Em nossa instituição, conectamos mais de 300 computadores a diferentes LANs com Internet. Aqui estão incluídas as Oficinas LAN e o Laboratório de Internet para estudantes. E queremos controlar Torrents ou quaisquer protocolos P2P. A solução anterior para o nosso problema é o KerioWinRoute 6.5.x, que satisfaz mais.
O problema é que migramos para o Ubuntu 8.04 LTS usando a Webmin Platform.
Respostas:
O bloqueio de P2P baseado em porta dificilmente é uma solução 100%. O que você pode querer considerar é chamado de filtragem L7 (filtragem da camada 7). Basicamente, o linux tem uma implementação que faz a correspondência baseada em expressões regulares em todos os pacotes para decidir o que é bom e o que é ruim.
http://l7-filter.sourceforge.net/
Isso pode ajudá-lo a bloquear todos os tipos de coisas, incluindo o skype.
http://l7-filter.sourceforge.net/protocols
Observação: a correspondência de Regex para inspecionar e filtrar pacotes consome muitos recursos, tornando qualquer sistema muito mais vulnerável a ataques DDOS, o método preferido seria direcionar o protocolo nas tabelas de ip.
A única solução técnica adequada é ter todo o tráfego passando por um proxy que decodifique o tráfego SSL em tempo real e aplique a filtragem da camada 7 no tráfego que passa.
Esses produtos são muito caros, pois geralmente há uma grande equipe de engenheiros por trás deles, atualizando as regras necessárias para classificar os pacotes.
Você pode se ajudar um pouco com os módulos iptables sush, como mencionado ipp2p ou l7-filter, mas eles não capturam tráfego criptografado.
De qualquer forma, a tecnologia raramente é a solução para problemas sociais e o uso indevido de redes corporativas / públicas / quaisquer que sejam as redes p2p é um problema social. Tente conversar com seus usuários, peça à sua organização para criar políticas apropriadas e aplicá-las com sanções. Na minha experiência, isso funciona muito melhor do que uma constante corrida armamentista tecnológica com seus usuários.
É uma boa prática bloquear portas comuns do rastreador, como: 6881-6889 2710 6969
mas isso não ajudará contra rastreadores vinculados na porta 80 (ou seja, tpb.tracker.thepiratebay.org). Então, bloquear tudo, mas 80.443,22 não ajudaria.
ipp2p é a melhor solução que eu conheço. Consulte a seção Documentação / Uso
Sobre l7-filter. No comentário bittorrent.pat diz:
Esse padrão foi testado e acredita-se que funcione bem. No entanto, ele não funcionará em fluxos bittorrent criptografados, pois é impossível corresponder (bem) dados criptografados.
Nos sistemas BSD, o pf pode aplicar ações, dependendo do número de estados ou conexões por segundo, para que você possa marcar tráfego parecido com bits, porque ele gera conexões rapidamente. Leia o manual do iptables, pode ser que também seja possível.
Existe um módulo chamado IPP2P que pode detectar e bloquear protocolos P2P: http://www.ipp2p.org/
A solução simples é bloquear todas as portas de saída, exceto as que você deseja permitir.
Como alternativa, você pode encontrar uma lista das portas que provavelmente serão usadas para aplicativos P2P comuns e bloqueá-las. O Bittorrent tende a permitir apenas uma quantidade muito limitada de download se você também não estiver enviando, portanto, verifique também se não aceita nenhuma conexão de entrada.
Você pode achar útil configurar algum tipo de contabilidade IP no seu roteador com base na porta TCP usada e depois descobrir qual porta é a mais usada. O IPTraf é uma ferramenta útil para verificar isso.
Eu devo avisar que você nunca vai parar tudo; as pessoas são engenhosas e encontrarão uma maneira de contornar qualquer restrição que você colocar em prática. A maioria dos firewalls interrompe o usuário casual, o que pode ser suficiente.
Você não pode bloquear completamente o P2P - a menos que você permita apenas as "boas" portas TCP 80, 443, 22 ... E até isso geralmente é suficiente para os tipos de computadores que possuem VPNs e coisas semelhantes.
bittorrent e mais p2p agora dias é bastante evasivo. Em vez de bloquear o tráfego, use as regras de QOS para deixar de lado os clientes que estão usando uma grande quantidade de largura de banda ou acelere lentamente o tráfego p2p para zero ao longo do tempo. Ele não bloqueará o protocolo, mas impedirá que os usuários sejam tão lentos que não valham a pena.
