ipfw и фильтрации по содержимому пакетов
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
Повторюсь: синтаксис не помню!
Смысл вот в чем (правда для актуально для pf):
В версии freebsd 7.0 и новее к каждому правилу pf - автоматически добавляется "keep-state". Возможно с ipfw такая же самая ситуация и у Вас просто автоматически создаются динамические правила, инициализированные правилом для порта 5190, для разрешения передачи файлов по другим портам. В случае с pf, я бы попытался в явную задать no-state для правила!
Ну это как вариант!
Кстати, какое у Вас правило в фаерволе по-умолчанию: deny all / allow all? Да и вообще покажите конфиг!
Смысл вот в чем (правда для актуально для pf):
В версии freebsd 7.0 и новее к каждому правилу pf - автоматически добавляется "keep-state". Возможно с ipfw такая же самая ситуация и у Вас просто автоматически создаются динамические правила, инициализированные правилом для порта 5190, для разрешения передачи файлов по другим портам. В случае с pf, я бы попытался в явную задать no-state для правила!
Ну это как вариант!
Кстати, какое у Вас правило в фаерволе по-умолчанию: deny all / allow all? Да и вообще покажите конфиг!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и фильтрации по содержимому пакетов
в ipfw keep-state приписывается лапками в нужных местах :-\
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
только что проверил... передача идет действительно через 5190
скажите, а как Вы собирались резать передачу по заголовкам? всмысле по какому заголовку ?
скажите, а как Вы собирались резать передачу по заголовкам? всмысле по какому заголовку ?
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
я ж написал постами выше. резать пакеты которые имеют длину более или равную 1400 и у которых dst-port = 1590.
Помни о смерти, все суета сует....
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
я так понимаю ни ipfw ни pf не умеют фильтровать по размеру пакета. ну а можно natd заставить пропускать через себя пакеты не больше нужного по длине?
Помни о смерти, все суета сует....
-
- ст. сержант
- Сообщения: 311
- Зарегистрирован: 2007-05-11 9:41:21
- Откуда: Tashkent
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
savio писал(а):я так понимаю ни ipfw ни pf не умеют фильтровать по размеру пакета.
Код: Выделить всё
man ipfw
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
смотрел. не вижу я там. ткните плиз пальцем, ато не вижу....
Помни о смерти, все суета сует....
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и фильтрации по содержимому пакетов
а я не вижу смысла фильтровать по размеру пакета, но вот вам с барского плеча:
Код: Выделить всё
iplen len-list
Matches IP packets whose total length, including header and data,
is in the set len-list, which is either a single value or a list
of values or ranges specified in the same way as ports.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw и фильтрации по содержимому пакетов
прям как в сказке
у миня при моем реал айпи невсегда получаеться отправить/получить файлы
и то в аське для этого опции нужно включать (для передачи файлов)
а увас все на оборот
а попробуйте запретить вообще коннект через 5190
я не удивлюсь если и с таким правилом у вас аська передаст файл...
или получит... уж незнаю что вы там пробуете
у миня при моем реал айпи невсегда получаеться отправить/получить файлы
и то в аське для этого опции нужно включать (для передачи файлов)
а увас все на оборот
а попробуйте запретить вообще коннект через 5190
я не удивлюсь если и с таким правилом у вас аська передаст файл...
или получит... уж незнаю что вы там пробуете
- GRooVE
- ст. сержант
- Сообщения: 309
- Зарегистрирован: 2009-01-04 10:33:43
- Откуда: Odessa, UA
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
как вариант:
любым ресурс-эдитором открываем файл qip.exe (либо нужную dll'ку) и удаляем галочку "разрешить передачу файлов", предварительно сняв ее!
после - копируем файл каждому клиенту и через ntfs закрываем доступ на запись в данный файл
правда актуально только для офисов с правами пользователя на компьютере, но все же
любым ресурс-эдитором открываем файл qip.exe (либо нужную dll'ку) и удаляем галочку "разрешить передачу файлов", предварительно сняв ее!
