Bloquer Kazza avec ipcop 1.3 (mod string iptables)

par **lucyfire** » 02 Juin 2003 19:51

Bonjour à tous, Apparement on peut bloquer kazaa avec iptables et le module string de iptables, en fait on bloque les telechargements pas la connexion au réseau kazza. Kazaa renvoi un more "source needed". la commande iptables est: iptables -I FORWARD -i eth0 -p tcp -m string --string "KazaaClient" -j REJECT --reject-with tcp-reset eth0 est le GREEN chez moi. pour disposer du module string de iptables il faut recompiler les sources de ipcop en faisant les modifs suivantes sur les sources de ipcop: /config/kernel/kernel.config -> rajouter CONFIG_IP_NF_MATCH_STRING=m entre CONFIG_IP_NF_MATCH_UNCLEAN=m et CONFIG_IP_NF_MATCH_OWNER=m /make.sh dans la section Kernel building rechercher la sous section patch o matic de iptables et rajouter la ligne: yes 'y' | KERNEL_DIR=$TMPDIR/linux/ ./runme extra/string.patch >> $LOGFILE 2>&1 à la suite des lignes du meme type, ensuite lancer la compilation et boire un whisky 18 minutes sur un athlon 2200+ il ne reste qu'a graver l'image. Pour ceux qui veulent recompiler leur ipcop (sur une redhat 7.2) en plus du howto de ipcop.org j'ai mis sur mon site l'ensemble des fichiers pour pouvoir faire la compil sans qu'il manque quelque chose, <a href="http://lucyfire.free.fr/download/" target="_blank">http://lucyfire.free.fr/download/</a> , dans le repertoire additionnel il y a les rpm a installer avant la compilation de ipcop et les autres packages sont ceux utilisés pour la compilation. Pour ceux qui veulent l'iso complète et le tar.gz sont dispos à: <a href="http://www.lyceenotredame.com/download/" target="_blank">http://www.lyceenotredame.com/download/</a> les md5 sont dans le .lst si quelqu'un a des sniffs de emule et les autres je suis preneur pour essayer de les bloquer. @ bientôt

par **tomtom** » 02 Juin 2003 21:24

Juste une Question.... Logiquement, si tu affiches cette page derrière ce filtre, ca devrait couper (ben oui, il y a kazaaClient dans la page, et ca va passer dans le filtre...) Ca se comporte comment ? as-tu fait des tetss ? Autre question, si tu commences à beaucoup surfer, ça met pas trop IPcop à genoux ? Merci de m'eclairer un peu <IMG SRC="images/smiles/icon_smile.gif"> Thomas

par **lucyfire** » 02 Juin 2003 22:19

je suis content que tu poses cette question car effectivement ça m'a interpellé aussi lorsque j'ai posté le message, mais je crois savoir que les requetes http en tcp sont a cheval sur plusieurs paquets donc ça passe a travers, mais dans notre cas le paquet n'est pas fragmenté et la string KazaaClient est Rejecté, je cherche plus d'exemples sur ce modules car je pense qu'il y a des suptilités pour l'utiliser intelligement... dans mon cas ça fonctionne, il faudrait donc faire plus de tests, ce matin quand j'ai testé j'avais une quarantaine d'utilisateurs et pas de ralentissment particulier mais la machine est du genre costaud(voir la signature) donc je suis pas un modèle de test a ce niveau. ça peut etre extremement utile pour bloquer les attaques qui appel des prog systeme genre cmd.exe , etc etc. mercredi ou jeudi je vais ghoster le dd de mon ipcop de production et le passer en version "string" et reinstaller dansguardian pour voir comment ça se comporte, je cherche un sniffer qui fonctionne bien pour voir ce que je pourrais faire avec emule, il faut chercher le plus petit denominateur commun aux paquets de telechargement (et qui soit sur un seul paquet). Yann

par **lucyfire** » 02 Juin 2003 22:26

j'ajoute que ce module a assez mauvaise réputation, il faut l'utiliser avec prudence et pas en attendre des miracles non plus, j'ai lu des posts ou les mec parle de s'en servir pour rediriger les paquets louches vers une autre zone pour faire une analyse plus profonde, mais j'en suis pas encore là... <IMG SRC="images/smiles/icon_lol.gif"> si la prochaine version de Kazaa utilise une methode d'evasion d'ids le syystème ne marche plus <IMG SRC="images/smiles/icon_bawling.gif"> _________________ Linux l'ultime solution a Windows. ipcopbox V1.3.0 + 2 fixs modem eci ethernet ip dynamique RED+ORANGE+GREEN + dansguardian (pas de pb de reconnexion) /PIV 2Go 256mo ram

