作者 主題: 如何用iptables 阻擋內部人員使用edonkey.............急!  (閱讀 9066 次)

0 會員 與 1 訪客 正在閱讀本文。

flydolphin

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
請問各位先進
如何用iptables 阻擋內部人員使用edonkey.............急!



現在努力在K iptables howto,但上司逼的很急,要今天處理玩,所以請求各位先進幫幫忙

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
如果要阻止, 小弟推薦一種做法, 讓您參考一下...

首先將所有通道關閉, 將所有通過的規則DENY;  再來只開放port80等大家認同使用的部分, 最後就是MIS偷偷實驗是否還連的上作為驗收.
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

beethobear

  • 鑽研的研究生
  • *****
  • 文章數: 539
    • 檢視個人資料
引述: "flydolphin"
請問各位先進
如何用iptables 阻擋內部人員使用edonkey.............急!



現在努力在K iptables howto,但上司逼的很急,要今天處理玩,所以請求各位先進幫幫忙


eDonkey 的port 為
tcp 4661、4662

kuro
tcp 6677、6699

KaZza
TCP 1214
BEETHOBEAR  !!
--------------------------------------------------------

jerryhuang

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
edonkey 系列的軟體可以調 port,只是可能會得到 Low ID 影響下載的來源數而
已。建議針對他們的 server 來檔,這樣連不上去自然就無法得到檔案的來源了。
其實你可以用ntop來找出他們最常去的幾個 server ,再把那些個 server 擋掉就差不多了,因為大的 server 沒幾個。多看一下資料多擋幾個 server 就不信他們還能抓什麼。你自己玩一下就知道了

【亞洲鴕鳥】

  • 懷疑的國中生
  • **
  • 文章數: 65
    • 檢視個人資料
這種東西可不可以利用OSI Level 7的封包篩選技術達成防範?

flydolphin

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
For All
« 回覆 #6 於: 2003-06-26 09:37 »
感謝大家的建議,我就用檔Server的方法
THAKS

beethobear

  • 鑽研的研究生
  • *****
  • 文章數: 539
    • 檢視個人資料
引述: "jerryhuang"
edonkey 系列的軟體可以調 port,只是可能會得到 Low ID 影響下載的來源數而
已。建議針對他們的 server 來檔,這樣連不上去自然就無法得到檔案的來源了。
其實你可以用ntop來找出他們最常去的幾個 server ,再把那些個 server 擋掉就差不多了,因為大的 server 沒幾個。多看一下資料多擋幾個 server 就不信他們還能抓什麼。你自己玩一下就知道了



我自己也在玩edonkey
SERVER很多耶!
檔案數超過十萬的就有數百個
百萬千萬的也不少

edonky是可以調PORT
但是您總不能叫SERVER也調吧
大家大部分還是用標準PORT
雖然有部分站喜歡UNDERGROUND一點  :P

我還是建議擋PORT讓他變成LOWID
通常變LOWID後就跟殘障沒兩樣


呵呵
個人意見
 :wink:
BEETHOBEAR  !!
--------------------------------------------------------

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
其實我比較認同三子的觀念, 寫 firewall rule 的 concept 這樣才正確....

檔 port 擋 server ?? 你會發現到最後你的 rules 會越來越大, 越來越不好維護, 時間一久, 就一定會出問題.....

先將 policy DENY all, 再開需要用到的 80,22,110,25....等 port, 這樣是最不易出錯的方式....以後維護也方便些

hsc85

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
:o

我用emule
lowid檔案照樣下載


 :o

beethobear

  • 鑽研的研究生
  • *****
  • 文章數: 539
    • 檢視個人資料
引述: "hsc85"
:o

我用emule
lowid檔案照樣下載


 :o


速度跟Queue Place差很多吧
BEETHOBEAR  !!
--------------------------------------------------------

beethobear

  • 鑽研的研究生
  • *****
  • 文章數: 539
    • 檢視個人資料
引述: "adersun"
其實我比較認同三子的觀念, 寫 firewall rule 的 concept 這樣才正確....

檔 port 擋 server ?? 你會發現到最後你的 rules 會越來越大, 越來越不好維護, 時間一久, 就一定會出問題.....

