Omezování P2P sítí – IPP2P & Ubuntu 7.04 (Feisty Fawn)

admin — Mon, 10 Sep 2007 07:49:50 +0000

IPP2P patří asi mezi nejlepší (volně dostupné) filtry k omezování P2P sítí. Instalace se dá zvládnout za několik málo chvil a výsledek je velmi uspokojivý. Předpokladem pro úspěšné sestavení IPP2P je ovšem přítomnost hlavičkových souborů a modul CONNMARK v jádře.

Postup instalace:
1. Nainstalujeme si hlavičkové soubory kernelu a iptables
sudo apt-get install iptables-dev linux-headers-2.6.20-16-server

2. Stáhneme rozšíření IPP2P
cd /usr/src wget http://ipp2p.org/downloads/ipp2p-0.8.2.tar.gz

3. Rozbalíme stažený archív
tar -xzf ipp2p-0.8.2.tar.gz cd ipp2p-0.8.2/

Update: aplikujeme patch na Makefile

4. Spustíme kompilaci
make

5. Nakopírujeme moduly do standardních adresářů
cp libipt_ipp2p.so /lib/iptables cp ipt_ipp2p.ko /lib/modules/`uname -r`/kernel/net/ipv4

6. Vygenerujeme novou mapu závislostí
sudo depmod

7. Načteme modul IPP2P do jádra
sudo insmod /lib/modules/`uname -r`/kernel/net/ipv4/ipt_ipp2p.ko

Samotné filtrování P2P sítí pak provádím takto:

1. Označkuju si veškeré P2P sítě (UDP pakety mimo CONNMARK!)
iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT iptables -t mangle -A PREROUTING -p tcp -m ipp2p --edk -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --dc -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --gnu -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --kazaa -j MARK --set-mark 4 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --bit -j MARK --set-mark 5 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --apple -j MARK --set-mark 6 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --winmx -j MARK --set-mark 7 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --soul -j MARK --set-mark 8 iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ares -j MARK --set-mark 9 iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --save-mark iptables -t mangle -A PREROUTING -p udp -m ipp2p --edk -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -p udp -m ipp2p --dc -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -p udp -m ipp2p --gnu -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -p udp -m ipp2p --kazaa -j MARK --set-mark 4 iptables -t mangle -A PREROUTING -p udp -m ipp2p --bit -j MARK --set-mark 5 iptables -t mangle -A PREROUTING -p udp -m ipp2p --apple -j MARK --set-mark 6 iptables -t mangle -A PREROUTING -p udp -m ipp2p --winmx -j MARK --set-mark 7 iptables -t mangle -A PREROUTING -p udp -m ipp2p --soul -j MARK --set-mark 8 iptables -t mangle -A PREROUTING -p udp -m ipp2p --ares -j MARK --set-mark 9

2. Ve vhodnou dobu pak například pomocí démona CRON P2P sítě zakazuji
iptables -t mangle -F POSTROUTING iptables -t mangle -A POSTROUTING -m mark --mark 1 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 2 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 3 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 4 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 5 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 6 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 7 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 8 -j DROP iptables -t mangle -A POSTROUTING -m mark --mark 9 -j DROP

nebo naopak povoluji:
iptables -t mangle -F POSTROUTING iptables -t mangle -A POSTROUTING -m mark --mark 1 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 2 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 3 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 4 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 5 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 6 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 7 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 8 -j ACCEPT iptables -t mangle -A POSTROUTING -m mark --mark 9 -j ACCEPT

Hodžův blog » Uncategorized

Omezování P2P sítí – IPP2P & Ubuntu 7.04 (Feisty Fawn)