Como instalar ipp2p para control de p2p

Forums: 

tomado de http://www.ubuntu-es.org/index.php?q=node/24844
probado en centos 4.4 con iptables 1.2.11 aunque puede ser otro ;)
Todo administrador de redes ha tenido el siguiente problema: el abuso del uso del P2P. ¿Como pararlo aparte de borrarlo de cada uno de los equipos de mi red?.

Este mini HowTo no va a ser facil de digerir y si eres novato en el tema es mejor que leas otros manuales sobre "iptables" y "iproute2" antes de leer esto, ademas que voy a obviar un monton de pasos que creo que todos conoceis.

Estos programas son la mar de listos y suelen saltarse cualquier filtro que impongamos en nuestro firewall o proxy mediante filtrado de puerto o incluso mediante politicas de calidad de servicio (QoS mediante el comando "tc"), incluso con scripts muy completos, cualquier avispado puede lograr hacer funcionar su "burrito".

Bueno, para hacerlo se puede usar el "traffic shape" que nos permite digamos, "catalogar" el trafico que pasa por nuestro servidor para asi saber cada "paquete" a que pertence. Esta solución NO puede con los clientes P2P que encripten su tráfico, pero aun es efectivo.

Veamos que tenemos que hacer:

1) Tener el paquete "iptables", ¿esta claro no? algooooo
2) Bajar estos paquetes:
* iptables-dev (con apt-get)
* kernel-headers-2.x.x (los de tu kernel, "uname -r")
* los src de tu iptables (para saber la version "iptables --help" y bajate el fuente aqui: http://www.netfilter.org/projects/iptables/downloads.html)
* Bajate el ultimo ipp2p aqui: http://www.ipp2p.org/downloads_en.html (mejor el stable)
3) cd ipp2p
4) Edita el Makefile, comprueba 2 cosas:
* IPTABLES_SRC = /usr/src/iptables (esto tiene que apuntar donde has descomprimido tu iptables)
* En mi paquete te saca las cabeceras automaticamente en las busca en el lugar por defecto, si no es asi, pon tus headers en /usr/src/
5) make (SIN ERRORES!!!)
6) cp libipt_ipp2p.so /lib/iptables
7) cp ipt_ipp2p.ko /lib/modules/`uname -r`/kernel/net/ipv4
8.) depmod (o despues del paso 9 haz un depmod -a)
9) insmod ipt_ipp2p.ko

Comprueba que todo esta bien con un "lsmod", tiene que aparecer el primero.

Ahora viene el secreto, ejecuta:

iptables -A FORWARD -m ipp2p --ipp2p -j DROP

Adios al P2P o al menos va andar bastante mas lento como para que la gente deje de usarlo.

Un saludo y espero que os sirva de ayuda.

Bien me parece muy bien!,

Imagen de Epe

Bien me parece muy bien!, pero mira:

y cuando cambie el rpm del kernel o del iptables? ahi te quedas con un paquete instalado fuera de rpm.

Es una sugerencia, traten de no instalar nada fuera de rpm.

A propósito, aqui tengo una copia de ipp2p en rpm:

[url]http://centos4.centos.ec/i386/repodata/[/url]

Trato de mantenerlo actualizado, creoque ahora no está con el ultimo kernel, pero es hasta acostubrarme a proveer el paquete.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Te comento instale el centos

Te comento instale el centos 4.4 server, y quise instalar el ipp2p con eso repositorio, pero me da error de dependencias:

rpm -ivh ipp2p-0.8.2-6.ecualinux.i386.rpm
error: Error de dependencias:
kmod-ipp2p = 0.8.2 se necesita para ipp2p-0.8.2-6.ecualinux.i386

rpm -ivh kmod-ipp2p-0.8.2-6.2.6.9_42.0.10.EL.ecualinux.i686.rpm
error: Error de dependencias:
ipp2p se necesita para kmod-ipp2p-0.8.2-6.2.6.9_42.0.10.EL.ecualinux.i686

Alguna ayuda al respecto..

