Blokiranje P2P portova

1

Blokiranje P2P portova

offline
  • Pridružio: 01 Dec 2007
  • Poruke: 16

Imam mrezu od 10 racunara koji su povezani preko 16-o portnog switch-a, u 16 portu ulazi router dlink dir-100, a u wan portu routera ulazi adsl modem, svim racunarima su dodeljene staticke ip adrese (od 192.168.0.2 do 192.168.0.11), ovo sam napisao da bi imali uvid u mrezu u kojoj preko dlink routera trebam zabraniti p2p programe, pokusao sam da uradim zabrane (Deny) za Bittorrent i uTorrent, medjutim kada ih instaliram na klijent racunarima oba programa u svojim podesavanjima imaju opciju NASUMICNI PORT, za bittorrent znam da je tcp 6881-6889 udp 6881 ali kada ove portove pokusam zabraniti u routeru nista se ne desava u moju korist jer torrent se i dalje skida, povecavao sam brojeve portova u vecem opsegu (6700 - 7000) ali opet nece.

Molim ljude koji se razumeju u mrezu i konfiguraciju rutera da mi pomognu sto pre, hvala.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • soxxx 
  • Prijatelj foruma
  • Pridružio: 25 Maj 2005
  • Poruke: 1482
  • Gde živiš: Gracanica, Kosovo

Stvarno nisam upoznat sa ovim ruterom ali eto blind shot: blokiras li i TCP i UDP portove?

Generalno je tesko blokirati torrent klijente zato sto mogu da koriste opseg portova, random portove, pa cak i port 80 koji je namenjen za http. To veoma otezava posao i treba ti nesto sto moze da prepozna application layer protokol koji aplikacija korsti odnosno da vrsi inspekciju paketa (DPI). Taj DLink ruter ne verujem da to poseduje.

Aplikacije koje to mogu da pokusaju su recimo L7-filter ili ipp2p na GNU/Linux platformi. Znam da Mikrotik ima nesto slicno (ne koristim GNU/Linux pa neznam) ali to traljavo radi, znam iz prve ruke. Za FreeBSD ipfw se skoro pojavio ipfw-classifyd (jos se razvija). Postoje i komercijalne verzije na Cisco i Juniper ruterima ali to pretpostavljam nije opcija.

Vise o prepoznavanju p2p: http://www.securityfocus.com/infocus/1843

Mozda nesto moze da se uradi sa nekim proxy-jem, ali to ce ti neko pametniji vec reci. Ili da nadjes neki program za kontrolu saobracaja pa da odredjenoj IP adresi zadas odredjeni limit u bandwidth-u koji nemoze da prekoraci.

Izvini ako ovo lici na offtopic jer ti trazis konkretan odgovor, ali mislim da ide uz temu. Nadam se da sam ti barem dao neku ideju Smile



offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

AN sve to, p2p programi su od skora uveli obfuskaciju i enkripciju podataka, tj ruter misli da racunar salje nebitno smece i/ili nebitan saobracaj i propusta ga, a u stvari p2p program komunicira najnormalnije...

Dopuna: 08 Avg 2008 10:36

Mozes recimo jednostavno da blokiras SVE portove iznad 1024, i time ces postici totalno blokiranje svih komunikacija osim hhtp, ftp, e-mail za korisnike, ali time ces uspeti da "ubijes" i p2p.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Cek, cek, ne smes tek tako da blokiras sve portove iznad 1024.
Pa gde ce onda da se binduju portovi nakon uspostavljene komunikacije?

Elem, tvoj browser ce da kontaktira neki server (port 80 na serveru), pa ce odmah svako na svojoj strani da binduje visoke portove, tako da tvoj browser i server u stvari komuniciraju na visokim portovima (>1024).

Svaki program radi na ovaj ili slican nacin. Nasteluje se samo na kom portu ce da se uspostavi komunikacija, i cim se komunikacija uspostavi onda se binduju visoki portovi.
Torrent ce sa svakim peerom da binduje poseban port. Znaci, ukoliko od jednom komunicira sa 10 peerova, onda ce da ima bindovano barem 10 portova (10 za peerove, i jedan zasigurno sa trackerom).

offline
  • Pridružio: 01 Dec 2007
  • Poruke: 16

bobby ::Cek, cek, ne smes tek tako da blokiras sve portove iznad 1024.
Pa gde ce onda da se binduju portovi nakon uspostavljene komunikacije?

Elem, tvoj browser ce da kontaktira neki server (port 80 na serveru), pa ce odmah svako na svojoj strani da binduje visoke portove, tako da tvoj browser i server u stvari komuniciraju na visokim portovima (>1024).

Svaki program radi na ovaj ili slican nacin. Nasteluje se samo na kom portu ce da se uspostavi komunikacija, i cim se komunikacija uspostavi onda se binduju visoki portovi.
Torrent ce sa svakim peerom da binduje poseban port. Znaci, ukoliko od jednom komunicira sa 10 peerova, onda ce da ima bindovano barem 10 portova (10 za peerove, i jedan zasigurno sa trackerom).


Znaci li to da ja bukvalno ne mogu zabraniti portove ni za MSN, Yahoo, eMule i tako redom tj za sve ono sto bi moglo opteretiti moju mrezu, a sto bi zaposleni mogli iskoristiti, onda se tu postavlja pitanje, cemu ruteri ako ne moze da se zabrani u mom slucaju port BitTorrenta???

