Re: [l-plug] Sobre bloquear Ares con IPTABLES

[Jhon Alberto Alonzo Huamán]

Hola Jason,  como lo mencionas el unico problema esta en como hacer para que 
los archivos SNODES Y CONODES pasen de la maquina cliente a la maquina en la 
que esta implantado el IPTABLES, la idea inmediata que se me viene a la mente 
es el uso de samba como lo dijiste y la programacion de  una tarea con AT en 
maquinas clientes windows o CRON en maquinas clientes con linux.

Jhon Alonzo Huamán
SCDNet Consultans SAC

   
 
                          
 



> Date: Fri, 9 Jan 2009 15:02:56 -0500
> From: jvoorhe...@gmail.com
> To: linux-plug@linux.org.pe
> Subject: Re: [l-plug] Sobre bloquear Ares con IPTABLES
> 
> Hola:
> 
> Jhon Alberto Alonzo Huamán escribió:
> > Jason, la solución que planteas me parece buena pero muy cerrada y solo
> > serviría para poder bloquear un sola PC con determinadas configuraciones
> > establecidas en ARES, pues si tienemos 10 o mas PC que utilizan
> > distintas configuraciones en ARES y manejan distintos archivos SNODES Y
> > CONODES que menciona el que hizo la pregunta, tambien se añadiria el
> > problema de que cada PC tenga distitntas listas de servidores con lo
> > cual la cosa no seria tan facil de solucinar, incurriendonos a abordar
> > los siguientes problemas:
> > 
> > 1. Unificar todas las listas de todas las PC clientes en un solo archivo.
> > 2. Ese archivo llevarlo a la carpeta que mencionas en la pc que maneja
> > el iptalbes.
> > 3. El problema de que cada vez el archivo sera extenso y dificil de
> > mantener.
> > 
> > Por estas algunas razones la cosa se hace mas complicada al tratar de
> > bloquear el ARES.
> 
> Bueno, ya pues lo demas ya queda de ingenio del usuario.
> Bien podria crear un directorio /etc/ares donde el usuario coloque todos
> los archivos SNODES y CONODES cada uno con diferente extension numerica
> acorde a los que vaya juntando, asi:
> 
> /etc/ares/SNODES.1
> /etc/ares/SNODES.2
> /etc/ares/SNODES.3
> /etc/ares/CONODES.1
> /etc/ares/CONODES.2
> /etc/ares/CONODES.3
> ...
> ...
> 
> y reemplazar el script anterior que mostre por uno como este:
> 
> # Directorio donde estan los archivos de Ares
> DIRPATH="/etc/ares"
> 
> cat ${DIRPATH}/* | awk '{ print $1 }' | sort -n | uniq |
> while read LINE
> do
>         IP_ADDRESS="$(echo $LINE | awk '{ print $1 }')"
>         echo iptables -A FORWARD -d $IP_ADDRESS -j REJECT
>         echo iptables -A FORWARD -d $IP_ADDRESS -j REJECT
> done
> 
> Ahora bloqueo todos los puertos del Host pues a fin de cuentas son solo
> servidores P2P, dificilmente serian un host valido para un Website u
> otro host al que el usuario pueda conectarse sin usar Ares.
> 
> ¿Cual seria lo dificil aca? Pues solamente el copiar dichos archivos
> SNODES o CNODES periodicamente (quizas 1 vez por semana, o cada 3 dias)
> a /etc/ares en el servidor a traves de SCP o quizas como un recurso
> compartido de Samba.
> 
> > Me parece que lo mejor es bloquear los puertos y protocolos con  los que
> > trabaja ARES, ya sea agredando ipp2p en iptables para un mejor filtrado,
> > tambien cerrando todos los puertos por detault e ir abriendolos segun
> > los servicios que se tenga instalado, ya que de esa forma ARES no podra
> > saltar a otro puerto ya que cada puerto tendra su aplicacion corriento;
> > lo cual no sucederia si se hace al revez si se bloquea el puerto por el
> > que trabaja ARES tendra
> >  otros puertos libres y saltar el filtro.
> > 
> Obviamente la mejor politica es la denegacion por defecto, pero no
> siempre es aplicable ni facil de usar. Mas complejo aun en redes grandes
> de muchos usuarios y cada uno con diferentes necesidades de conexion de
