ipfw и фильтрации по содержимому пакетов

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение GRooVE » 2009-06-16 19:57:23

Повторюсь: синтаксис не помню!
Смысл вот в чем (правда для актуально для pf):
В версии freebsd 7.0 и новее к каждому правилу pf - автоматически добавляется "keep-state". Возможно с ipfw такая же самая ситуация и у Вас просто автоматически создаются динамические правила, инициализированные правилом для порта 5190, для разрешения передачи файлов по другим портам. В случае с pf, я бы попытался в явную задать no-state для правила!
Ну это как вариант!
Кстати, какое у Вас правило в фаерволе по-умолчанию: deny all / allow all? Да и вообще покажите конфиг!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение hizel » 2009-06-16 20:08:04

в ipfw keep-state приписывается лапками в нужных местах :-\
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение GRooVE » 2009-06-16 20:30:28

только что проверил... передача идет действительно через 5190 :(
скажите, а как Вы собирались резать передачу по заголовкам? всмысле по какому заголовку ? :)

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-16 22:52:30

я ж написал постами выше. резать пакеты которые имеют длину более или равную 1400 и у которых dst-port = 1590.
Помни о смерти, все суета сует....

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 8:58:22

я так понимаю ни ipfw ни pf не умеют фильтровать по размеру пакета. ну а можно natd заставить пропускать через себя пакеты не больше нужного по длине?
Помни о смерти, все суета сует....

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение _kirill_ » 2009-06-17 13:09:25

savio писал(а):я так понимаю ни ipfw ни pf не умеют фильтровать по размеру пакета.

Код: Выделить всё

man ipfw
не смотрел?

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 15:09:44

смотрел. не вижу я там. ткните плиз пальцем, ато не вижу....
Помни о смерти, все суета сует....

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение hizel » 2009-06-17 15:12:07

а я не вижу смысла фильтровать по размеру пакета, но вот вам с барского плеча:

Код: Выделить всё

     iplen len-list
             Matches IP packets whose total length, including header and data,
             is in the set len-list, which is either a single value or a list
             of values or ranges specified in the same way as ports.
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение paradox » 2009-06-17 15:25:43

прям как в сказке
у миня при моем реал айпи невсегда получаеться отправить/получить файлы
и то в аське для этого опции нужно включать (для передачи файлов)

а увас все на оборот

а попробуйте запретить вообще коннект через 5190

я не удивлюсь если и с таким правилом у вас аська передаст файл...
или получит... уж незнаю что вы там пробуете

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение GRooVE » 2009-06-17 16:44:26

как вариант:
любым ресурс-эдитором открываем файл qip.exe (либо нужную dll'ку) и удаляем галочку "разрешить передачу файлов", предварительно сняв ее!
после - копируем файл каждому клиенту и через ntfs закрываем доступ на запись в данный файл :)
правда актуально только для офисов с правами пользователя на компьютере, но все же :)

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 17:04:26

paradox писал(а):прям как в сказке
у миня при моем реал айпи невсегда получаеться отправить/получить файлы
и то в аське для этого опции нужно включать (для передачи файлов)

а увас все на оборот

а попробуйте запретить вообще коннект через 5190

я не удивлюсь если и с таким правилом у вас аська передаст файл...
или получит... уж незнаю что вы там пробуете
не знаю что у вас за инет и что за реал айпи. но у меня за NAТ'ом файлы по icq отправляються без проблем.
Да, галка на прием файлов в qip'е стоит.
Если вас действительно интересует, то почитайте о протоколе icq. при закрытых портах на передачу файла, файл передается через сервер AOL

P.S. а какой у вас icq-клиент? у меня на qip 8092 и icq 6.5 все пашет
Помни о смерти, все суета сует....

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение paradox » 2009-06-17 17:10:24

наскоко я помню аська не передает файлы через сервер icq тоесь через порт 5190
потому как нет смысла грузить так траффиком сервер аола
поэтому как там у вас все работает....
диву даешься.. когда читаешь

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 17:14:09

читайте тут http://ru.wikipedia.org/wiki/ICQ

Код: Выделить всё

Начиная же с ICQ 5, появилась возможность передавать файлы через сам сервер ICQ, 
который играет посредническую роль. Это необходимо в том случае, если клиент ICQ
определил, что P2P-соединение установить невозможно (закрытые порты в
 межсетевых экранах, отсутствие персонального внешнего IP и др.).
Помни о смерти, все суета сует....

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение paradox » 2009-06-17 17:19:49

ну тогда вообще забудте о том что бы закрыть передачу файлов через аську

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение hizel » 2009-06-17 18:45:36

paradox писал(а):ну тогда вообще забудте о том что бы закрыть передачу файлов через аську
есть есть выход!
напейсать свой divert фильтр! :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение paradox » 2009-06-17 18:58:20

ну я не говорю что вообще выходов нет

просто даже написа фильтр это мало чем поможет
какой критерий фильтрации?
содержимое?
а если я отправлю кому то файл с именем "приветик моя любимая!"
?

