Bueno buscando y buscando encontre la forma de bloquear todo el trafico p2p en nuestras redes, aca se los resumo para que lo hagan. Como dijo EPE "sin sudor ni lágrimas"
OS: Centos 6.2 x64
Kernel: 2.6.32-220.17.1.el6.x86_64
Repos: Epel, CentAlt
Bueno primero bajan los repos de epel y centalt, para de inmediato instalarlos
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-7.noarch.rpm
rpm -Uvh http://centos.alt.ru/pub/repository/centos/6/x86_64/centalt-release-6-1.noarch.rpm
Por favor comenten la linea de enable del repo centalt dado q tiene algunos otros paquetes q de pronto no los necesitan.
vim /etc/yum.repos.d/centalt.repo
y luego lo desabilitan
enabled=0
Luego si a instalar lo requerido
yum --enablerepo=CentALT install xtables-addons
Listo una vez instalado, probamos con
iptables -m ipp2p --help
en la ultima parte deberá mostrarles algo asi:
ipp2p v0.10 match options:
--edk [tcp,udp] All known eDonkey/eMule/Overnet packets
--dc [tcp] All known Direct Connect packets
--kazaa [tcp,udp] All known KaZaA packets
--gnu [tcp,udp] All known Gnutella packets
--bit [tcp,udp] All known BitTorrent packets
--apple [tcp] All known AppleJuice packets
--winmx [tcp] All known WinMX
--soul [tcp] All known SoulSeek
--ares [tcp] All known Ares
EXPERIMENTAL protocols:
--mute [tcp] All known Mute packets
--waste [tcp] All known Waste packets
--xdcc [tcp] All known XDCC packets (only xdcc login)
Si les sale esto es x q todo esta correcto.
Luego si a usarlo
iptables -I INPUT -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
iptables -I OUTPUT -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
iptables -I FORWARD -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
Listo eso es todo!
Mas info: http://dev.medozas.de/files/xtables/xtables-addons.8.html
Aca una imagen desde un client que ni siquiera se conecta!
Como todos sabemos ipp2p ya no esta siendo mantenido desde hace muchos años! http://www.ipp2p.org/ asi q aca gracias a los panas rusos un pequeño aporte!
Acabo de subirlo en twitter tambien
https://twitter.com/ralmeidao/status/211147125529124864
Comentarios
bueno, pienso que los rusos
bueno, pienso que los rusos andan detenido en el mismo tema que nos aparece, y es el cómo hacer para asociar este módulo a un kernel específico, porque eso de andar corriendo y recompilando una versión del xtables así como así es duro, porque no indica el kernel requerido.
estuve trabajando hace unas semanas en hacer un rpm a la medida, que tuviera un require del kernel, de forma tal que sólo se instala si es para un kernel específico, entonces vinieron situaciones de la realidad real, que me alejaron de la realidad virtual ... y hasta me olvidé del asunto, no sé por dónde dejé el src.rpm (creo que anda en el server de pruebas de la casa o en el de ecualinux, dale una mirada)... es un require que me lo asociaba al kernel correcto!
También lo dejé por otra razón y es que me puse a investigar el tema de los kmod, son interesantes! te permite recompilar ramas parciales del kernel.. y creo que con eso bastaría.. o algo así... pero me tomará tiempo investigarle, está interesante, quizá lo pruebe primero con algo menos complejo (xtables requiere de iptables y del kernel, es el antiguo patch-o-matic que tanto me hizo sufrir hace unos 9 años).....
Pero si tienes el tiempo (veo que ahora te dió hasta por escribir) por qué no lo intentas? te sugiero algo así como kmod..
ah, fedora tiene su xtables, pero está "raro" el src.rpm y requiere de unos paquetes de fedora para la nueva forma de arranque, cómo es que se llama lo que sustituye el sysv init? bueno, eso... y cuando le quité se me armó un pequeño patiñero y dejé ese lead colgado, quizá si se trabaja en el src.rpm de fedora, ajustándolo, salga algo bonito.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Listo!!!
Bien, ya está desarrollado el RPM para CentOS 6 independiente del kernel y plataforma. El post completo lo pueden encontrar aquí:
www.ecualinux.com/index.php?view=article&id=44
Sugiero que usen esta opción para implementar el xtables-addons en su servidor pues es muchísimo más fácil de mantener.
Que lo disfruten!
Salu2
don pool
EcuaLinux.com
Servicios de Software Libre
x eso me gusta ecualug, x q
x eso me gusta ecualug, x q de pronto alguien sale x alli de la nada y te da una mano, gracias x la ayuda, tienes razon funciona perfecto en el kernel 2.6.32-220.17.1, pero al actualizar tu centos tendras problemas! ahora seria bueno q compartas con nosotros el rpm indicando para q kernel especifico esta compilado.
;)
gracias.
PD: Los problemas se presentan! voy a descartar algo haciendo unas pruebas y les comento
Excelente aporte te
Excelente aporte te felicito.
Por fin alguien lo pudo hacer, je je, bien.
Voy a probarlo, 2 cosas.
Existe para 32 bits?
Como usarlos con htb-gen para no bloquear p2p sino solo limitarlo?.
Saludos
Vamos Ecuador, si se puede
1. no existe para 32 bits,
1. no existe para 32 bits, solo para 64.
2. La verdad no se me ha presentado x q lo unico q requeria es matarlos de un solo tajo, pero markandolos puedes, con eso solo les das vida para apenas respiren jeje, checa la doc, sencillo
http://dev.medozas.de/files/xtables/xtables-addons.8.html#8
example
iptables -t mangle -A FORWARD -m ipp2p --bit -j MARK --set-mark 0x10505
luego con tc puedes limitar el ancho de banda
sabes que el otro día estaba
sabes que el otro día estaba pensando: ya casi no he instalado 32bits últimamente, casi de un año o más para acá casi todo el equipamiento conque me topo es 64... (bueno, excepto una via c3 que instalé debian de 32bits hace unos días pero es para consumo interno).
Aprovechemos esta situación, yo sé que todavía hay equipamiento de 32bits, pero siempre es bueno probar si soporta 64bits pues he notado que ya mucha gente está derivándose a crear paquetes de 64bits.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
es correcto ya algunos años q
es correcto ya algunos años q no me topo con una maquina de 32bits, al menos orientada a server's, todo desde hace años es 64 bits
la verdad no entiendo lo q quieres decir o proponer!
me está dando
me está dando error
[root@proxy ~]# iptables -I FORWARD -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
iptables: No chain/target/match by that name.
algo falta, sigo buscando mientras veo si revisas eso
iptables -m ipp2p --help
sí funciona, el módulo por tanto está
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
ya lo encontré, se instaló
ya lo encontré, se instaló para un kernel específico y no para el que tengo corriendo, veré cómo le arreglo
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
tienes un kernel modificado?
tienes un kernel modificado? corriendo en tu maquina??
Páginas