Re: [l-plug] Sobre bloquear Ares con IPTABLES

Jason Voorhees Fri, 09 Jan 2009 12:03:50 -0800

Hola:

Jhon Alberto Alonzo Huamán escribió:
> Jason, la solución que planteas me parece buena pero muy cerrada y solo
> serviría para poder bloquear un sola PC con determinadas configuraciones
> establecidas en ARES, pues si tienemos 10 o mas PC que utilizan
> distintas configuraciones en ARES y manejan distintos archivos SNODES Y
> CONODES que menciona el que hizo la pregunta, tambien se añadiria el
> problema de que cada PC tenga distitntas listas de servidores con lo
> cual la cosa no seria tan facil de solucinar, incurriendonos a abordar
> los siguientes problemas:
> 
> 1. Unificar todas las listas de todas las PC clientes en un solo archivo.
> 2. Ese archivo llevarlo a la carpeta que mencionas en la pc que maneja
> el iptalbes.
> 3. El problema de que cada vez el archivo sera extenso y dificil de
> mantener.
> 
> Por estas algunas razones la cosa se hace mas complicada al tratar de
> bloquear el ARES.


Bueno, ya pues lo demas ya queda de ingenio del usuario.
Bien podria crear un directorio /etc/ares donde el usuario coloque todos
los archivos SNODES y CONODES cada uno con diferente extension numerica
acorde a los que vaya juntando, asi:

/etc/ares/SNODES.1
/etc/ares/SNODES.2
/etc/ares/SNODES.3
/etc/ares/CONODES.1
/etc/ares/CONODES.2
/etc/ares/CONODES.3
...
...

y reemplazar el script anterior que mostre por uno como este:

# Directorio donde estan los archivos de Ares
DIRPATH="/etc/ares"

cat ${DIRPATH}/* | awk '{ print $1 }' | sort -n | uniq |
while read LINE
do
        IP_ADDRESS="$(echo $LINE | awk '{ print $1 }')"
        echo iptables -A FORWARD -d $IP_ADDRESS -j REJECT
        echo iptables -A FORWARD -d $IP_ADDRESS -j REJECT
done

Ahora bloqueo todos los puertos del Host pues a fin de cuentas son solo
servidores P2P, dificilmente serian un host valido para un Website u
otro host al que el usuario pueda conectarse sin usar Ares.

¿Cual seria lo dificil aca? Pues solamente el copiar dichos archivos
SNODES o CNODES periodicamente (quizas 1 vez por semana, o cada 3 dias)
a /etc/ares en el servidor a traves de SCP o quizas como un recurso
compartido de Samba.

> Me parece que lo mejor es bloquear los puertos y protocolos con  los que
> trabaja ARES, ya sea agredando ipp2p en iptables para un mejor filtrado,
> tambien cerrando todos los puertos por detault e ir abriendolos segun
> los servicios que se tenga instalado, ya que de esa forma ARES no podra
> saltar a otro puerto ya que cada puerto tendra su aplicacion corriento;
> lo cual no sucederia si se hace al revez si se bloquea el puerto por el
> que trabaja ARES tendra
>  otros puertos libres y saltar el filtro.
> 
Obviamente la mejor politica es la denegacion por defecto, pero no
siempre es aplicable ni facil de usar. Mas complejo aun en redes grandes
de muchos usuarios y cada uno con diferentes necesidades de conexion de
aplicaciones que no siempre conocen bien (no saben que puerto usa, ni
protocolo ni nada, esto incluyendo a muchas aplicaciones VPN propietarias).


> Regla para bloquear programas p2p con iptables y ipp2p
> 
> iptables -A FORWARD -p tcp -m ipp2p --ipp2p -j DROP
> 
> Otras de las formas muchas otras formas de hacerlo una es bloquearlo
> desde el router, utilizando Layer-7, pero creo que la solucion mas
> cercana seria la combinacion de dos o mas herramientas de filtro.
> 
> Es solo mi opinion

Layer-7 e IPP2P es lo que siempre uso para bloquear P2P, pero Ares de
una u otra forma "algunas veces" termina colandose.
El mismo website de IPP2P informa que el soporte para la deteccion y
bloqueo del protocolo Ares no es del todo bueno, ya que soporta TCP
unicamente y no trabaja al 100% bien, esto acorde a:

http://www.ipp2p.org/docu_en.html

Por eso se terminan colando por UDP a veces.

En realidad la idea de bloquear las direcciones IP de Ares en base a
esos archivos mencionados me parece la mejor solucion posible ahora.