выход всегда можно найти
просто нужен изворотливый ум+думалку

но ответа на самый главный вопрос - зачем юзерам все резать - я так и не понял

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение hizel » 2009-06-17 19:06:02

вопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение koffu » 2009-06-17 20:09:02

Количество пакетов в секунду, 10кб отправляешь, перелимит попадает в цепочку с 70% drop-ов пакетов - передача будет просто зависать. Я не думаю, что можно с клавы обеспечить большие всплески, а вот файлом да. Пусть кусками по 5кб передают. :evil:

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение hizel » 2009-06-17 20:25:58

ту хуже
достаточно вспомнить кол-во и какчест-во воя по поводу нестыковок MTU
топекстатера без вазелина изнасилуют за такие эксперементы :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 21:50:39

hizel писал(а):вопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
угу. потребовало начальство.
есть в локальной сети народ, которые за инет платить не хотят, не нужен он им(и такие есть), хлебом не корми, а вот ресурсы сети подавай!
Решило начальсво сделать такой себе модный сервис - icq без инета(мелочь, а приятно)
Помни о смерти, все суета сует....

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 21:54:53

paradox писал(а):ну я не говорю что вообще выходов нет

просто даже написа фильтр это мало чем поможет
какой критерий фильтрации?
содержимое?
а если я отправлю кому то файл с именем "приветик моя любимая!"
?

выход всегда можно найти
просто нужен изворотливый ум+думалку

но ответа на самый главный вопрос - зачем юзерам все резать - я так и не понял
ну почемуше, есть некоторая последовательность символов, которая присутствует при пересылки файлов
вот как решается проблема под linux

Код: Выделить всё

1) POILICY в iptables по всем направлениям DROP. 
2)  iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP 
     iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP 
     Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT", 
которая содержится в пакетах при передаче файлов аськой. 
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны: 
     iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT 
     iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT 
 
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...
Помни о смерти, все суета сует....

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение paradox » 2009-06-17 22:43:23

вопрос не корректен
надо значит надо
ну например: накчальство потребовало, какие вопрсы тут!?
угу
завтра начальтсво скажет берите лопаты и копайте нам траншею до хелсенки
мы оптику хотим прямо туда!

тоже пойдете копать?
нуну

админ на то и админ что он должен оценивать бзыки начальтсва и говроить реально или нет
1) POILICY в iptables по всем направлениям DROP.
2) iptables -I FORWARD -p tcp --sport 5190 -m string --string "_FT" --algo kmp -j DROP
iptables -I FORWARD -p tcp --dport 5190 -m string --string "_FT" --algo kmp -j DROP
Эти два правила запретят передачу пакетов по портам ICQ, где содержится строка "_FT", которая содержится в пакетах при передаче файлов аськой.
3) Разрешаем форвардинг только одного порта ICQ (5190) в обе стороны:
iptables -A FORWARD -p tcp --sport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
Все! И не важно, какой клиент аськи, квип, родной, sim... Протокол-то един для всех...
меня это больше всего пугает
малоли что там за строки
вдруг у вас в сообщении будет строка *_FT*
что будет?
да и вообще наивно полагать что если у вас такой ушлый народ то они не найдут любую лазейку что бы не поюзать ее

не можно конечно еще и по айпи адрессам ограничивать
кто ж спорит

говорю же придумать можно чего угодно

Аватара пользователя
savio
лейтенант
Сообщения: 813
Зарегистрирован: 2007-11-08 15:46:43
Откуда: UA

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение savio » 2009-06-17 23:06:14

ну я лично считаю что это просто отговорки..... эсть задача. да, согласен, не совсем "нормальная", для такой задачи есть не совсем "нормальное" решение. загвоздка в том что ришение чисто под linux, перевести на ipfw - так ipfw такого не умеет оказывается. вот и вся засада.
Помни о смерти, все суета сует....

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение Gloft » 2009-06-18 7:54:02

Для интереса погуглил и нашёл
http://icq.rambler.ru/help/filetransfer/
Могу ли я пересылать файлы при наличии брандмауэра?
Да, если настроить его соответствующим образом.
Если Вы не можете получать или отправлять файлы через ICQ, проверьте, не находитесь ли Вы за брандмауэром. Если Вы или Ваш друг находитесь за брандмауэром, вы оба должны будете настроить его соответствующим образом.
Вас также могут попросить разрешить программе Icqlite.exe выступать в качестве сервера или принимать соединения из Интернета при попытке передачи файлов, запуска игр и использования таких опций, как Video, Push-to-Talk и голосовой чат. Вам нужно будет поддержать это соединение, если Вы хотите, чтобы эти опции работали исправно.
Когда Вы пересылаете файлы и играете в игры, программа ICQ устанавливает прямое TCP соединение через порт в диапазоне от 1025 до 65536. Другими словами, программа ICQ устанавливает одноранговое соединение, в том смысле что и Ваш компьютер, и компьютер Вашего друга соединены между собой напрямую. Если этот способ соединения не оказывается успешным, как правило, из-за брандмауэра и/или NAT ограничений, но у обеих сторон установлена ICQ 5, программа ICQ попробует использовать другие, непрямые способы соединения.
Внимание! Если Вы выберете HTTP в качестве Вашего прокси-сервера, Вы, вероятно, не сможете отправлять файлы или играть в игры через ICQ.
Для получения более подробной информации о программе ICQ и брандмауэрах, нажмите сюда.
Собственно идея в том чтобы пускать пользователей с аськой но без инета через http прокси.
И уже в случае необходимости резать на прокси по содержанию, там функций больше, хотя судя из поста выше там и так не должно ничего работать.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw и фильтрации по содержимому пакетов

Непрочитанное сообщение schizoid » 2009-06-18 10:01:31

собсна а разве iptables во фре нельзя заюзать?
ядерный взрыв...смертельно красиво...жаль, что не вечно...