Re: bittornado e firewall
per fare una selezione di connessioni ad una porta si può usare il flag --state di iptables... i possibili stati sono NEW,RELATED e ESTABILISHED...se ti crei una regola nella catena d'ingresso tale che accetti solo i pacchetti che hanno RELATED e ESTABILISHED blocchi tutte le nuove connessioni dall'esterno che usano una determinata porta...questi flag si riferiscono ovviamente ad una connessione già iniziata, quindi credo che bloccheresti chiunque voglia scaricare da te, ma non ne sono sicuro in quanto uso poco i torrent...può anche darsi che funzioni perché effettivamente tu inizi una connessione quando apri il torrent e cerchi le sorgenti...boh, prova e dicci come va... beh se il software è in ascolto su una porta tutto quello che è indirizzato li sarà destinato a lui :-D non so se esistono estenzioni in grado di monitorare il software... una buona lettura è a2.pluto.it, alla pagina di iptables :-D Hasta! _ Ricerche online più semplici e veloci con MSN Toolbar! http://toolbar.msn.it/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: bittornado e firewall
Non ho fastweb, ma da quello che ho sentito dire > dite che è il NAT di fastweb? si' > se sì ci si può fare qualcosa? no Il problema e' che ogni utente fastweb e' in LAN con gli altri utenti della zona (immagino solo nella zona...) e l'accesso ad internet avviene tramite un unico punto di accesso fastweb. Non e' quindi possibile nattare un porta ad un utente in quanto cosa succederebbe se un altro utente della stessa sottorete chiedesse di essere nattato per quella porta? Ciao -- Sandro Tosi (aka Morpheus, matrixhasu) My (little) site: http://matrixhasu.altervista.org/
Re: bittornado e firewall
Da iptables -L: Chain INBOUND (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp dpts:6881:6889 ACCEPT udp -- anywhere anywhereudp dpts:6881:6889 dove per me le porte 6881:6889 sono quelle di bittornado. In effetti in questo modo permetto il traffico su quelle porte, ma non credo che cosi' vengano bloccati gli script-kiddie. Massimo Ho anch'io lo stesso problema: connessione Fastweb, uso Azureus. Scarico e bassissima velocità nonostante i 6Mb/s garantiti e azureus continua a dirmi che ho la 6881 chiusa (il NAT test mi dice behind NAT, che è quello di Fastewb, suppongo, dato che io sono attaccato solamente all'Hag e non natto nulla con iptables. Per sicurezza, ho flushato tutte le chain di iptables: /home/steel# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Eppure continua a non andare veloce. Non dovrebbe accettare le connessioni sulla 6881? dite che è il NAT di fastweb? se sì ci si può fare qualcosa? Grazie e ciao Stefano -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: bittornado e firewall
Gesendet von Marco Nenciarini, am Sunday 25 September 2005 12:23: > On Sun, Sep 25, 2005 at 12:20:42PM +0200, Massimo Ciollaro wrote: > > dove per me le porte 6881:6889 sono quelle di bittornado. > > In effetti in questo modo permetto il traffico su quelle porte, ma non > > credo che cosi' vengano bloccati gli script-kiddie. > > ... e come lo riconosci uno script-kiddie che vuole scaricare qualcosa > dal tuo client torrent? > > A parte gli scherzi, non esiste alcun modo di bloccare selettivamente > un attacco sconosciuto verso un software che richiede delle porte > aperte... > > Ciao Esiste un modo, al contrario, per consentire esclusivamente il traffico generato da e diretto verso uno specifico software? Cioè, consentire solo connessioni relative a bittornado, un po' come sotto (scusate la parolaccia) Win, dove i vari personal firewall consentono di autorizzare un dato programma a creare traffico di dato tipo su date porte? Roberto
