Re: Blocco P2P su rete wifi pubblica
On Fri, 2007-12-07 at 16:22 +0100, Paolo Sala wrote: > Ma tuo padre non è responsabile del traffico internet che "genera"? In > altre parole se un utente entra nel bar con il suo portatile, si > connette e fa un uso di internet illegale, il responsabile non è tuo > padre? Non sei obbligato ad autenticare gli utenti? In effetti stavo considerando di implementare una soluzione tipo wifidog o sputnik ma per il momento la cosa più importante è bloccare i protocolli p2p. Oltre ad intasarmi la banda, chi scrocca deve essersi anche dimenticato di limitare le connessioni e continua a mandarmi in crash il router.. Raven -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Blocco P2P su rete wifi pubblica
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Il 07/12/07, Paolo Sala ha scritto: > Ma tuo padre non è responsabile del traffico internet che "genera"? In > altre parole se un utente entra nel bar con il suo portatile, si > connette e fa un uso di internet illegale, il responsabile non è tuo > padre? Non sei obbligato ad autenticare gli utenti? esattamente. se qualcuno facesse qualcosa di male (attacchi dos, sql injection, qualsiasi altra cosa) sarebbe suo padre a pagarne le conseguenze... - -- Chiave pubblica http://luca.costantino.googlepages.com/luca.asc -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFHWWaDJZi4HbNnZzURAhlDAKDWCLz6jJqHJdDt3XyzNL//THEh9wCg7zzW Q5J0IRuoKOIWoQFjhsTRsZ0= =wN+p -END PGP SIGNATURE-
Re: Blocco P2P su rete wifi pubblica
Raven scrisse in data 06/12/2007 18:16: > Salve a tutti. > Ho recentemente messo su una rete wireless nel bar/ristorante di mio > padre. Essendo destinata ai clienti non c'è nessun tipo di protezione né > filtraggio MAC. > Ma tuo padre non è responsabile del traffico internet che "genera"? In altre parole se un utente entra nel bar con il suo portatile, si connette e fa un uso di internet illegale, il responsabile non è tuo padre? Non sei obbligato ad autenticare gli utenti? Da quel che sapevo... Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Blocco P2P su rete wifi pubblica
On Thu, 2007-12-06 at 19:45 +0100, darkbasic wrote: > Io ti consiglio di provare con ipp2p, anche perchè l'implementazione > userspace > di l7-filter non è ancora del tutto matura. Sono finalmente riuscito a compilare e caricare correttamente ipp2p, ma temo di avere qualche problema con le regole generali di iptables. Ho buttato giu un file con le definitizioni di quello che vorrei il firewall facesse, ma il routing sembra non funzionare. Dove sbaglio? Raven > #!/bin/sh > > INTERNET="eth0" > LOCAL="10.0.0.0/16" > > iptables -F > iptables -X > iptables -t nat -F > iptables -t nat -X > iptables -t mangle -F > iptables -t mangle -X > > echo 1 > /proc/sys/net/ipv4/ip_forward > > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT > > iptables -A FORWARD -m ipp2p --ipp2p -j DROP > iptables -A INPUT -m ipp2p --ipp2p -j DROP > iptables -A OUTPUT -m ipp2p --ipp2p -j DROP > > iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE > iptables -A FORWARD -s $LOCAL -j ACCEPT > > iptables -A INPUT -s $LOCAL -j ACCEPT > iptables -A OUTPUT -s $LOCAL -j ACCEPT > > iptables -A INPUT -j LOG > iptables -A INPUT -j DROP -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Blocco P2P su rete wifi pubblica