先將 policy DENY all, 再開需要用到的 80,22,110,25....等 port, 這樣是最不易出錯的方式....以後維護也方便些


都是一體兩面
要先DENY ALL再一個一個開
或是Accept ALL再一個一個擋
看個人需求吧

觀念有了
知道軟體進出的模式
就自由發揮吧
BEETHOBEAR  !!
--------------------------------------------------------

hsc85

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
引述: "beethobear"
引述: "hsc85"
:o

我用emule
lowid檔案照樣下載


 :o


速度跟Queue Place差很多吧



 :x  :x  :x  :x  :x  :x  :x  :x  :x  :x
高id也是一樣
上傳總是比下載多
用驢子真是累

beethobear

  • 鑽研的研究生
  • *****
  • 文章數: 539
    • 檢視個人資料
引述: "hsc85"
引述: "beethobear"
引述: "hsc85"
:o

我用emule
lowid檔案照樣下載


 :o


速度跟Queue Place差很多吧



 :x  :x  :x  :x  :x  :x  :x  :x  :x  :x
高id也是一樣
上傳總是比下載多
用驢子真是累


參數調一下
然後下載完搬走
會好很多吧

上傳是不會比下載多的
就可用頻寬而言
記得是1:5

呵呵
討論討論別生氣
BEETHOBEAR  !!
--------------------------------------------------------

flydolphin

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
For All
« 回覆 #14 於: 2003-06-26 11:41 »
感謝大家的意見,看了大家的建議,那就用Deny All,再足一開放


THAKS ALl

徐義

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
夠狠的話

全部擋掉

只剩proxy讓user可出去這條路

公司收發信只準用公司的伺服器


ㄎㄎ

不過我沒那麼狠啊

我適用CBQ來信頻寬

flydolphin

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
可否單獨讓內部某個IP只能瀏覽網頁而已

jerryhuang

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
像我們公司的作法就是 web,mail 二 個可用而已,有其他需求就提出申請,方便控制網路資源,另外有異常流量的就會被警告。
你也可以像這樣子做,但仍無法完全擋住 edonkey...之流的軟體。因為他們頂多晚上開一整晚,雖然是 low ID 但慢慢抓也爽。
這時可以用 CA eTrust or ntop 之類的軟體來找出誰是那個抓不完的人。提出警告或著是被動的找出他所習慣連接的 server 來擋住他..再不然三不五時就偷偷的把那個傢伙的網路線拿掉,然後說他因為抓一些有的沒的..所以造成網路和機器的問題..誰叫你用的是 MS 的os 呢!不然幫你換成 linux 的要不要?
再不然就故意放個病毒在公司然後說是他抓下來的東西所造成的..要他自己看著辦
對了以前我們的電腦中毒還要罰三百元呢?
反正這和網路安全一樣是一場打不完的戰爭...除非把網路線 cut 掉。

flydolphin

  • 懷疑的國中生
  • **
  • 文章數: 31
    • 檢視個人資料
謝謝大家的意見,那用頻寬分配的方法會不會比檔Port或檔Server更有效率。
是否可介紹哪些套件與安撞設定網站

sand

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
引述: "flydolphin"
可否單獨讓內部某個IP只能瀏覽網頁而已


可啊, 假設在NAT環境下

iptables -I FORWARD -s 某個IP -j DROP
iptables -I FORWARD -s 某個IP -m multiport --destination-ports 80,8080 -j ACCEPT

8080 是開給http proxy 啦, 可以不開就直接accept 80

hmm 理論上是這樣作啦...

neil_mio

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
引述: "ericshei"
firewall政策改成正向列表試試!

http://redhat.ecenter.idv.tw/bbs/showthread.php?s=d7cc5718f96a86437f231380c04b6e4c&threadid=43225&highlight=edonkey



此文章以拜讀過了,文中提到的上下行速度究竟是如何設定的呢?是指對外的嗎?內部仍然可以用回 100Mbps 的嗎? 想請教各位學長!

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
引述: "neil_mio"
引述: "ericshei"
firewall政策改成正向列表試試!

http://redhat.ecenter.idv.tw/bbs/showthread.php?s=d7cc5718f96a86437f231380c04b6e4c&threadid=43225&highlight=edonkey



此文章以拜讀過了,文中提到的上下行速度究竟是如何設定的呢?是指對外的嗎?內部仍然可以用回 100Mbps 的嗎? 想請教各位學長!


search keyword CBQ