Bloquer Emule

[xbs]

Bonjour a tous, <BR>mes connaissances d'iptables étant très limitées, comment puis-je interdire tout traffic lié à emule? Apparemment, ipcop le laisse passer par défaut, même s'il reste en lowid. <BR>Je souhaiterai interdire l'usage d'emule à tous les utilisateurs du réseau local. <BR>Merci d'avance! <IMG SRC="images/smiles/icon_help.gif">

[mlefevre]

La politique d'ipcop par défaut autorise tout les ports en sortie et vous voulez interdire certains protocoles en sortie. <BR>Par exemple, vous ne voulez pas que les postes clients récupèrent des messages pop3(110) sur internet. <BR> <BR>En ligne de commande, authentifié en tant que root, tapez : <BR> <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # vi /etc/rc.d/rc.firewall <BR> <BR>vous êtes dans le fichier de configuration des règles du firewall ipcop. <BR> <BR>Tapez "G " pour aller à la fin du fichier, <BR>Juste avant la dernière ligne (le exit 0) insérez la ligne : <BR> <BR>/sbin/iptables -I FORWARD -p tcp --dport 110 -j DROP <BR> <BR>exit 0 <BR> <BR>Sortez du mode insert et tapez " :wq " pour enregistrer les modifications et quitter vi. <BR> <BR>Pour que les règles soient appliquées, il faut redémarrer ipcop, tapez " reboot " en ligne de commande. <BR> <BR> <BR>Si vous souhaitez réouvrir le port, tapez en ligne de commande la même ligne en ayant remplacé le -I par -D (delete) <BR> <BR>soit : <BR><!-- BBcode auto-mailto start --><a href="mailto:root@ipcop:~">root@ipcop:~</a><!-- BBCode auto-mailto end --> # iptables -D FORWARD -p tcp --dport 110 -j DROP <BR> <BR>Si par la suite vous voulez la remettre temporairement sans avoir à rebooter le firewall vous pouvez taper la commande iptables (celle avec -I) directement en ligne de commande. <BR> <BR>Fermer les ports 4661 - 4662 - 4665 <IMG SRC="images/smiles/icon_smile.gif">

[vanvan]

<!-- BBCode auto-link start --><a href="http://www.lowth.com/p2pwall/" target="_blank">http://www.lowth.com/p2pwall/</a><!-- BBCode auto-link end --> <BR> <BR>ça peut toujours t'intéresser pour bloquer tout ça.

[xbs]

Merci à tous les deux. Je vais tester ca très vite ... enfin, peut-être un peu plus tard pour la seconde solution qui apparemment nécessite une recompilation du noyau. Il faudra que je teste d'abord sur un ipcop de test. <BR>Merci <IMG SRC="images/smiles/icon_biggrin.gif">

[psyko72]

Ok.Bon,moi j'ai le même problème.
J'ai testé la règle suivante.

/sbin/iptables -I FORWARD -p tcp --dport 110 -j DROP

pour le port 110, no problem, ca marche (j'avais déjà testé) mais si on remplace le port 110 par les ports de la mule, ca ne bloque rien:?:

Please help me! Ca fait 15 jours que j'sui dessu

[shwing]

Ptite question,

avec emule on ne peut pas justement spécifier d'autre port ? genre le 80, histoire d'être sur que la mule pourra se connecter, même en LowId ? Ce qui rendrait, aux vues de mes connaissances, le blocage casi impossible.

[pulsergene]

bonjour

il existe une addon ipcop qui permet de bloquer emule

c'est p2pblock je crois

bonne journée

[gogol33]

Perso, voilà ce que j'utilise pour mon Ipcop Etudiants version 1.4

# Ports IRC
/sbin/iptables -I FORWARD -p tcp --dport 6667:7777 -j DROP
# Ports Emule
/sbin/iptables -I FORWARD -p tcp --dport 4000:6666 -j DROP
/sbin/iptables -I FORWARD -p udp --dport 4000:7777 -j DROP
# Port Kazaa
/sbin/iptables -I FORWARD -p tcp --dport 1214 -j DROP

Je tiens à préciser que ca ne bloque pas emule et edonkey (je n'y suis pas arrivé), mais ça met un temps énorme à se connecter à un serveur Emule, et beaucoup de temps pour télécharger un fichier (par exemple, un fichier de 10 Mo avec beaucoup de sources, pratiquement le week end - sans personne sur la ligne adsl) ....

Deuxièmement, j'ai la liste des adresses MAC de tous les portables (car c'est eux qui utilisent emule) ; dès que je vois dans IPCOP qu'un individu utilise abondamment un port EMULE, je lui coupe l'accès via le DHCP ....

Troisemement, je dis à tous les étudiants qui viennent ce faire configurer le wifi, que emule, edonkey et kazaa ne FONCTIONNENT PAS - Résultat : plus personne s'en sert (sauf étudiant qui vient d'avoir un portable et qui n'avait pas compris ce que je lui avait dit) ...

[ciceron]

isus propose une traduction de p2pblock en francais pour cela il faut lui demander par mail comme il le dit dans sont poste, tu peux lui demander le patch en même tps

http://forums.fr.ixus.net/viewtopic.php?t=24649

[micjack]

Salut,

Tout simplement en empechant ces programmes de s'installer... Y'a de la conf admin pour cela "profile", ainsi meme depuis Win98, utilitaire sur le cd d'install "Poledit"

J'ai bloqué dans des ecoles, des dixaine de postes, à un point, qu'ils pouvaient meme pas changer de fond d'ecran ....

[ciceron]

oui c'est une très bonne solution, (je n'y avais même pas pensé pourtant je m'en suis deja bien servir...). De plus le profile peu être exporté ce qui facilite grantement le déploiment de celui-ci.

[shwing]

Pour bloquer le p2p, je vois que le réponse tourne autours des port utilisés par les clients.

Ne serait-ce pas "plus simple" de mettre un sniffer de paquet afin qu'il détecte le traffic p2p ?

Surement que les gurus d'ici y ont déjà pensé...

[pkaer]

salut,

Tu peux aussi utiliser BlockOutTraffic pour restreindre les ports LAN->WAN à ceux que tu as choisis http://forums.fr.ixus.net/viewtopic.php ... outtraffic . Tu peux aussi associer cela à l'addon IMQ+L7 qui te permettra de faire de la Qos au niveau applicatif http://forums.fr.ixus.net/viewtopic.php?t=24242 .

@+
PK

[psyko72]

euh dis-moi ciceron,

peut tu me dire ce que c'est que ce patch dont tu parle

[Mhans]

sinon, install la version de ipcop avec Qos+ IMQ + Layer7, ca te permet de bloquer le trafic de emule au niveau application et non au niveau des ports, comme ca pas besoin de savoir kel port utilise emule pour pouvoir le bloquer