Il 06/12/07, Raven<[EMAIL PROTECTED]> ha scritto: > Salve a tutti. > [...] > Sulla stessa rete a cui è collegato il router wireless (che fa NAT) ho > alcune macchine debian che uso per il testing. > I client wifi fanno pero' parte di una diversa sottorete: > > router (10.0.1.1) > --> debian-box (10.0.1.2) > --> (10.0.1.5) router_wifi (10.0.2.1) -> clients (10.0.2.x) > > Avendo un po' di esperienza con squid ho subito pensato a mettere su un > transparent proxy sulla debian-box ma non so esattamente come gestire le > connessioni con iptables. > Io voglio permettere ai client wifi (10.0.1.5) soltanto traffico > http-https-ftp-msn messenger-skype facendolo passare attraverso squid, > ma non so come dirlo a iptables visto che il pc ha una sola interfaccia > di rete. > > Altra opzione che mi era venuta in mente era di utilizzare l7-filter o > ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico. > In alternativa, sempre con iptables, se io permettessi soltanto le > connessioni con dest-port 80, 443, 21 (+ skype e msn messenger), > potrebbe forse funzionare? Io sono un po' all'"antica", nel senso che preferisco usare regole molto restrittive di iptables che affidarsi a questi sistemi, perché comunque sono ancora in fase di sviluppo, mentre Netfilter è già più stabile. Io personalmente bloccherei tutte le porte eccetto dns-http-https-ftp (che sono i servizi che vuoi abilitare), quindi userei delle regole come: iptables -P FORWARD DROP iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -m multiport --dports 21,53,80,443 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT Non so che porta usino skype e msn messenger, ma se usi squid puoi farle passare attraverso squid senza sbloccare la porta. -- Dario Pilori Linux registered user #406515 "Per chi intraprende cose belle è bello soffrire, qualsiasi cosa gli tocchi" Platone, /Fedro/
Re: Blocco P2P su rete wifi pubblica
On Thu, 6 Dec 2007 23:57:11 +0100 darkbasic <[EMAIL PROTECTED]> wrote: > Non l'ho mai provato su macchine smp proprio per timore che > compromettesse la stabilità del sistema. l'ultimo kernel che ha effettivamente compromesso la stabilita' del sistema e' stato - iirc - il 2.6.14 (o il 16?) nel quale c'erano simpatici oops e panic ogni tanto, con conseguente crodamento del tutto. Dal 2.6.19 in poi, non ha mai dato problemi, e lo abbiamo usato per filtrare una rete interna da 30 macchine e ogni tanto va su dai clienti che lo richiedono, e non ha mai dato problemi (o problemi che fossero riconducibili a quel software). > Si sa niente su come procede lo sviluppo della versione userspace? E' > un sacco di tempo che la taggano come sperimentale... la versione userspace non l'ho mai molto guardata, via kernel/iptables ho sempre fatto prima :) saluti -- Andrea Lusuardi - UoVoBW Registered Linux User #364578 http://uovobw.homelinux.org/ - GPG: 313C1073 signature.asc Description: PGP signature
Re: Blocco P2P su rete wifi pubblica
Il Thursday 06 December 2007 23:00:31 Andrea Lusuardi - UoVoBW ha scritto: > ti chiedo scusa se non sono stato chiaro prima: ho detto > quello che ho detto perche' l'ho _provato_ su una macchina dual core > (anche) e funziona - anche in produzione in azienda - perfettamente > sotto quasi qualsiasi carico (provvista ovviamente sufficiente ram e > potenza di calcolo). > quello che scrivono gli sviluppatori sara' indubbiamente vero, non > pretendo minimamente di dire che hai detto cose non corrette o che io > ho la verita' rivelata, ne sto dicendo che usare ipp2p invece di > layer7 sia errato o simili, c'e' la liberta'.Sto solo dicendo che _imho_ > nella mia esperienza il tutto e' decisamente stabile e funzionante. > come al solito, ymmv. > saluti Meglio così allora :) Non l'ho mai provato su macchine smp proprio per timore che compromettesse la stabilità del sistema. Si sa niente su come procede lo sviluppo della versione userspace? E' un sacco di tempo che la taggano come sperimentale... Ciao, Darkbasic