> aplicaciones que no siempre conocen bien (no saben que puerto usa, ni
> protocolo ni nada, esto incluyendo a muchas aplicaciones VPN propietarias).
> 
> 
> > Regla para bloquear programas p2p con iptables y ipp2p
> > 
> > iptables -A FORWARD -p tcp -m ipp2p --ipp2p -j DROP
> > 
> > Otras de las formas muchas otras formas de hacerlo una es bloquearlo
> > desde el router, utilizando Layer-7, pero creo que la solucion mas
> > cercana seria la combinacion de dos o mas herramientas de filtro.
> > 
> > Es solo mi opinion
> 
> Layer-7 e IPP2P es lo que siempre uso para bloquear P2P, pero Ares de
> una u otra forma "algunas veces" termina colandose.
> El mismo website de IPP2P informa que el soporte para la deteccion y
> bloqueo del protocolo Ares no es del todo bueno, ya que soporta TCP
> unicamente y no trabaja al 100% bien, esto acorde a:
> 
> http://www.ipp2p.org/docu_en.html
> 
> Por eso se terminan colando por UDP a veces.
> 
> En realidad la idea de bloquear las direcciones IP de Ares en base a
> esos archivos mencionados me parece la mejor solucion posible ahora.
> 
> Saludos
> 
> > Jhon Alonzo Huamán
> > SCDnet Consultans SAC
> > 
> > <http://images.google.com.pe/imgres?imgurl=http://www.linuxunion.net/uploads/php-mysql.gif&imgrefurl=http://www.hellcito.es/&h=212&w=240&sz=14&hl=es&start=39&um=1&tbnid=wB3XKZGfwnFH2M:&tbnh=97&tbnw=110&prev=/images?q%3Dlinux%2Bphp%2Bmysql%26start%3D20%26ndsp%3D20%26svnum%3D10%26um%3D1%26hl%3Des%26sa%3DN>
> >  
> > 
> >                        
> > 
> >  
> > <http://images.google.com.pe/imgres?imgurl=http://www.linux-france.org/article/pro/entrepreneur-howto/03_visit-card/Lamiral/images/bsd-big.png&imgrefurl=http://www.linux-france.org/article/pro/entrepreneur-howto/03_visit-card/Lamiral/images/&h=475&w=450&sz=49&hl=es&start=1&um=1&tbnid=XqwvQlmq6a7A6M:&tbnh=129&tbnw=122&prev=/images?q%3Dbsd%26um%3D1%26hl%3Des>
> > 
> > 
> > 
> > 
> > 
> >> Date: Fri, 9 Jan 2009 09:44:17 -0500
> >> From: jvoorhe...@gmail.com
> >> To: linux-plug@linux.org.pe
> >> Subject: Re: [l-plug] Sobre bloquear Ares con IPTABLES
> >>
> >> Hola:
> >>
> >> ¿Usas un script de shell para aplicar tus reglas de iptables me
> > imagino no?
> >> Si es así, en algún punto donde vas a agregar reglas en la cadena
> >> FORWARD puedes hacer algo como esto:
> >>
> >> #!/bin/bash
> >> ...
> >> ...
> >> ...
> >>
> >> # Definir donde esta el archivo de direcciones de Ares
> >> FILEPATH="/etc/ares"
> >>
> >> if [ -r "$FILEPATH" ]
> >> then
> >> {
> >> while read LINE
> >> do
> >> IP_ADDRESS="$(echo $LINE | awk '{ print $1 }')"
> >> PORT="$(echo $LINE | awk '{ print $2 }')"
> >> iptables -A FORWARD -d $IP_ADDRESS -p tcp --dport $PORT -j REJECT
> >> iptables -A FORWARD -d $IP_ADDRESS -p udp --dport $PORT -j REJECT
> >> done
> >> } < $FILEPATH
> >> else
> >> echo "$FILEPATH no existe"
> >> fi
> >>
> >>
> >> Esto leería el archivo de ares con las direcciones IP (/etc/ares) y
> >> bloquearía el puerto y la dirección IP exacta con un REJECT en la cadena
> >> FORWARD.
> >> Pruebalo y avisas si algo sale mal.
> >>
> >> Saludos
> >>
> >> Aland Laines escribió:
> >> > Hola amigos, hace un tiempo revisando la forma de bloquear el ARES
> >> > para mi red, encontre el IPP2P y al instalarlo y configurarlo funciono
> >> > macanudo hasta cierta parte, pero aun asi esta pasando.
> >> >
> >> > La idea que se me ocurrio es agregarle algo al script de iptables para
> >> > bloquear el intento del cliente de ARES de conectarse a los servidores
> >> > principales, pero ¿de donde sacar la lista actualizada?, si instalas
> >> > un cliente ARES en una maquina WIN y dejas que logre la coneccion en