Saludos

> Jhon Alonzo Huamán
> SCDnet Consultans SAC
> 
> <http://images.google.com.pe/imgres?imgurl=http://www.linuxunion.net/uploads/php-mysql.gif&imgrefurl=http://www.hellcito.es/&h=212&w=240&sz=14&hl=es&start=39&um=1&tbnid=wB3XKZGfwnFH2M:&tbnh=97&tbnw=110&prev=/images?q%3Dlinux%2Bphp%2Bmysql%26start%3D20%26ndsp%3D20%26svnum%3D10%26um%3D1%26hl%3Des%26sa%3DN>
>  
> 
>                        
> 
>  
> <http://images.google.com.pe/imgres?imgurl=http://www.linux-france.org/article/pro/entrepreneur-howto/03_visit-card/Lamiral/images/bsd-big.png&imgrefurl=http://www.linux-france.org/article/pro/entrepreneur-howto/03_visit-card/Lamiral/images/&h=475&w=450&sz=49&hl=es&start=1&um=1&tbnid=XqwvQlmq6a7A6M:&tbnh=129&tbnw=122&prev=/images?q%3Dbsd%26um%3D1%26hl%3Des>
> 
> 
> 
> 
> 
>> Date: Fri, 9 Jan 2009 09:44:17 -0500
>> From: [email protected]
>> To: [email protected]
>> Subject: Re: [l-plug] Sobre bloquear Ares con IPTABLES
>>
>> Hola:
>>
>> ¿Usas un script de shell para aplicar tus reglas de iptables me
> imagino no?
>> Si es así, en algún punto donde vas a agregar reglas en la cadena
>> FORWARD puedes hacer algo como esto:
>>
>> #!/bin/bash
>> ...
>> ...
>> ...
>>
>> # Definir donde esta el archivo de direcciones de Ares
>> FILEPATH="/etc/ares"
>>
>> if [ -r "$FILEPATH" ]
>> then
>> {
>> while read LINE
>> do
>> IP_ADDRESS="$(echo $LINE | awk '{ print $1 }')"
>> PORT="$(echo $LINE | awk '{ print $2 }')"
>> iptables -A FORWARD -d $IP_ADDRESS -p tcp --dport $PORT -j REJECT
>> iptables -A FORWARD -d $IP_ADDRESS -p udp --dport $PORT -j REJECT
>> done
>> } < $FILEPATH
>> else
>> echo "$FILEPATH no existe"
>> fi
>>
>>
>> Esto leería el archivo de ares con las direcciones IP (/etc/ares) y
>> bloquearía el puerto y la dirección IP exacta con un REJECT en la cadena
>> FORWARD.
>> Pruebalo y avisas si algo sale mal.
>>
>> Saludos
>>
>> Aland Laines escribió:
>> > Hola amigos, hace un tiempo revisando la forma de bloquear el ARES
>> > para mi red, encontre el IPP2P y al instalarlo y configurarlo funciono
>> > macanudo hasta cierta parte, pero aun asi esta pasando.
>> >
>> > La idea que se me ocurrio es agregarle algo al script de iptables para
>> > bloquear el intento del cliente de ARES de conectarse a los servidores
>> > principales, pero ¿de donde sacar la lista actualizada?, si instalas
>> > un cliente ARES en una maquina WIN y dejas que logre la coneccion en
>> > la carpeta que esta den document and settings /configuracion local/
>> > datos de programas/ Ares, se encuentran unos archivos llamados SNODES
>> > y CNODES que son las listas de servidores raiz del la red ARES, estas
>> > se actualizan automaticamente por el cliente.
>> >
>> > Bueno ahora la cosa va por el lado que no se mucho de iptables,
>> > entonces: ¿como puedo usar esas lista de servidores para que mi script
>> > bloquee la llamada a esos servers? he visto que los servidores estan
>> > listados de la siguiente forma:
>> >
>> >
>> > 189.194.232.93 26803 2 1 1 1231210114 1231210718 1231210717
>> > 74.14.70.236 7635 2 1 1 1231201353 1231210413 1231210412
>> > 190.165.13.183 34589 2 1 1 1231207451 1231210416 1231210415
>> > 24.44.93.165 25589 2 7 5 1231201339 1231210419 1231210419
>> > 189.100.199.40 35816 2 1 1 1231203321 1231210420 1231210419
>> > 173.2.11.15 58591 2 9 5 1231202531 1231210427 1231210427
>> > 201.226.149.27 53156 2 8 5 1231206007 1231210428 1231210428
>> > 83.213.16.200 61194 2 1 1 1231209828 1231210429 1231210428
>> >
>> >
>> > donde el primer campo es la ip y el segundo el puerto.
>> >
>> > A ver si me dan la mano y dicen como puedo hacer con esto, que quizas
>> > funciones desde mi modesto punto de vista.
>> >
>> >
>> > Gracias
>> >
>> >
>> _______________________________________________
>> Lista de correo Linux-plug
>> Temática: Discusión general sobre Linux
>> Peruvian Linux User Group (http://www.linux.org.pe)
>>
>> Participa suscribiéndote y escribiendo a: [email protected]
>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
>> http://listas.linux.org.pe/mailman/listinfo/linux-plug
>>
>> IMPORTANTE: Reglas y recomendaciones
>> http://www.linux.org.pe/listas/reglas.php
>> http://www.linux.org.pe/listas/comportamiento.php
>> http://www.linux.org.pe/listas/recomendaciones.php
> 
> ------------------------------------------------------------------------
> Nuevo Windows Live, un mundo lleno de posibilidades Descúbrelo.
> <http://www.microsoft.com/windows/windowslive/default.aspx>
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Lista de correo Linux-plug
> Temática: Discusión general sobre Linux
> Peruvian Linux User Group (http://www.linux.org.pe)
> 
> Participa suscribiéndote y escribiendo a:  [email protected]
> Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
> http://listas.linux.org.pe/mailman/listinfo/linux-plug
> 
> IMPORTANTE: Reglas y recomendaciones
> http://www.linux.org.pe/listas/reglas.php
> http://www.linux.org.pe/listas/comportamiento.php
> http://www.linux.org.pe/listas/recomendaciones.php
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  [email protected]
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php

Re: [l-plug] Sobre bloquear Ares con IPTABLES

Responder a