Re: Blocco P2P su rete wifi pubblica
On Thu, 6 Dec 2007 20:55:55 +0100 darkbasic <[EMAIL PROTECTED]> wrote: > > Da "L7-filter Userspace Version HOWTO": > > "Please note that this version of l7-filter is still in the early > > stages of development." > Dal readme: > Kernel version. This version is old and well tested, but it is > complicated to install and *seems to cause SMP systems to crash*. ti chiedo scusa se non sono stato chiaro prima: ho detto quello che ho detto perche' l'ho _provato_ su una macchina dual core (anche) e funziona - anche in produzione in azienda - perfettamente sotto quasi qualsiasi carico (provvista ovviamente sufficiente ram e potenza di calcolo). quello che scrivono gli sviluppatori sara' indubbiamente vero, non pretendo minimamente di dire che hai detto cose non corrette o che io ho la verita' rivelata, ne sto dicendo che usare ipp2p invece di layer7 sia errato o simili, c'e' la liberta'.Sto solo dicendo che _imho_ nella mia esperienza il tutto e' decisamente stabile e funzionante. come al solito, ymmv. saluti -- Andrea Lusuardi - UoVoBW Registered Linux User #364578 http://uovobw.homelinux.org/ - GPG: 313C1073 signature.asc Description: PGP signature
Re: Blocco P2P su rete wifi pubblica
Il Thursday 06 December 2007 20:50:49 darkbasic ha scritto: > Il Thursday 06 December 2007 20:18:39 Andrea Lusuardi - UoVoBW ha scritto: > > On Thu, 6 Dec 2007 19:45:03 +0100 > > > > darkbasic <[EMAIL PROTECTED]> wrote: > > > l'implementazione userspace di l7-filter non è ancora del tutto > > > matura. > > > > imho direi esattamente il contrario > > Da "L7-filter Userspace Version HOWTO": > "Please note that this version of l7-filter is still in the early stages of > development." > > Ciao Scusate per la doppia mail ma ho dimenticato una parte: Dal readme: Kernel version. This version is old and well tested, but it is complicated to install and *seems to cause SMP systems to crash*. Ciao
Re: Blocco P2P su rete wifi pubblica
Il Thursday 06 December 2007 20:18:39 Andrea Lusuardi - UoVoBW ha scritto: > On Thu, 6 Dec 2007 19:45:03 +0100 > > darkbasic <[EMAIL PROTECTED]> wrote: > > l'implementazione userspace di l7-filter non è ancora del tutto > > matura. > > imho direi esattamente il contrario Da "L7-filter Userspace Version HOWTO": "Please note that this version of l7-filter is still in the early stages of development." Ciao
Re: Blocco P2P su rete wifi pubblica
On Thu, 6 Dec 2007 19:45:03 +0100 darkbasic <[EMAIL PROTECTED]> wrote: > l'implementazione userspace di l7-filter non è ancora del tutto > matura. imho direi esattamente il contrario, con layer7 filter - applicate le patch al kernel e a iptables - basta dare una riga di iptables con la destinazione DROP per bloccare quel protocollo, esempio: blablabla -m layer7 --l7proto msn -j DROP blocca, ad esempio, msn. Sul sito c'e' anche la lista completa di protocolli supportati e le guide per scrivere altre specifiche di protocollo. Saluti -- Andrea Lusuardi - UoVoBW Registered Linux User #364578 http://uovobw.homelinux.org/ - GPG: 313C1073 signature.asc Description: PGP signature
Re: Blocco P2P su rete wifi pubblica
Il Thursday 06 December 2007 19:36:48 Raven ha scritto: > Quindi che cosa mi consigliereste, ipp2p oppure l7-filter (o qualcosa > altro)? > Ho capito che entrambi "marchiano" i pacchetti in base alla tipologia, > ma ho ancora molti dubbi anche riguardo l'implementazione su iptables, > potreste darmi qualche indicazione? Io ti consiglio di provare con ipp2p, anche perchè l'implementazione userspace di l7-filter non è ancora del tutto matura. Qui[1] trovi un tutorial. Ciao, Darkbasic [1]http://www.debian-administration.org/articles/562
