ipfw и фильтрации по содержимому пакетов

savio · Непрочитанное сообщение **savio** » 2009-06-15 16:31:28

В iptables это делается например, так:

iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"

а в ipfw нету аналога? пересмотрел ман фаервола, не нашел...

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hizel · Непрочитанное сообщение **hizel** » 2009-06-15 21:37:58

нет нету
по задумке для этого есть divert socket интерфейс в юзерлэнд :]

savio · Непрочитанное сообщение **savio** » 2009-06-15 22:33:27

понятно.... жаль... задался целью блокировать передачу файлов через icq... видел только в таком функционале решение проблемы

paradox · Непрочитанное сообщение **paradox** » 2009-06-15 22:37:55

вечно вам что то ограничить, зарезать, рубануть нужно

да отключите нафиг юзеров от интернета
чем такой интернет давать
который порезаный
поснифаный

вообщем не интернет а какое то жалкое подобие

savio · Непрочитанное сообщение **savio** » 2009-06-15 22:45:55

а кто сказал слово "Интернет"?
мне как раз нужно дать аську без инета. только зарезать передачу файлов.
типа такой себе модный сервис в сети
вот и все.

hizel · Непрочитанное сообщение **hizel** » 2009-06-15 22:48:09

через socks проксятку дай :]

paradox · Непрочитанное сообщение **paradox** » 2009-06-15 22:59:13

какой кошмар
я считал что пакеты доступа - "безлимитный интерет ввиде доступа к icq" умер еще в начале 2000 года
оказываеться о как

ннда

наскоко я помню файлы через 5190 не передаються

savio · Непрочитанное сообщение **savio** » 2009-06-16 8:55:12

paradox писал(а):какой кошмар
я считал что пакеты доступа - "безлимитный интерет ввиде доступа к icq" умер еще в начале 2000 года
оказываеться о как

ннда

наскоко я помню файлы через 5190 не передаються

все отправляется на ура. разрешил только 5190 для ПК(192.168.0.99)

Код: Выделить всё

...
ipfw add 100 divert 6893 all from 192.168.0.99 to any 5190 out via ng0
...

savio · Непрочитанное сообщение **savio** » 2009-06-16 8:55:55

hizel писал(а):через socks проксятку дай :]

а что socks даст? через него можно запретить отправку файлов?

schizoid · Непрочитанное сообщение **schizoid** » 2009-06-16 9:55:43

socks-proxy

savio · Непрочитанное сообщение **savio** » 2009-06-16 11:16:46

устновил 3proxy, включил только socks-proxy. передача файла прошла без проблем......

savio · Непрочитанное сообщение **savio** » 2009-06-16 12:32:10

а как обстоят дела с передачей файлов у jabber'а? у него тоже передача файлов идет через тот жде порт что и сам конект или нет?

schizoid

может зарезать скорость пользователю 3proxy?
тогда никто и не будет передавать файлы. если скорость никакая будет

savio · Непрочитанное сообщение **savio** » 2009-06-16 13:39:08

у меня такая мысль уже была... тут можно даже без 3proxy обойтись, просто резать скорость на 5190 порт и все...

MASiK · Непрочитанное сообщение **MASiK** » 2009-06-16 15:08:17

Непонятно а понт урезания скорости? в qip да и не только можно Вообще самому порт выбрать, хоть 80

Тут по моему фиг чё сделаешь...

Если тока всем на Виндах врубить Фаэрвол

)))) И там запретить программе месенджера махинации с файлами

savio · Непрочитанное сообщение **savio** » 2009-06-16 17:55:26

ну а по размеру пакеты ipfw может делять allow/deny или нет?
например пропускать пакет, если его размер меньше чем Х кбит

hizel · Непрочитанное сообщение **hizel** » 2009-06-16 18:13:48

смысловой нагрузки нет :]

savio · Непрочитанное сообщение **savio** » 2009-06-16 18:20:10

как раз есть. это решит мою проблему с передачей файлов через icq.
знакомый юзает microtic'и, указал для NAT'а что максимальный пакет который может проходить - 5(наверное килобайт)
и все тут. большие файлы не шлются. да, минус есть, что большой текст тоже не отошлется, но меня это устраивает.
Так что, любимая нами фряха со своим ipfw не может такого получается?