Re: bittornado e firewall
On Sun, Sep 25, 2005 at 12:20:42PM +0200, Massimo Ciollaro wrote: > > dove per me le porte 6881:6889 sono quelle di bittornado. > In effetti in questo modo permetto il traffico su quelle porte, ma non > credo che cosi' vengano bloccati gli script-kiddie. ... e come lo riconosci uno script-kiddie che vuole scaricare qualcosa dal tuo client torrent? A parte gli scherzi, non esiste alcun modo di bloccare selettivamente un attacco sconosciuto verso un software che richiede delle porte aperte... Ciao -- - |Marco Nenciarini| Debian/GNU Linux Developer - Plug Member | | [EMAIL PROTECTED] | http://www.prato.linux.it/~mnencia | - Key fingerprint = FED9 69C7 9E67 21F5 7D95 5270 6864 730D F095 E5E4 signature.asc Description: Digital signature
Re: bittornado e firewall
Roberto Nicolini ha scritto: Per aggiungere la regola relativa alle porte incriminate va bene anche kmyfirewall che già uso. Il senso della domanda è sapere cosa deve fare la regola relativa alla porta di bittornado, per consentire il traffico necessario, ma non fare entrare il primo script-kiddie che passa. Da iptables -L: Chain INBOUND (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywheretcp dpts:6881:6889 ACCEPT udp -- anywhere anywhereudp dpts:6881:6889 dove per me le porte 6881:6889 sono quelle di bittornado. In effetti in questo modo permetto il traffico su quelle porte, ma non credo che cosi' vengano bloccati gli script-kiddie. Massimo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: bittornado e firewall
Gesendet von Massimo Ciollaro, am Sunday 25 September 2005 01:59: > Roberto Nicolini ha scritto: > > Ciao a tutt*. > > > > Ho installato bittornado, e scaricando rimane sempre l'iconcina gialla > > perchè connesso dietro a firewall, con avvertimento di configurare il > > firewall per ottimizzare le velocità di ricerca, download e upload. > > > > Premesso che di firewall ne so mezza (l'ho configurato con kmyfirewall, > > aggiungendo poco e niente alla configurazione di default), c'è un santo > > che mi sa consigliare cosa devo fare a che protocollo su che porta per > > lasciare funzionare bittornado in modo ottimale? > > Ti dico come ho fatto io. > > Ho installato firestarter (apt-get install firestarter) che e' un ottimo > wizard che ti aiuta a configurare il firewall (iptables). > > Una volta configurato firestarter, lo lanci, vai nel menu policy, add > rule e metti l'intervallo di porte che usa bittornado (non ricordo quali > sono, ma lo puoi leggere in una finestra di bittornado in prefs). > Ricordati poi di cliccare su Apply Policy. Per aggiungere la regola relativa alle porte incriminate va bene anche kmyfirewall che già uso. Il senso della domanda è sapere cosa deve fare la regola relativa alla porta di bittornado, per consentire il traffico necessario, ma non fare entrare il primo script-kiddie che passa. Grazie, Roberto
Re: bittornado e firewall
On Sunday 25 September 2005, alle 01:59, Massimo Ciollaro wrote: > Roberto Nicolini ha scritto: > Una volta configurato firestarter, lo lanci, vai nel menu policy, add > rule e metti l'intervallo di porte che usa bittornado (non ricordo quali > sono, ma lo puoi leggere in una finestra di bittornado in prefs). dovrebbe essere la TCP 6881; azureus richiede anche la UDP 6881. -- enzo sorice Debian 3.1 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: bittornado e firewall
