -I input -p UDP -s 10.0.0.0/24 -d 0.0.0.0/0 4665 -j DENY <BR> <BR>ou 10.0.0.0/24 est mon sous reseau et 0.0.0.0/0 l'Internet <BR> <BR>et la meme chose pour la chaine output <BR> <BR>Les regles sont elles correctes ? <BR>Est il necessaire de les creer pour le chain input et output en meme temps ? <BR>Faut t il filtrer en sortie uniquement (comme mon exemple) en entrée egalement ? <BR> <BR>qq chose du type : <BR> <BR>ipchains -I input -p UDP -s 0.0.0.0/0 -d 10.0.0.0/24 4672 -j DENY
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar shubnigourat » 17 Sep 2003 09:45

pour sisq : <BR> <BR>le blocage des appli de chat et les flux video/audio marche a merveille par la combinaison de ipchains et dansguardian. Le seul probleme c est emule. <BR> <BR>pour info voila les port filtrés par appli <BR>(extrait de mon fichier /etc/ipchains.rules) <BR> <BR># KAZAA/GROKSTER/MORPHEUS <BR>output tcp 1214 <BR>input tcp 1214 <BR>input udp 2848 <BR> <BR>#Cute MX <BR>output tcp 2340 <BR>input tcp 2340 <BR> <BR>#iMESH <BR>output tcp 4329 <BR> <BR>#Gnutella based <BR>output tcp 6346:6347 <BR>input tcp 6346:6347 <BR> <BR>#Scour <BR>output tcp 8311 <BR>input tcp 8311 <BR> <BR># ICQ/AIM <BR>output tcp 5190 <BR>input tcp 5190 <BR> <BR># Ancienne version d ICQ <BR>output tcp 4000 <BR>input tcp 4000 <BR> <BR># Old AIM <BR>output tcp 443 <BR>input tcp 563 <BR> <BR># YAHOO MESSENGER <BR>output tcp 5050 <BR>input tcp 5050 <BR> <BR>#Messenger <BR>output tcp 6891:6900 <BR>input tcp 6891:6900 <BR>output tcp 6901 <BR>input tcp 6901 <BR>output udp 6901 <BR>input udp 6901 <BR>input tcp 1863 <BR>output tcp 1863 <BR>input tcp 1883 <BR> <BR>#IRC/MIRC/VIRC <BR>output tcp 6660:6669 <BR>input tcp 6660:6669 <BR>output udp 1080:6660 <BR>input udp 1080:6660 <BR>output tcp 113 <BR>input tcp 113
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar shubnigourat » 17 Sep 2003 09:47

pour Grozerx99 : <BR> <BR><!-- BBCode Start --><I>Donc, pour moi, une solution efficace, c'est un proxy bien configuré (peut-être avec DansGuardian éventuellement, mais je le connais pas en détail, donc je ne suis pas affirmatif à 100%) qui n'autorise que le HTTP/HTTPS/FTP par ex.</I><!-- BBCode End --> <BR> <BR>Interessant ca ! <BR>Squid serait capable de filtrer un tel traffic ? <BR>Quelqu un a des infos la dessus ? <BR>
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar GozerX99 » 17 Sep 2003 14:17

ben, il faut voir comme fonctionne des softs comme edonkey2000, si il encapsule en format HTTP ou non lorsqu'on le configure avec un proxy ...
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar shubnigourat » 17 Sep 2003 17:23

gozer le gozerrien : <BR> <BR>le proxy est configuré en tranparent <BR>y a pas de proxy configuré sur les clients ni dans edonkey. <BR> <BR>edonkey transfererait par le port 80 par defaut ?
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar GozerX99 » 19 Sep 2003 00:30