hizel · Непрочитанное сообщение **hizel** » 2009-06-16 18:39:36

максимальный пакет равен MTU обычно около 1500 байт ^_^

savio · Непрочитанное сообщение **savio** » 2009-06-16 19:21:07

передача файла через icq. cмотрю tcpdump'ом

Код: Выделить всё

....
19:15:08.739562 IP (tos 0x0, ttl 106, id 53778, offset 0, flags [DF], proto TCP (6), length 40) afxs-d11b.blue.aol.com.aol > 192.168.0.99.4639: ., cksum 0xdd3d (correct), ack 1998133 win 65535
19:15:08.740033 IP (tos 0x0, ttl 64, id 18013, offset 0, flags [DF], proto TCP (6), length 1400) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: . 2012469:2013829(1360) ack 269 win 65012
19:15:08.740048 IP (tos 0x0, ttl 64, id 18014, offset 0, flags [DF], proto TCP (6), length 728) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: P 2013829:2014517(688) ack 269 win 65012
19:15:08.760296 IP (tos 0x0, ttl 106, id 54005, offset 0, flags [DF], proto TCP (6), length 40) afxs-d11b.blue.aol.com.aol > 192.168.0.99.4639: ., cksum 0xd53d (correct), ack 2000181 win 65535
19:15:08.760646 IP (tos 0x0, ttl 64, id 18015, offset 0, flags [DF], proto TCP (6), length 1400) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: . 2014517:2015877(1360) ack 269 win 65012
19:15:08.760771 IP (tos 0x0, ttl 64, id 18016, offset 0, flags [DF], proto TCP (6), length 728) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: P 2015877:2016565(688) ack 269 win 65012
.....

я так понимаю что length это и есть размер пакета
при перепыске length обычно больше 200 не бывает.
можно ли блокировать ipfw'ом(или чем-то других для freebsd) пакеты с length>=1400?

hizel · Непрочитанное сообщение **hizel** » 2009-06-16 19:27:28

категорически не рекомендую

вы кстати уверены что при использовании socks прокси сервера файло отправляется через тот же socks ?

P.S. асько - гуано :-)

savio · Непрочитанное сообщение **savio** » 2009-06-16 19:34:10

ну говно аська, проблема то не решится после этого.........
пробовал, шлется на ура

Код: Выделить всё

9: ., cksum 0x81cf (incorrect (-> 0x3cf5), ack 605337 win 788
19:33:32.325609 IP (tos 0x0, ttl 64, id 28002, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 605337:606797(1460) ack 0 win 63958
19:33:32.325616 IP (tos 0x0, ttl 64, id 28003, offset 0, flags [DF], proto TCP (6), length 628) 192.168.0.99.4719 > bosyak.socks: P 606797:607385(588) ack 0 win 63958
19:33:32.325644 IP (tos 0x0, ttl 64, id 14863, offset 0, flags [DF], proto TCP (6), length 40) bosyak.socks > 192.168.0.99.4719: ., cksum 0x81cf (incorrect (-> 0x35f5), ack 607385 win 532
19:33:32.325733 IP (tos 0x0, ttl 64, id 28004, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 607385:608845(1460) ack 0 win 63958
19:33:32.325741 IP (tos 0x0, ttl 64, id 28005, offset 0, flags [DF], proto TCP (6), length 628) 192.168.0.99.4719 > bosyak.socks: P 608845:609433(588) ack 0 win 63958
19:33:32.325768 IP (tos 0x0, ttl 64, id 14864, offset 0, flags [DF], proto TCP (6), length 40) bosyak.socks > 192.168.0.99.4719: ., cksum 0x81cf (incorrect (-> 0x2ef5), ack 609433 win 276
19:33:32.325859 IP (tos 0x0, ttl 64, id 28006, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 609433:610893(1460) ack 0 win 63958

savio · Непрочитанное сообщение **savio** » 2009-06-16 19:36:37

так может ipfw или не может фильтровать по length???

GRooVE · Непрочитанное сообщение **GRooVE** » 2009-06-16 19:41:09

Могу ошибаться, но может добавить в правило ipfw "no-state" и добавить еще одно правило на входящий траффик?
Синтаксис точно не помню, юзаю pf, но, думаю, смысл понятен...

savio · Непрочитанное сообщение **savio** » 2009-06-16 19:48:29

GRooVE писал(а):Могу ошибаться, но может добавить в правило ipfw "no-state" и добавить еще одно правило на входящий траффик?
Синтаксис точно не помню, юзаю pf, но, думаю, смысл понятен...

неа, смысл мне не ясен. не подскажите где почитать чего дает no-state?

forum.lissyara.su

ipfw и фильтрации по содержимому пакетов

ipfw и фильтрации по содержимому пакетов

Услуги хостинговой компании Host-Food.ru

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов

Re: ipfw и фильтрации по содержимому пакетов