Lembre-se de que nem todo o tráfego de torrents é ruim, alguns são bons! :-)
Use essas regras de encaminhamento do iptables para eliminar a propagação de bits de torrents e a descoberta de pares. Eles trabalharam para mim.
#Block Torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j DROP
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j DROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j DROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j DROP
iptables -A FORWARD -m string --algo bm --string "announce" -j DROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j DROP
Regras em ação, contador de visitas incrementando bem.
# iptables -vL -n
Chain FORWARD (policy ACCEPT 16403 packets, 6709K bytes)
pkts bytes target prot opt in out source destination
8 928 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "BitTorrent" ALGO name bm TO 65535
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "BitTorrent protocol" ALGO name bm TO 65535
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "peer_id=" ALGO name bm TO 65535
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match ".torrent" ALGO name bm TO 65535
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "announce.php?passkey=" ALGO name bm TO 65535
582 52262 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "torrent" ALGO name bm TO 65535
10 1370 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "announce" ALGO name bm TO 65535
31 4150 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "info_hash" ALGO name bm TO 65535
BitTorrentfor encontrada no URL, ela será descartada? Isso é apenas para impedir o download do arquivo torrent inicial, mas uma vez que o arquivo torrent já foi baixado, isso não bloqueará o tráfego bittorrent, correto?
Programas populares de encapsulamento SSL como o Ultrasurf podem permitir que os usuários ignorem seus firewalls facilmente. Para bloquear o tráfego criptografado de bits, você precisaria de um dispositivo UTM especializado que possa inspecionar e bloquear túneis criptografados que passam por http (s). Eu sei apenas sobre um que é capaz de fazer isso - Astaro, mas deve haver mais.
Você não pode usar bloqueio direto de porta. Existem algumas alternativas. O filtro Layer7 é lento, não confiável e, pelo que sei, não é mais mantido.
O IPP2P está ok, mas foi substituído pelo OpenDPI, que foi descontinuado pelo ipoque do patrocinador (que vende PACE, um equivalente comercial). O nDPI parece ser a conclusão lógica desse pequeno caminho: http://www.ntop.org/products/ ndpi /
Mais fácil e bastante eficaz é uma extensão da sugestão de David Pashley. Bloqueie todas as portas e permita apenas o que você precisa - e estenda isso ao proxyizar os serviços que você precisa - por exemplo, com um proxy da web e talvez um servidor de correio interno que seja permitido port25, mas os clientes apenas conversam com o servidor interno. Dessa forma, você pode ter clientes que não precisam de portas abertas no firewall. Isso deve funcionar, mas pode começar a cair em pedaços se você precisar usar aplicativos complexos e / ou mal gravados que precisem de acesso direto.
Abaixo está o meu conjunto de regras do iptables. Isso funciona como um encanto. Criei um proxy de interceptação transparente https e envie todo o tráfego através desse servidor proxy.
Usando estas regras do iptables, eu posso controlar a rede.
Regra IPTables:
#Generated by iptables-save v1.4.8 on Tue Mar 10 15:03:01 2015
*nat
:PREROUTING ACCEPT [470:38063]
:POSTROUTING ACCEPT [9:651]
:OUTPUT ACCEPT [1456:91962]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.2.1:3127
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3127
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Mar 10 15:03:01 2015
# Generated by iptables-save v1.4.8 on Tue Mar 10 15:03:01 2015
*filter
:INPUT ACCEPT [2106:729397]
:FORWARD ACCEPT [94:13475]
:OUTPUT ACCEPT [3252:998944]
-A INPUT -p tcp -m tcp --dport 3127 -j ACCEPT
-A FORWARD -m string --string "BitTorrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "BitTorrent protocol" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "peer_id=" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string ".torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "announce.php?passkey=" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "announce" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "info_hash" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "get_peers" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "announce_peer" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "find_node" --algo bm --to 65535 -j DROP
-A FORWARD -s 192.168.2.0/24 -p tcp -m tcp --sport 1024:65535 --dport 8080 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -p tcp -m tcp --sport 1024:65535 --dport 2086 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -p tcp -m tcp --sport 1024:65535 --dport 2087 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -p tcp -m tcp --sport 1024:65535 --dport 2095 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.2.0/24 -p udp -m udp --sport 1024:65535 --dport 1024:65535 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Mar 10 15:03:01 2015