Страница 1 из 3
ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 16:31:28
savio
В iptables это делается например, так:
Код: Выделить всё
iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"
а в ipfw нету аналога? пересмотрел ман фаервола, не нашел...
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 21:37:58
hizel
нет нету
по задумке для этого есть divert socket интерфейс в юзерлэнд :]
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 22:33:27
savio
понятно.... жаль... задался целью блокировать передачу файлов через icq... видел только в таком функционале решение проблемы
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 22:37:55
paradox
вечно вам что то ограничить, зарезать, рубануть нужно
да отключите нафиг юзеров от интернета
чем такой интернет давать
который порезаный
поснифаный
вообщем не интернет а какое то жалкое подобие
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 22:45:55
savio
а кто сказал слово "Интернет"?
мне как раз нужно дать аську без инета. только зарезать передачу файлов.
типа такой себе модный сервис в сети
вот и все.
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 22:48:09
hizel
через socks проксятку дай :]
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-15 22:59:13
paradox
какой кошмар
я считал что пакеты доступа - "безлимитный интерет ввиде доступа к icq" умер еще в начале 2000 года
оказываеться о как
ннда
наскоко я помню файлы через 5190 не передаються
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 8:55:12
savio
paradox писал(а):какой кошмар
я считал что пакеты доступа - "безлимитный интерет ввиде доступа к icq" умер еще в начале 2000 года
оказываеться о как
ннда
наскоко я помню файлы через 5190 не передаються
все отправляется на ура. разрешил только 5190 для ПК(192.168.0.99)
Код: Выделить всё
...
ipfw add 100 divert 6893 all from 192.168.0.99 to any 5190 out via ng0
...
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 8:55:55
savio
hizel писал(а):через socks проксятку дай :]
а что socks даст? через него можно запретить отправку файлов?
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 9:55:43
schizoid
socks-proxy
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 11:16:46
savio
устновил 3proxy, включил только socks-proxy. передача файла прошла без проблем......
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 12:32:10
savio
а как обстоят дела с передачей файлов у jabber'а? у него тоже передача файлов идет через тот жде порт что и сам конект или нет?
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 12:57:29
schizoid
может зарезать скорость пользователю 3proxy?
тогда никто и не будет передавать файлы. если скорость никакая будет
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 13:39:08
savio
у меня такая мысль уже была... тут можно даже без 3proxy обойтись, просто резать скорость на 5190 порт и все...
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 15:08:17
MASiK
Непонятно а понт урезания скорости? в qip да и не только можно Вообще самому порт выбрать, хоть 80
Тут по моему фиг чё сделаешь...
Если тока всем на Виндах врубить Фаэрвол
)))) И там запретить программе месенджера махинации с файлами
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 17:55:26
savio
ну а по размеру пакеты ipfw может делять allow/deny или нет?
например пропускать пакет, если его размер меньше чем Х кбит
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 18:13:48
hizel
смысловой нагрузки нет :]
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 18:20:10
savio
как раз есть. это решит мою проблему с передачей файлов через icq.
знакомый юзает microtic'и, указал для NAT'а что максимальный пакет который может проходить - 5(наверное килобайт)
и все тут. большие файлы не шлются. да, минус есть, что большой текст тоже не отошлется, но меня это устраивает.
Так что, любимая нами фряха со своим ipfw не может такого получается?
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 18:39:36
hizel
максимальный пакет равен MTU обычно около 1500 байт ^_^
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:21:07
savio
передача файла через icq. cмотрю tcpdump'ом
Код: Выделить всё
....