после - копируем файл каждому клиенту и через ntfs закрываем доступ на запись в данный файл
правда актуально только для офисов с правами пользователя на компьютере, но все же
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
не знаю что у вас за инет и что за реал айпи. но у меня за NAТ'ом файлы по icq отправляються без проблем.paradox писал(а):прям как в сказке
у миня при моем реал айпи невсегда получаеться отправить/получить файлы
и то в аське для этого опции нужно включать (для передачи файлов)
а увас все на оборот
а попробуйте запретить вообще коннект через 5190
я не удивлюсь если и с таким правилом у вас аська передаст файл...
или получит... уж незнаю что вы там пробуете
Да, галка на прием файлов в qip'е стоит.
Если вас действительно интересует, то почитайте о протоколе icq. при закрытых портах на передачу файла, файл передается через сервер AOL
P.S. а какой у вас icq-клиент? у меня на qip 8092 и icq 6.5 все пашет
Помни о смерти, все суета сует....
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw и фильтрации по содержимому пакетов
наскоко я помню аська не передает файлы через сервер icq тоесь через порт 5190
потому как нет смысла грузить так траффиком сервер аола
поэтому как там у вас все работает....
диву даешься.. когда читаешь
потому как нет смысла грузить так траффиком сервер аола
поэтому как там у вас все работает....
диву даешься.. когда читаешь
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
читайте тут http://ru.wikipedia.org/wiki/ICQ
Код: Выделить всё
Начиная же с ICQ 5, появилась возможность передавать файлы через сам сервер ICQ,
который играет посредническую роль. Это необходимо в том случае, если клиент ICQ
определил, что P2P-соединение установить невозможно (закрытые порты в
межсетевых экранах, отсутствие персонального внешнего IP и др.).
Помни о смерти, все суета сует....
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw и фильтрации по содержимому пакетов
ну тогда вообще забудте о том что бы закрыть передачу файлов через аську
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и фильтрации по содержимому пакетов
есть есть выход!paradox писал(а):ну тогда вообще забудте о том что бы закрыть передачу файлов через аську
напейсать свой divert фильтр! :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw и фильтрации по содержимому пакетов
ну я не говорю что вообще выходов нет
просто даже написа фильтр это мало чем поможет
какой критерий фильтрации?
содержимое?
а если я отправлю кому то файл с именем "приветик моя любимая!"
?
выход всегда можно найти
просто нужен изворотливый ум+думалку
но ответа на самый главный вопрос - зачем юзерам все резать - я так и не понял
просто даже написа фильтр это мало чем поможет
какой критерий фильтрации?
содержимое?
а если я отправлю кому то файл с именем "приветик моя любимая!"
?
выход всегда можно найти
просто нужен изворотливый ум+думалку
но ответа на самый главный вопрос - зачем юзерам все резать - я так и не понял
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и фильтрации по содержимому пакетов
вопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- koffu
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-03-23 0:51:18
- Откуда: Киев
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
Количество пакетов в секунду, 10кб отправляешь, перелимит попадает в цепочку с 70% drop-ов пакетов - передача будет просто зависать. Я не думаю, что можно с клавы обеспечить большие всплески, а вот файлом да. Пусть кусками по 5кб передают.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw и фильтрации по содержимому пакетов
ту хуже
достаточно вспомнить кол-во и какчест-во воя по поводу нестыковок MTU
топекстатера без вазелина изнасилуют за такие эксперементы
достаточно вспомнить кол-во и какчест-во воя по поводу нестыковок MTU
топекстатера без вазелина изнасилуют за такие эксперементы
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
угу. потребовало начальство.hizel писал(а):вопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
есть в локальной сети народ, которые за инет платить не хотят, не нужен он им(и такие есть), хлебом не корми, а вот ресурсы сети подавай!
Решило начальсво сделать такой себе модный сервис - icq без инета(мелочь, а приятно)
Помни о смерти, все суета сует....
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
ну почемуше, есть некоторая последовательность символов, которая присутствует при пересылки файловparadox писал(а):ну я не говорю что вообще выходов нет
просто даже написа фильтр это мало чем поможет
какой критерий фильтрации?
содержимое?