Molim vas, ako nije problem da mi date malo detaljnije instrukcije tj step by step jer mi je ovo veoma vazno zbog posla i onih koji nadgledaju moj rad Sad

HVALA JOS JEDNOM !!!

offline
  • pixxel  Male
  • Legendarni građanin
  • Pridružio: 21 Jun 2005
  • Poruke: 9091
  • Gde živiš: Tu i tamo...

@bobby, znam da ne moze tek tako, ali su to radili, recimo kod mene u skoli (sta ti imas da surfujes, internet je za profesore...) Smile

@serious017: odes lepo kod tih koji nadgledaju tvoj rad i kazes da oprema koju imas ne moze da uradi ono sto tebi treba, i onda im lepo kazes da iskesiraju par hiljada evra za PRAVI ruter, koji ima opciju detekcije i blokiranja p2p saobracaja, i slicnih nezeljenih sitnica na mrezi.

U drugom slucaju, moraces rucno da pratis sta rade. Mozda bi bila cak laksa varijanta da na server stavis neki serverski windows, i da u polisama zabranis instalaciju novih programa itd, iako bi onda mogli da dovuku softver na flashu...

Ne znam sta da ti kazem, bobby je jako u pravu. Ti im blokiras port, oni ga promene i gotovo... Mozes recimo da ugasis upnp i time im onemogucis auto konfiguraciju, dodelis im dinamicke ip adrese (ako su dinamicke, onda se stalno menjaju, pa ako nemaju na ruteru podesen port forwarding, mogu da se slikaju sa p2p, nece znati ruter gde da prosledi dolazni paket, pa ce da ga dropuje.) Sa druge strane to ti ubija kontrolu u firmi, jer neces znati koji je sad koji racunar...

Ako ti je neka pomoc, dosta p2p (torrent) sajtova trazi da port bude iznad 49152...

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

MSN i Yahoo funkcionisu malo drugacije, da bi zastitili IP adrese sagovornika.
Naime, kada bi server za MSN Messenger sluzio samo dok se uspostavi komunikacija, pa da onda ostavi tvom kompu da komunicira direktno sa kompom sagovornika, ti bi onda mogao da nadjes IP sagovornika i da to zloupotrebis. U pocetku jeste bilo tako, pa su ljudi nukovali jedni druge sa neta. Onda su malo prepravili protokole, pa nisi vise mogao da vidis IP sagovornika osim kada od njega skidas neki fajl (to je jos uvek islo direktno), i na kraju su i to nekako resili da se ne vidi IP.

To sve znaci da bi Yahoo i MSN Messenger uspeo nekako da blokiras ukoliko blokiras pristup njihovim serverima (samo treba naci listu servera Smile )


Najbolji nacin je firewall koji ume da prepozna vrstu protokola koji se koristi, pa da zabranis sve osim HTTP, HTTPS, SMTP i POP3.
FW-ovi koji se instaliraju na kucne Windows sisteme to uspesno rade na lokalnom nivou. Ne znam sada da li postoji neko resenje koje to moze da uradi za celu mrezu, mada pretpostavljam da bi moglo da se odradi ukoliko bi ceo izlaz na net isao preko malog kompa koji bi sluzio samo kao FW (imas Linux i BSD distribucije specijalizovane za ovako nesto).
Onda na njima mozes da snifujes saobracaj, i da blokiras sve pakete nekog protokola koji zelis da zabranis.

offline
  • Pridružio: 30 Jun 2005
  • Poruke: 150
  • Gde živiš: Beograd

ako si admin u toj firmi zabrani im preko grpupnih polisa instaliranje softvera i to je to...ako ti to ne dozvole sa tom opremom koju imas samo ces se nervirati a verovatno to neces moci ni da ucinis...ili neka daju pare za bolju opremu...ili im kazi da je to nemoguce

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Ma koliko god da branis, na kraju ce neko od njih saznati kako se radi tunneling, pa ce se svercovati kroz port 80...

Rekoh, mislim da je najbolje resenje aplikacija koja ce raditi na klijent racunarima (recimo FW koji ces samo ti da stelujes, a njima da to onemogucis)

offline
  • snajp  Male
  • Super građanin
  • Pridružio: 24 Mar 2006
  • Poruke: 1219
  • Gde živiš: Nis

Otpusti sve one koji koriste mrezu osim tebe i stvar je resena Smile - nisam mogao da odolim (sala)

Ovo ces bolje resiti boljom komunikacijom sa zaposlenima nego softverskim resenjima, ali ipak...

Instaliraj npr. NetLimiter i proveravaj internet protok sa svih racunara u mrezi. Kad ti se uspori internet - proveris sa kog racunara se to desava, blokiras ga ili prosetas do njega Wink

Ko je trenutno na forumu
 

Ukupno su 723 korisnika na forumu :: 33 registrovanih, 3 sakrivenih i 687 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., alkatraz080, Botovac, caesar, cenejac111, constantin70, crnitrn, darkangel, Doca, Dragan1998, Drug pukovnik, FOX, goxin, GveX, HrcAk47, ILGromovnik, Insan, ivan979, kybonacci, L A Z A R, MegaVLAdaR, miodrag, nenad81, ObelixSRB, pein, peruni, repac, riva, Sale.S, Srki98, Toni, voja64, vranjanac29