par **tomtom** » 02 Juin 2003 22:45

Oui effectivement, dans toutes les docs que j'ai lues les pros sont catégoriques : "Ne pas utiliser ce module pour droper directement des paquets" Je pense qu'il faut etre tres prudent. Mais effectivement je voudrais bien voir comment ça se passe en cas de nombreux matches etc... Bref, j'attend un retour d'experience <IMG SRC="images/smiles/icon_smile.gif"> merci Tom

par **lucyfire** » 02 Juin 2003 22:54

d'un autre coté je n'ai pas beaucoup de problème de pear to pear sur le réseau et puis dans un lycée on a des supers armes, les heures de colles et le renvoi definitif... non je déconne quoique <IMG SRC="images/smiles/icon_lol.gif"> _________________ Linux l'ultime solution a Windows. ipcopbox V1.3.0 + 2 fixs modem eci ethernet ip dynamique RED+ORANGE+GREEN + dansguardian (pas de pb de reconnexion) /PIV 2Go 256mo ram

par **Duck** » 28 Juil 2003 09:58

J'ai trouvé ce site qui donne les string pour bloquer d'autres p2p <a href="http://www.oofle.com/filesharing.php" target="_blank">http://www.oofle.com/filesharing.php</a>

par **Duck** » 05 Août 2003 22:32

J'ai installé la ISO modifiée avec string, mai je ne peux pas utiliser iptables -I FORWARD -i eth0 -p tcp -m string --string "KazaaClient" -j REJECT --reject-with tcp-reset parce que j'obtien "iptables: No chain/target/match by that name" J'ai oubliè quelque chose? Il y a aussi des problèmes pour télecharger la liste des patch: il faut modifier header.pl et updates.cgi, en substituant "$version" avec "1.3.0"

par **Duck** » 06 Août 2003 00:13

J'ai compris <IMG SRC="images/smiles/icon_smile.gif"> Le fix 3 change le kernel, et comme ca on perd le kernel modifié J'attend le kernel 2.4.21 récompilé pour string <IMG SRC="images/smiles/icon_wink.gif">

par **Gesp** » 06 Août 2003 08:36

Il y a eu des modifications dans la V1.3.1alpha4 pour supporter le filtrage avec string entre autre <a href="http://marc.theaimsgroup.com/?l=ipcop-cvs&m=105982899608173&w=2" target="_blank">http://marc.theaimsgroup.com/?l=ipcop-cvs&m=105982899608173&w=2</a> Mais je ne sais pas ou LOG_DROP et LOG_REJECT sont initialisées (peut-être qu'il n'y a encore rien d'écrit pour cela).

par **lucyfire** » 21 Août 2003 08:40

j'avais pas vu les reponses ben il faut que je recompile le tout mais pas trop le temps en ce moment mais je vais regarder.

par **JaDiuM** » 07 Mars 2004 13:32

Bonjour, Simplifiez vous le bloquage ou la limitation P2P avec la lib libipt_p2p.so iptables (intégration IPCOP ou autre simple). Syntax du type : iptables -A FORWARD -m p2p --p2p all -j DROP Vous trouverez les sources <A HREF="http://mega.ist.utl.pt/~filipe/iptables-p2p/" TARGET="_blank">ici</A>. Cdt

par **caylat** » 24 Avr 2004 14:52

Simplifiez vous le bloquage ou la limitation P2P avec la lib libipt_p2p.so iptables (intégration IPCOP ou autre simple).

Quand tu dis "intégration simple", tu sous-entends que cela ne doit pas être bien compliqué.
Or je vois que dans la doc d'install, on parle de make. Mais je ne sais pas compiler sur Ipcop (je crois bien que cela n'est pas possible). Comment fait-on alors pour installer ce module ?

Merci d'avance.

--
Caylat

par **koilito** » 26 Avr 2004 10:25

Même question que Caylat

Comment s'installe cette librairie ?

Dans le fichier INSTALL, y'a trop de zones inconnues pour moi :

Installation
============

1. Copy the iptables headers to an appropriate place (/usr/include) or install
the iptables-dev package if your distro has one. (see Installing iptables
headers)

2. Run make in order to compile iptables-p2p.

3. Insert the kernel/ipt_p2p.o module directly using insmod or copy it into
your modules directory.
If you are using a 2.6 kernel, the module is named kernel/ipt_p2p.ko.

4. Insert the iptables library libipt_p2p.so into the iptables lib directory
(usually /lib/iptables).

Déjà /usr/include, y'a pas...

Merci de votre aide.

Bloquer Kazza avec ipcop 1.3 (mod string iptables)

Qui est en ligne ?