Re: Blocco P2P su rete wifi pubblica
On Thu, 2007-12-06 at 18:33 +0100, darkbasic wrote: > Il Thursday 06 December 2007 18:16:56 Raven ha scritto: > > Altra opzione che mi era venuta in mente era di utilizzare l7-filter o > > ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico. > Perché sconsigliati? Se vuoi essere certo di bloccare il traffico p2p un > filtering layer 7 è l'unica cosa difficilmente aggirabile Quindi che cosa mi consigliereste, ipp2p oppure l7-filter (o qualcosa altro)? Ho capito che entrambi "marchiano" i pacchetti in base alla tipologia, ma ho ancora molti dubbi anche riguardo l'implementazione su iptables, potreste darmi qualche indicazione? Grazie, Raven -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Blocco P2P su rete wifi pubblica
Il Thursday 06 December 2007 18:16:56 Raven ha scritto: > Altra opzione che mi era venuta in mente era di utilizzare l7-filter o > ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico. Perché sconsigliati? Se vuoi essere certo di bloccare il traffico p2p un filtering layer 7 è l'unica cosa difficilmente aggirabile che mi viene in mente. Certo, avrai un consumo maggiore di cpu, ma non penso che la mole di traffico sia tale da considerarlo un problema. Ciao, Darkbasic
Re: Blocco P2P su rete wifi pubblica
On Thu, 06 Dec 2007 18:16:56 +0100 Raven <[EMAIL PROTECTED]> wrote: > Altra opzione che mi era venuta in mente era di utilizzare l7-filter o > ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico. > In alternativa, sempre con iptables, se io permettessi soltanto le > connessioni con dest-port 80, 443, 21 (+ skype e msn messenger), > potrebbe forse funzionare? nelle faq sconsigliano di utilizzarlo per il blocco, ma mi e' capitato di usarlo in svariati casi proprio per bloccare certi protocolli e non ho mai avuto problemi! mi pare la soluzione piu' comoda. saluti -- Andrea Lusuardi - UoVoBW Registered Linux User #364578 http://uovobw.homelinux.org/ - GPG: 313C1073 signature.asc Description: PGP signature
Blocco P2P su rete wifi pubblica
Salve a tutti. Ho recentemente messo su una rete wireless nel bar/ristorante di mio padre. Essendo destinata ai clienti non c'è nessun tipo di protezione né filtraggio MAC. I primi tempi andava tutto bene ma evidentemente qualche vicino ha scoperto la rete e ora ne abusa occupando tutta la banda con applicazioni P2P, principalmente emule (adunanza, visto che la connessione è FW). Sulla stessa rete a cui è collegato il router wireless (che fa NAT) ho alcune macchine debian che uso per il testing. I client wifi fanno pero' parte di una diversa sottorete: router (10.0.1.1) --> debian-box (10.0.1.2) --> (10.0.1.5) router_wifi (10.0.2.1) -> clients (10.0.2.x) Avendo un po' di esperienza con squid ho subito pensato a mettere su un transparent proxy sulla debian-box ma non so esattamente come gestire le connessioni con iptables. Io voglio permettere ai client wifi (10.0.1.5) soltanto traffico http-https-ftp-msn messenger-skype facendolo passare attraverso squid, ma non so come dirlo a iptables visto che il pc ha una sola interfaccia di rete. Altra opzione che mi era venuta in mente era di utilizzare l7-filter o ipp2p, ma a quanto pare sono sconsigliati nel caso di blocco traffico. In alternativa, sempre con iptables, se io permettessi soltanto le connessioni con dest-port 80, 443, 21 (+ skype e msn messenger), potrebbe forse funzionare? Raven -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]