Roberto Nicolini ha scritto: Ciao a tutt*. Ho installato bittornado, e scaricando rimane sempre l'iconcina gialla perchè connesso dietro a firewall, con avvertimento di configurare il firewall per ottimizzare le velocità di ricerca, download e upload. Premesso che di firewall ne so mezza (l'ho configurato con kmyfirewall, aggiungendo poco e niente alla configurazione di default), c'è un santo che mi sa consigliare cosa devo fare a che protocollo su che porta per lasciare funzionare bittornado in modo ottimale? Ti dico come ho fatto io. Ho installato firestarter (apt-get install firestarter) che e' un ottimo wizard che ti aiuta a configurare il firewall (iptables). Una volta configurato firestarter, lo lanci, vai nel menu policy, add rule e metti l'intervallo di porte che usa bittornado (non ricordo quali sono, ma lo puoi leggere in una finestra di bittornado in prefs). Ricordati poi di cliccare su Apply Policy. A quel punto dovrebbe andare tutto bene. Stesso discorso se usi amule, aggiungi le porte 4662 e 4672. Ciao Massimo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: bittornado e firewall
> Stesso problema con FurthurNet, programma P2P per bootleg di concerti: > messaggio di avvertimento che il firewall limita le velocità di up/download > e i risultati delle ricerche, e che ci sarebbero alcune porte da > forwardare. Qualcuno sa cosa fare a quali porte per ottimizzare il traffico > senza farmi bucare da cani e porci? > > Grazie mille in anticipo! > > Roberto Se può essere utile per trovare una soluzione, posto gli output di lsof -i e netstat con furthur in funzione. Output di lsof -i COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME java1996 usul6u IPv4 7902 TCP p54A0C588.dip.t-dialin.net:32887->pool-71-113-136-85.frstil.dsl-w.verizon.net:4200 (SYN_SENT) java1996 usul 10u IPv4 7999 TCP p54A0C588.dip.t-dialin.net:32888->h-68-164-5-241.chcgilgm.dynamic.covad.net:4200 (ESTABLISHED) java1996 usul 18u IPv4 7493 TCP p54A0C588.dip.t-dialin.net:32864->furthur1.csail.mit.edu:4200 (SYN_SENT) java1996 usul 19u IPv4 7416 TCP *:8987 (LISTEN) java1996 usul 20u IPv4 7848 TCP p54A0C588.dip.t-dialin.net:32886->furthur1.csail.mit.edu:4200 (SYN_SENT) java1996 usul 21u IPv4 7535 TCP p54A0C588.dip.t-dialin.net:32869->goldey.net:ircd (ESTABLISHED) java1996 usul 23u IPv4 7824 TCP p54A0C588.dip.t-dialin.net:32885->204.69.217.69:8982 (SYN_SENT) java1996 usul 27u IPv4 7504 TCP p54A0C588.dip.t-dialin.net:32865->dsl092-028-203.sfo4.dsl.speakeasy.net:4200 (ESTABLISHED) java1996 usul 29u IPv4 7544 TCP p54A0C588.dip.t-dialin.net:32870->66-188-143-159.dhcp.mdsn.wi.charter.com:3155 (SYN_SENT) Output di netstat: [EMAIL PROTECTED]:~$ netstat -a Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp0 0 localhost.localdom:smtp *:* LISTEN tcp0 0 *:8987 *:* LISTEN tcp0 0 p54A0C588.dip.t-d:32865 dsl092-028-203.sfo:4200 ESTABLISHED tcp0 0 p54A0C588.dip.t-d:32902 c-24-15-202-209.hs:4200 ESTABLISHED tcp0111 p54A0C588.dip.t-d:32888 h-68-164-5-241.chc:4200 ESTABLISHED tcp0 1 p54A0C588.dip.t-d:32895 cpe-066-026-093-15:4200 SYN_SENT tcp0 1 p54A0C588.dip.t-d:32887 pool-71-113-136-85:4200 SYN_SENT tcp0 1 p54A0C588.dip.t-d:32885 204.69.217.69:8982 SYN_SENT tcp0 1 p54A0C588.dip.t-d:32899 166.84.144.33:4200 SYN_SENT tcp0 1 p54A0C588.dip.t-d:32886 furthur1.csail.mit:4200 SYN_SENT tcp0110 p54A0C588.dip.t-d:32892 cpe-68-174-115-65.:4200 ESTABLISHED tcp0 1 p54A0C588.dip.t-d:32894 12-202-17-183.clie:4200 SYN_SENT tcp0 1 p54A0C588.dip.t-d:32897 ip68-6-196-84.sd.s:4200 SYN_SENT tcp0 0 p54A0C588.dip.t-d:32869 goldey.net:ircd ESTABLISHED tcp0 1 p54A0C588.dip.t-d:32901 h-68-167-244-226.n:4200 SYN_SENT