> >> > la carpeta que esta den document and settings /configuracion local/
> >> > datos de programas/ Ares, se encuentran unos archivos llamados SNODES
> >> > y CNODES que son las listas de servidores raiz del la red ARES, estas
> >> > se actualizan automaticamente por el cliente.
> >> >
> >> > Bueno ahora la cosa va por el lado que no se mucho de iptables,
> >> > entonces: ¿como puedo usar esas lista de servidores para que mi script
> >> > bloquee la llamada a esos servers? he visto que los servidores estan
> >> > listados de la siguiente forma:
> >> >
> >> >
> >> > 189.194.232.93 26803 2 1 1 1231210114 1231210718 1231210717
> >> > 74.14.70.236 7635 2 1 1 1231201353 1231210413 1231210412
> >> > 190.165.13.183 34589 2 1 1 1231207451 1231210416 1231210415
> >> > 24.44.93.165 25589 2 7 5 1231201339 1231210419 1231210419
> >> > 189.100.199.40 35816 2 1 1 1231203321 1231210420 1231210419
> >> > 173.2.11.15 58591 2 9 5 1231202531 1231210427 1231210427
> >> > 201.226.149.27 53156 2 8 5 1231206007 1231210428 1231210428
> >> > 83.213.16.200 61194 2 1 1 1231209828 1231210429 1231210428
> >> >
> >> >
> >> > donde el primer campo es la ip y el segundo el puerto.
> >> >
> >> > A ver si me dan la mano y dicen como puedo hacer con esto, que quizas
> >> > funciones desde mi modesto punto de vista.
> >> >
> >> >
> >> > Gracias
> >> >
> >> >
> >> _______________________________________________
> >> Lista de correo Linux-plug
> >> Temática: Discusión general sobre Linux
> >> Peruvian Linux User Group (http://www.linux.org.pe)
> >>
> >> Participa suscribiéndote y escribiendo a: linux-plug@linux.org.pe
> >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
> >> http://listas.linux.org.pe/mailman/listinfo/linux-plug
> >>
> >> IMPORTANTE: Reglas y recomendaciones
> >> http://www.linux.org.pe/listas/reglas.php
> >> http://www.linux.org.pe/listas/comportamiento.php
> >> http://www.linux.org.pe/listas/recomendaciones.php
> > 
> > ------------------------------------------------------------------------
> > Nuevo Windows Live, un mundo lleno de posibilidades Descúbrelo.
> > <http://www.microsoft.com/windows/windowslive/default.aspx>
> > 
> > 
> > ------------------------------------------------------------------------
> > 
> > _______________________________________________
> > Lista de correo Linux-plug
> > Temática: Discusión general sobre Linux
> > Peruvian Linux User Group (http://www.linux.org.pe)
> > 
> > Participa suscribiéndote y escribiendo a:  linux-plug@linux.org.pe
> > Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
> > http://listas.linux.org.pe/mailman/listinfo/linux-plug
> > 
> > IMPORTANTE: Reglas y recomendaciones
> > http://www.linux.org.pe/listas/reglas.php
> > http://www.linux.org.pe/listas/comportamiento.php
> > http://www.linux.org.pe/listas/recomendaciones.php
> _______________________________________________
> Lista de correo Linux-plug
> Temática: Discusión general sobre Linux
> Peruvian Linux User Group (http://www.linux.org.pe)
> 
> Participa suscribiéndote y escribiendo a:  linux-plug@linux.org.pe
> Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
> http://listas.linux.org.pe/mailman/listinfo/linux-plug
> 
> IMPORTANTE: Reglas y recomendaciones
> http://www.linux.org.pe/listas/reglas.php
> http://www.linux.org.pe/listas/comportamiento.php
> http://www.linux.org.pe/listas/recomendaciones.php

_________________________________________________________________
Llévate Messenger en el móvil a todas partes ¡Conéctate!
http://www.microsoft.com/spain/windowsmobile/messenger/default.mspx   
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  linux-plug@linux.org.pe
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php