а если я отправлю кому то файл с именем "приветик моя любимая!"
?
выход всегда можно найти
просто нужен изворотливый ум+думалку
но ответа на самый главный вопрос - зачем юзерам все резать - я так и не понял
вот как решается проблема под linux
Код: Выделить всё
1) POILICY в iptables по всем направлениям DROP.
2) iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP
iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP
Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT",
которая содержится в пакетах при передаче файлов аськой.
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны:
iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...
Помни о смерти, все суета сует....
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw и фильтрации по содержимому пакетов
угувопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
завтра начальтсво скажет берите лопаты и копайте нам траншею до хелсенки
мы оптику хотим прямо туда!
тоже пойдете копать?
нуну
админ на то и админ что он должен оценивать бзыки начальтсва и говроить реально или нет
меня это больше всего пугает1) POILICY в iptables по всем направлениям DROP.
2) iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP
iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP
Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT", которая содержится в пакетах при передаче файлов аськой.
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны:
iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...
малоли что там за строки
вдруг у вас в сообщении будет строка *_FT*
что будет?
да и вообще наивно полагать что если у вас такой ушлый народ то они не найдут любую лазейку что бы не поюзать ее
не можно конечно еще и по айпи адрессам ограничивать
кто ж спорит
говорю же придумать можно чего угодно
- savio
- лейтенант
- Сообщения: 813
- Зарегистрирован: 2007-11-08 15:46:43
- Откуда: UA
Re: ipfw и фильтрации по содержимому пакетов
ну я лично считаю что это просто отговорки..... эсть задача. да, согласен, не совсем "нормальная", для такой задачи есть не совсем "нормальное" решение. загвоздка в том что ришение чисто под linux, перевести на ipfw - так ipfw такого не умеет оказывается. вот и вся засада.
Помни о смерти, все суета сует....
-
- лейтенант
- Сообщения: 645
- Зарегистрирован: 2008-03-09 11:32:12
- Откуда: Москва
Re: ipfw и фильтрации по содержимому пакетов
Для интереса погуглил и нашёл
http://icq.rambler.ru/help/filetransfer/
И уже в случае необходимости резать на прокси по содержанию, там функций больше, хотя судя из поста выше там и так не должно ничего работать.
http://icq.rambler.ru/help/filetransfer/
Собственно идея в том чтобы пускать пользователей с аськой но без инета через http прокси.Могу ли я пересылать файлы при наличии брандмауэра?
Да, если настроить его соответствующим образом.
Если Вы не можете получать или отправлять файлы через ICQ, проверьте, не находитесь ли Вы за брандмауэром. Если Вы или Ваш друг находитесь за брандмауэром, вы оба должны будете настроить его соответствующим образом.
Вас также могут попросить разрешить программе Icqlite.exe выступать в качестве сервера или принимать соединения из Интернета при попытке передачи файлов, запуска игр и использования таких опций, как Video, Push-to-Talk и голосовой чат. Вам нужно будет поддержать это соединение, если Вы хотите, чтобы эти опции работали исправно.
Когда Вы пересылаете файлы и играете в игры, программа ICQ устанавливает прямое TCP соединение через порт в диапазоне от 1025 до 65536. Другими словами, программа ICQ устанавливает одноранговое соединение, в том смысле что и Ваш компьютер, и компьютер Вашего друга соединены между собой напрямую. Если этот способ соединения не оказывается успешным, как правило, из-за брандмауэра и/или NAT ограничений, но у обеих сторон установлена ICQ 5, программа ICQ попробует использовать другие, непрямые способы соединения.
Внимание! Если Вы выберете HTTP в качестве Вашего прокси-сервера, Вы, вероятно, не сможете отправлять файлы или играть в игры через ICQ.
Для получения более подробной информации о программе ICQ и брандмауэрах, нажмите сюда.
И уже в случае необходимости резать на прокси по содержанию, там функций больше, хотя судя из поста выше там и так не должно ничего работать.
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ipfw и фильтрации по содержимому пакетов
собсна а разве iptables во фре нельзя заюзать?
ядерный взрыв...смертельно красиво...жаль, что не вечно...