Saludos

ya lo resolvi de esta

ya lo resolvi de esta manera:

rpm -Uvh --nodeps kmod-ipp2p-0.8.2-6.2.6.9_42.0.10.EL.ecualinux.i686.rpm
Preparando... ########################################### [100%]
1:kmod-ipp2p ########################################### [100%]

rpm -Uvh ipp2p-0.8.2-6.ecualinux.i386.rpm
Preparando... ########################################### [100%]
1:ipp2p ########################################### [100%]

y puse:

[root@srv ]# iptables -m ipp2p --help

iptables v1.2.11

Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)

Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
....... etc..

Asumo que ya esta listo, voy hacer la respectiva pruebas

Saludos

1- podías haber usado el

Imagen de Epe

1- podías haber usado el .repo que ahi brindamos

2- puedes instalar dos paquetes a la vez (en la misma linea del rpm -Uvh)

usar el nodeps no es saludable

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

actualizacion para instalr en centos 5

le alle la forma de instalarlo en el centos 5.
la diferencia con este manual es que tienes que bajar el tar.gz en el path /usr/src y desempaquetarlo ahi, a la hora que haces el make este solo configura y se compila.

ejemplo el centos 5 actualizado tiene la version iptables v1.3.5 entonces haces:
#cd /usr/src
#wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.5.tar.bz2
#tar -cvjf iptables-1.3.5.tar.bz2

#wget http://www.ipp2p.org/downloads/ipp2p-0.8.2.tar.gz
#tar -xvzf ipp2p-0.8.2.tar.gz

ahora hacemos :
#cd ipp2p-0.8.2
#make

y lo demas igualito al tutorial :)

si a la hora de querer retroceder algo no se puede

Imagen de juandarcy2000

si no tiene un uninstall pero puedes hacer un checkinstall se baja ese paquete y todo programa que se hace make install se puede crear un rpm o un deb con el, lo he usado varias veces es bueno con eso se puede deshacer todo el proceso y ademas te deja un rpm en tu equipo no se instala el paquete solo te crea el rpm para que lo instales con rpm -ivh o como mas les guste. claro siempre que el programa fuente se instale con make install. me paso una vez que probando el wwwoffle dane el squid no se cargaba el servicio y no habia forma de quitarlo lo que hice fue hacer un checkinstall de wwwoffle y cree un rpm luego lo instale y desinstale y listo quite todo del wwwoffle y squid volvio a la vida.

pueden leer aqui
http://libertonia.escomposlinux.org/story/2002/10/25/53113/319

realmente no entendí nada

Imagen de Epe

realmente no entendí nada de lo que escribistes, pero repito: instalar aplicaciones fuera del esquema de RPM puede verdaderamente hacerte mucho daño.

como ves, me tomé el trabajo de crear un rpm para ipp2p con ayuda de un amigo checo (él comenzó la idea) y así más bonito, incluso se puede instalar en decenas de servidores sin mayor esfuerzo.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Hola a todos,, Instale el

Hola a todos,,

Instale el ipp2p en el centos con los rpm en esta dirección: http://centos4.centos.ec/i386/repodata/ puse:

iptables -A FORWARD -m ipp2p --ipp2p -j DROP

y haciendo:

iptables -L -n -v |grep ipp2p

646 29716 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ipp2p v0.8.2 --ipp2p

Pero no se bloquea para nada el ares..

y haciendo lsmod..

ip_tables 17601 11 ipt_ipp2p,ipt_limit,ipt_REDIRECT,iptable_mangle,ipt_state,ipt_owner,ipt_MASQUERADE,ipt_REJECT,ipt_LOG,iptable_nat,iptable_fi

Que podria ser..???

Saludos

cuando hablas de que no se bloquea

Imagen de juandarcy2000

te refieres a que se logra conectar, o que no se logra conectar pero sigue bajando musica,
he observado eso en el mio donde si me trabaja de ley es con layer7 pero ipp2p bloquea no logra conectar el ares pero si baja aun son ventas ya que la persona que quiere usarlo no puede seguir haciendo busquedas de nada aunque baje lo que tenga que bajar no podra buscar nada.

quizá la regla no la has

Imagen de Epe

quizá la regla no la has puesto en orden, o quizá te falta alguna regla para otra cadena, mira, aqui tengo un ejemplo de cómo me funciona:

[url]http://cursos.ernestoperez.com/rc.firewall[/url]

busca "ipp2p" verás que pongo en varias cadenas la regla

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Páginas