19:15:08.739562 IP (tos 0x0, ttl 106, id 53778, offset 0, flags [DF], proto TCP (6), length 40) afxs-d11b.blue.aol.com.aol > 192.168.0.99.4639: ., cksum 0xdd3d (correct), ack 1998133 win 65535
19:15:08.740033 IP (tos 0x0, ttl 64, id 18013, offset 0, flags [DF], proto TCP (6), length 1400) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: . 2012469:2013829(1360) ack 269 win 65012
19:15:08.740048 IP (tos 0x0, ttl 64, id 18014, offset 0, flags [DF], proto TCP (6), length 728) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: P 2013829:2014517(688) ack 269 win 65012
19:15:08.760296 IP (tos 0x0, ttl 106, id 54005, offset 0, flags [DF], proto TCP (6), length 40) afxs-d11b.blue.aol.com.aol > 192.168.0.99.4639: ., cksum 0xd53d (correct), ack 2000181 win 65535
19:15:08.760646 IP (tos 0x0, ttl 64, id 18015, offset 0, flags [DF], proto TCP (6), length 1400) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: . 2014517:2015877(1360) ack 269 win 65012
19:15:08.760771 IP (tos 0x0, ttl 64, id 18016, offset 0, flags [DF], proto TCP (6), length 728) 192.168.0.99.4639 > afxs-d11b.blue.aol.com.aol: P 2015877:2016565(688) ack 269 win 65012
.....
я так понимаю что
length это и есть размер пакета
при перепыске
length обычно больше 200 не бывает.
можно ли блокировать ipfw'ом(или чем-то других для freebsd) пакеты с
length>=1400?
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:27:28
hizel
категорически не рекомендую
вы кстати уверены что при использовании socks прокси сервера файло отправляется через тот же socks ?
P.S. асько - гуано :-)
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:34:10
savio
ну говно аська, проблема то не решится после этого.........
пробовал, шлется на ура
Код: Выделить всё
9: ., cksum 0x81cf (incorrect (-> 0x3cf5), ack 605337 win 788
19:33:32.325609 IP (tos 0x0, ttl 64, id 28002, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 605337:606797(1460) ack 0 win 63958
19:33:32.325616 IP (tos 0x0, ttl 64, id 28003, offset 0, flags [DF], proto TCP (6), length 628) 192.168.0.99.4719 > bosyak.socks: P 606797:607385(588) ack 0 win 63958
19:33:32.325644 IP (tos 0x0, ttl 64, id 14863, offset 0, flags [DF], proto TCP (6), length 40) bosyak.socks > 192.168.0.99.4719: ., cksum 0x81cf (incorrect (-> 0x35f5), ack 607385 win 532
19:33:32.325733 IP (tos 0x0, ttl 64, id 28004, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 607385:608845(1460) ack 0 win 63958
19:33:32.325741 IP (tos 0x0, ttl 64, id 28005, offset 0, flags [DF], proto TCP (6), length 628) 192.168.0.99.4719 > bosyak.socks: P 608845:609433(588) ack 0 win 63958
19:33:32.325768 IP (tos 0x0, ttl 64, id 14864, offset 0, flags [DF], proto TCP (6), length 40) bosyak.socks > 192.168.0.99.4719: ., cksum 0x81cf (incorrect (-> 0x2ef5), ack 609433 win 276
19:33:32.325859 IP (tos 0x0, ttl 64, id 28006, offset 0, flags [DF], proto TCP (6), length 1500) 192.168.0.99.4719 > bosyak.socks: . 609433:610893(1460) ack 0 win 63958
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:36:37
savio
так может ipfw или не может фильтровать по length???
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:41:09
GRooVE
Могу ошибаться, но может добавить в правило ipfw "no-state" и добавить еще одно правило на входящий траффик?
Синтаксис точно не помню, юзаю pf, но, думаю, смысл понятен...
Re: ipfw и фильтрации по содержимому пакетов
Добавлено: 2009-06-16 19:48:29
savio
GRooVE писал(а):Могу ошибаться, но может добавить в правило ipfw "no-state" и добавить еще одно правило на входящий траффик?
Синтаксис точно не помню, юзаю pf, но, думаю, смысл понятен...
неа, смысл мне не ясен. не подскажите где почитать чего дает
no-state?