Je voudrais bloquer le p2P avec un analyseur de paquet.
J’ai pu bloquer l’accès et le téléchargement sur tous les serveurs (d’emule,bittorent…) de tous les logiciels p2p.
Pour ceux que ça intéresse j’ai installe la solution (licence payante 39$ pour bloquer un pc ou routeur c’est la solution pour ne payer qu’une licence) de IMFIREWALL. Il suffit d’avoir deux cartes réseaux sur un pc avec windows. Pour la config il faut modifier la règle du “high” et mettre bloquer tous les protocoles P2P ainsi que les protocoles inconnus. Il faut aussi aller ds la config des ip et mettre la plage de la seconde carte réseau.
exemple : Lan 1 : 192.168.1.2
Lan 2 : 192.168.2.2
alors la plage est : 192.168.2.1
Grâce à cette technique aucun serveur n’est accessible que ce soit avec brouillage de protocole ou autre.
Cette solution marche pour tous les logiciels qui utilise les protocoles P2P.(je precise emule n’est pas low id il ne peut pas se connecter meme si on modifie les ports)
Seulement avec emule, il y a un problème qui provient du kad. Le kad est le seul protocole qui arrive à marcher en low id. En fait j’aurais peut être la solution mais il faudrais que j’approfondisse mes recherches.Il s’agirait d’un analyseur de paquet comme wireshark mais qui pourrait bloquer certains paquets. Je ne sais pas si cela existe.
C’est pour cela que je vous écris.
Comment fais t’on pour bannir le KAD ?
Je tiens à préciser que je met en place cette solution pour un camping. Je possède une neufbox en bidge qui transmet à un linksys wrt54Gv2(qui s’occupe du nat et ou aucun port n’est ouvert à l’exception de 3, je suis obligé car les camera ip sont obligés de posséder des ports ouverts) connecté en ppoe. Ensuite il transmet internet à un pc portable qui lui possède les deux cartes réseaux avec imfirewall.
windows seven fait ca gratuitement. (tout les linux aussi)
il suffit de dropper tout les paquets de tout les protocoles … et d’activer les log.
tu regarde tout ce qui est droppé dans tes log comme ca tu sait exactement quel protocole est utilisé sur quel port et ensuite tu l’authorise (ou pas ^^)
sous linux ca se fait avec iptables, meme principe.
tu peut egalement avoir des regles distinctives selon les ip.
En gros ton analyseur de paquet c’est tes log du firewall.
tu drop tout (rien ne se connectera à rien)
et tu log tout ce qu’il drop!
tu matte tes log, tu authorise ce que tu veux.
tu a activé l’acces en telnet ou ssh a ton wrt54 ? pour aller voir tout ca.
Je ne suis pas sur d’avoir tout compris et encore moins de pouvoir résoudre le problème… :o
Mais:
la box est configuré en BRIDGE ?? elle se comporte comme un simple modem ? (je ne trouve pas cette option dans ma box sfr)
pourquoi aller de la box, sur le routeur, puis sur le PC portable ?
le PC portable avec IMFIREWALL sert de pare-feu ?
dans le camping tu veux faire quoi de cet accès internet ? le partager avec les campeurs ? le prendre comme réseau “privé” pour l’administration du camping ?
ce n’aurait pas été + judicieux de mettre le PC entre la box et le pare-feu (pour justement filtrer TOUT le réseau en ne payant qu’une licence ) ?
si c’est pour fournir un accès internet aux campeurs, tu vas émettre en WIFI ?
Ma box est configuré en bridge elle se comporte sen simple modem. C’est pour cela que j’ai mis mon linksys en tant que routeur et c’est donc lui qui gère le nat.
J’ai mis internet du routeur vers le pc puis vers des ap pour pouvoir installer imfirewall.
Imfirewall est un pare-feu qui me permet de bloquer certains protocoles.Dans mon cas il bloque le P2P.
Je suis entrain de mettre en place un partage d’internet pour les campeurs. Pour leurs acces c’est coova(firmware non officiel qui va sur un wrt54gl) qui gère la suite c’est à dire la page de redirection ainsi que les login pour pouvoir acceder à internet.
Il s’agit donc de fournir internet en wifi mais avec un login d’acces pour chaqun. Pour de ce qui est des login d’acces à internet tout est bon.
Par contre boss50 je n’ai pas tout compris à ta solution.
PS : j’ai oublier de préciser j’ai déja tester avec les iptables sur un dd-wrt mais tjrs meme problème le kad arrive à se connecter.
Merci pour vos réponses
Edité le 23/04/2010 à 14:47
tiens je connais pas ce firmware. vais aller jeter un oeil merci
par contre j’ai toujours pas compris ton architecture (mais j’ai souvent du mal a comprendre ces temps ci :D)
Neufbox —pppoe—port wan du wrt54
Jusque la j’ai tout bon?
Ton routeur il nat pour sortir sur internet et il est serveur dhcp sur les ports RJ et le Wifi (encore bon?)
Tu branche ton pc sur un port RJ et tu configure un firewall.
La deuxieme carte réseau elle va ou ?
Je crois comprendre ce que tu as en place mais si tu peux m’éclaircir ca serai cool (pour ma culture perso
Pour en revenir a ta question
En fait, avec iptable tu peut tout faire. (c’est vraiment énorme)
si tu bloque tout exemple:
iptables -A INPUT -i (l’interface que tu veux) -j DROP
je t’assure que rien ne se connectera ! pas un seul paquet ip ne sortira! (ils ne seront meme pas traités)
tu ne pinguera meme pu ton routeur, rien de chez rien!!!
d’ailleur si tu veux pas te priver toi meme l’acces a ton routeur tu as intérêt a mettre une règle qui t’authorise d’y acceder en plus de celle la, sinon t’es bon pour un reset du routeur ^^
fait “man iptables” sur google, et benit ce jour d’avoir découvert la toute puissance de cet outil !!
Edité le 23/04/2010 à 15:45
Pour de ce qui est de mon architecture c’est bon c’est ca mais apres pour le firewall je me suis peut etre mal exprimé.
Donc résumé : neufbox bridge ==> linksys port wan ==> linksys port lan ==> ordinateur1 ==> carte réseau numérp 1
Ordinateur : Lan 1 = internet via dhcp du linksys et partage internet à LAN 2 *
Lan 2 = transmet donc internet à coova(port wan) + IMFIREWALL
le fait de partager la connexion me permet d’acceder via la lan 2 à internet comme ci celle était directement connecté au linksys. L’avantage est que justement je peux filtrer les protocoles grâce à imfirewall. C’est pour cela que je suis obligé je transmettre à coova via la lan 2 sinon je n’aurais pas pu filtrer.
Coova : Wan = Lan 2 = dhcp du linksys avec le firewall qui filtre
Lan = transmet donc internet avec les logins et pages de rediraction aux aps
Pour de ceux qui est des iptables je viens de réesayer avec un dd-wrt et malheuresement il y a tjrs le kad qui se connecte en low id. J’ai également testé un tuto sur le site du dd-wrt pour bannir le kad mais impossible.
Peut être que je me suis trompé en entrant les iptables . On se co bien en telnet et on tape la commande ???
Sinon peut etre que cela vient du dd-wrt (mais j’en doute) sur le pc avec les deux cartes réseaux j’ai xp pro je ne sais pas si on peut faire la même technique qu’avec les iptables.
Un plus si tu veux tester coova surtout n’installe pas la beta9 . J’ai du récupérer mon routeur avec le tftp parce qu’il y a un bug au bout de qq heures on perd la connexion à l’interface de gestion.
la beta 8 je ne l’ai pas testé mais j’ai un firmware basé dessus qui pour l’instant marche.
la beta 7 je pense que c la plus stable pour le moment. Une fois que tu l’a installer surtout active le boot_wait.
ATTENTION : ne l’enconbre pas avec de nouveaux programmes et surtout pas ipkg car la mémoire flash du wrt54gl n’est pas suffisante et risque de ne plus booter.
Pour l’acces au routeur je m’en fais pas car ils n’ont pas acces il ya une option avec coova qui permet un filtrage mac pour pouvoir acceder au routeur.
Edité le 23/04/2010 à 17:37
Ne connaissant pas le soft je pourrai pas trop te guider malheureusement
(je me pencherai la dessus un de ces 4 ca m’intéresse ^^)
Ce que j’ai peur dans ton architecture c’est que les client soient directements routés et firewallisé par le wrt54 et bypassent completement ton IMFIREWAL…
tu es sur que ce n’est pas le cas ?
tu as essayer de tout bloquer avec IMFIREWALL? si tu bloque tout ils ne peuvent pas avoir le web…
si ils l’ont quand meme faudra se poser des questions :icon_biggrin:
mais si c’est bon,
pourquoi tu ne leur laisse pas uniquement le port tcp en 80 dans IMFIREWALL? pages web et point barre…
Non je suis sur qu’ils passent par imfirewall j’ai fait des tests ca c’est ok
J’ai déja essayé meme avec les iptables de laisser uniquement les ports 80, 443 et smtp mais le problème c’est que ce foutu KAD passe quand meme. D’ou mon idée de mettre un analyseur de paquet mais jusqu’à ce jour je n’ai pas trouver d’analyseur de paquet qui puissent bloquer certains paquets spécifiques.
le problème de ce kad c’est qu’il augmente considérablement le ping heureusement pas le débit. Mais le fait que le ping soit très haut, je vous ai dis plus haut j’ai des camera ip pivotante à distance, elles sont très longues à réagir. Alors que si je leur coupe internet la camera pivote immédiatement c’est instantanée.
exemple ping sans internet en hotspot : 74 ms débit 2mo en dwl et 0.8 en upl
avec internet en hotspot : 696 ms débit 1.78mo en dwl et 0.698 en upl
je vois aussi que tu connais backtrack.Est ce que tu sais si il contient un prog spécialisé pour bloquer la mule.
Je voudrais bien bannir ce kad une fois pour toute.
Edité le 24/04/2010 à 11:41
J’aurais alors une autre question à vous poser.
Comment peut-on annuler une iptable ?
Je m’explique si je rentre une iptable sur mon routeur est ce que je peux l’effacer en telnet ou autre ?
Ma question est assez stupide mais je préfère ne pas prendre de risque.
Je re-confirme, en fait je vient de tester avec un autre routeur que je viens de flasher avec dd-wrt et effectivement le kad ne se co pas ainsi que la mule. Je vais approndir mes testes avec les autres programmes de P2P.
Par contre comme c’est pour un camping ils leurs faut un minimum de service comme envoyer des mails dialoguer avec skype et msn .
Ce serait sympa si tu pouvais me dire si cette liste correspond bien :
80,443,25,1863(msn),5050(yahoo messenger),110(pop3), 143(imap) et je pense qu’il n’a pas d’autres programmes qui sont utilisés par tous ?
Merci pour cette liste très complète.
Je viens de rajouter deux port skype (23399) et un pour l’imap 587 par contre j’ai vu plein d’autres port concernant le http.
Est ce que pour surfer on a besoin d’autres ports que le 80 ?
Les ports 3990 et 2084 sont acceptés pour que la redirection vers la page de hotspot s’affiche.
Un seul problème à cette solution : Quand je redemarre coova, les iptables ne fonctionnent plus. On dirait qu’elles ne sont pas sauvegardés . Comment faire pour qu’elles soient sauvegardées sur coova ?
nn en fait c un routeur avec dd-wrt qui s’occuper des iptables j’ai trouver comment faire pour les sauvegarder en fait il faut aller ds administration et dans shell puis sauvegarder pare-feu mais je viens de me rendre compte que le hotspot a une regle en iptables et je voudrais savoir si je peux rajouter ces régles comme ceci :
