Jason, la solución que planteas me parece buena pero muy cerrada y solo
serviría para poder bloquear un sola PC con determinadas configuraciones
establecidas en ARES, pues si tienemos 10 o mas PC que utilizan distintas
configuraciones en ARES y manejan distintos archivos SNODES Y CONODES que
menciona el que hizo la pregunta, tambien se añadiria el problema de que cada
PC tenga distitntas listas de servidores con lo cual la cosa no seria tan facil
de solucinar, incurriendonos a abordar los siguientes problemas:
1. Unificar todas las listas de todas las PC clientes en un solo archivo.
2. Ese archivo llevarlo a la carpeta que mencionas en la pc que maneja el
iptalbes.
3. El problema de que cada vez el archivo sera extenso y dificil de mantener.
Por estas algunas razones la cosa se hace mas complicada al tratar de bloquear
el ARES.
Me parece que lo mejor es bloquear los puertos y protocolos con los que
trabaja ARES, ya sea agredando ipp2p en iptables para un mejor filtrado,
tambien cerrando todos los puertos por detault e ir abriendolos segun los
servicios que se tenga instalado, ya que de esa forma ARES no podra saltar a
otro puerto ya que cada puerto tendra su aplicacion corriento; lo cual no
sucederia si se hace al revez si se bloquea el puerto por el que trabaja ARES
tendra
otros puertos libres y saltar el filtro.
Regla para bloquear programas p2p con iptables y ipp2p
iptables -A FORWARD -p tcp -m ipp2p --ipp2p -j DROP
Otras de las formas muchas otras formas de hacerlo una es bloquearlo desde el
router, utilizando Layer-7, pero creo que la solucion mas cercana seria la
combinacion de dos o mas herramientas de filtro.
Es solo mi opinion
Jhon Alonzo Huamán
SCDnet Consultans SAC
> Date: Fri, 9 Jan 2009 09:44:17 -0500
> From: [email protected]
> To: [email protected]
> Subject: Re: [l-plug] Sobre bloquear Ares con IPTABLES
>
> Hola:
>
> ¿Usas un script de shell para aplicar tus reglas de iptables me imagino no?
> Si es así, en algún punto donde vas a agregar reglas en la cadena
> FORWARD puedes hacer algo como esto:
>
> #!/bin/bash
> ...
> ...
> ...
>
> # Definir donde esta el archivo de direcciones de Ares
> FILEPATH="/etc/ares"
>
> if [ -r "$FILEPATH" ]
> then
> {
> while read LINE
> do
> IP_ADDRESS="$(echo $LINE | awk '{ print $1 }')"
> PORT="$(echo $LINE | awk '{ print $2 }')"
> iptables -A FORWARD -d $IP_ADDRESS -p tcp --dport $PORT -j REJECT
> iptables -A FORWARD -d $IP_ADDRESS -p udp --dport $PORT -j REJECT
> done
> } < $FILEPATH
> else
> echo "$FILEPATH no existe"
> fi
>
>
> Esto leería el archivo de ares con las direcciones IP (/etc/ares) y
> bloquearía el puerto y la dirección IP exacta con un REJECT en la cadena
> FORWARD.
> Pruebalo y avisas si algo sale mal.
>
> Saludos
>
> Aland Laines escribió:
> > Hola amigos, hace un tiempo revisando la forma de bloquear el ARES
> > para mi red, encontre el IPP2P y al instalarlo y configurarlo funciono
> > macanudo hasta cierta parte, pero aun asi esta pasando.
> >
> > La idea que se me ocurrio es agregarle algo al script de iptables para
> > bloquear el intento del cliente de ARES de conectarse a los servidores
> > principales, pero ¿de donde sacar la lista actualizada?, si instalas
> > un cliente ARES en una maquina WIN y dejas que logre la coneccion en
> > la carpeta que esta den document and settings /configuracion local/
> > datos de programas/ Ares, se encuentran unos archivos llamados SNODES
> > y CNODES que son las listas de servidores raiz del la red ARES, estas
> > se actualizan automaticamente por el cliente.
> >
> > Bueno ahora la cosa va por el lado que no se mucho de iptables,
> > entonces: ¿como puedo usar esas lista de servidores para que mi script
> > bloquee la llamada a esos servers? he visto que los servidores estan
> > listados de la siguiente forma:
> >
> >
> > 189.194.232.93 26803 2 1 1 1231210114 1231210718 1231210717
> > 74.14.70.236 7635 2 1 1 1231201353 1231210413 1231210412
> > 190.165.13.183 34589 2 1 1 1231207451 1231210416 1231210415
> > 24.44.93.165 25589 2 7 5 1231201339 1231210419 1231210419
> > 189.100.199.40 35816 2 1 1 1231203321 1231210420 1231210419
> > 173.2.11.15 58591 2 9 5 1231202531 1231210427 1231210427
> > 201.226.149.27 53156 2 8 5 1231206007 1231210428 1231210428
> > 83.213.16.200 61194 2 1 1 1231209828 1231210429 1231210428
> >
> >
> > donde el primer campo es la ip y el segundo el puerto.
> >
> > A ver si me dan la mano y dicen como puedo hacer con esto, que quizas
> > funciones desde mi modesto punto de vista.
> >
> >
> > Gracias
> >
> >
> _______________________________________________
> Lista de correo Linux-plug
> Temática: Discusión general sobre Linux
> Peruvian Linux User Group (http://www.linux.org.pe)
>
> Participa suscribiéndote y escribiendo a: [email protected]
> Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
> http://listas.linux.org.pe/mailman/listinfo/linux-plug
>
> IMPORTANTE: Reglas y recomendaciones
> http://www.linux.org.pe/listas/reglas.php
> http://www.linux.org.pe/listas/comportamiento.php
> http://www.linux.org.pe/listas/recomendaciones.php
_________________________________________________________________
Nuevo Windows Live, un mundo lleno de posibilidades. Descúbrelo.
http://www.microsoft.com/windows/windowslive/default.aspx_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