d'après la recherche google.fr que j'ai fait (avec "edonkey 80 proxy" en Francais), edonkey est tout à fait capable d'utiliser le port et un proxy (c'est d'ailleurs une facon de le faire fonctionner dans le cas où il y a un firewall et un proxy!). Pour info, y a l'option proxy dans le client edonkey2000 officiel. <BR> <BR>Du coup, je me suis demandé comment et pourquoi le proxy laissait passer ce traffic : j'ai donc regardé le fichier de configuration de Squid dans IPCop (/etc/squid/squid.conf), et là ... surprise dans les ACL (un peu trop ouvert à mon gout pour un proxy) : <BR>acl Safe_ports port 1025-65535 # unregistered ports <BR> <BR>Puis plus tard dessus, les ACCESS : <BR>http_access deny !Safe_ports => ici, on refuse tous accès vers des ports non listés dans les Safe_ports <BR>http_access allow localnet => ici, on autorise le réseau local (défini dans les ACL) <BR>http_access deny all => derniere régle (comme un firewall) qui refuse le reste ! <BR> <BR> <BR>Donc, je pense que tu peux essayer un truc (ca m'intéresse d'avoir un retour d'expérience dessus, d'ailleurs <IMG SRC="images/smiles/icon_smile.gif"> : <BR>Copier le fichier /etc/squid/squid.conf dans /etc/squid/squif.conf.bak (pour pouvoir faire retour arrière si ca marche pas bien !) <BR>Modifier le fichier squid.conf en commentant la ligne "acl Safe_ports port 1025-65535 # unregistered ports" <BR>Modifier la ligne "http_access allow localnet" en "http_access allow localnet Safe_ports" <= c'est un peu redondant, mais ca me semble plus propre. <BR> <BR>Et, enfin, redémarrer squid pour qu'il prenne en compte les modifications : le plus simple, soit en décochant la cache proxy dans l'interface Web de IpCop, puis Save, puis on recoche, et Save à nouveau, soit tu rebootes IPCop (un peu lourd, je te l'avou <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Tiens nous au courant si ca marche. <BR> <BR>NB: je serais pas contre un ou plusieurs avis sur la solution que je viens de proposer, car j'ai jamais essayé celà ... <BR>
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar shubnigourat » 19 Sep 2003 09:00

j ai testé la modif des ACL squid <BR> <BR>j ai commenté <BR> <BR>#acl Safe_ports port 1025-65535 # unregistered ports <BR> <BR>et laissé le reste comme il etait <BR> <BR>http_access allow localhost <BR>http_access allow localhost2 <BR>http_access deny !Safe_ports <BR>http_access deny CONNECT !SSL_ports <BR>http_access allow localnet <BR>http_access deny all <BR> <BR>je vois pas pourquoi il faudrait ajouter <BR> <BR>http_access allow safeport <BR> <BR>http_access deny !Safe_ports ca revient au meme. non ? <BR> <BR>BILAN : Rien. ca change strictement rien. L upload de edonkey est tjrs actif. La navigaton Internet n es t pas affectée (site de mail, de chat en ligne ok) de meme pour messenger, ICQ ...
Avatar de l’utilisateur
shubnigourat
Premier-Maître
Premier-Maître
 
Messages: 64
Inscrit le: 12 Mars 2003 01:00
Localisation: Aix-en-Provence

Messagepar belugha » 19 Sep 2003 09:05

Le but de Edonkey c'est le partage non <IMG SRC="images/smiles/icon_confused.gif"> Donc je ne vois pas pourquoi tu veux bloquer l'upload si tu download ? <IMG SRC="images/smiles/icon_wink.gif">
L'humanité est à un croisement: un chemin mène au désespoir, l'autre à l'extinction totale. Espérons que nous aurons la sagesse de savoir choisir.
[Woody Allen]
Avatar de l’utilisateur
belugha
Amiral
Amiral
 
Messages: 1595
Inscrit le: 26 Mars 2003 01:00
Localisation: Du Nord -

Messagepar GozerX99 » 19 Sep 2003 14:58

C'est des méchants utilisateurs qui utilisent le réseau de l'entreprise pour télécharger sur le réseau edonkey ... c'est pas lui ! <BR> <BR>Sinon, t'as pensé à redémarrer Squid pour prendre en compte les modifications ? (<- tu le précises pas dans ta réponse ...)
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Messagepar grosbedos » 19 Sep 2003 15:16

arf ne pas repondre a un truk contre le partage c'est si rare de nos jours!! <BR> <BR>partage legal il va sans dire <IMG SRC="images/smiles/icon_biggrin.gif">
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron