Bueno, casualmente ayer encontré en el repo de centos.alt.ru los rpm para utilizar fácilmente, sin sudor ni lágrimas el ipp2p.
Aquí te explico cómo hacer desde la instalación del paquete hasta unas sugerencias para bloquear p2p.
Oh sí, porque ipp2p sirve para bloquear p2p, bueno no solamente para esto sino que también permite marcar estos paquetes para darles una prioridad más baja que los demás.
Instalación del repo alt:
Primero instala el repo de epel
Después instala el repo de alt
Instalación de paquetes de ipp2p:
Ahora sí:
yum --enablerepo=CentALT install ipt_ipp2p kmod-ipp2p kmod-connlimit kmod-ipmark kmod-netflow ipt_netflow
Entonces ya puedo hacer uso de él, puedes probar con:
iptables -m ipp2p --help
Te debe salir algo así:
iptables v1.3.5
Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--goto -g chain
jump to chain with no return
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe= try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.
IPP2P v0.8.2 options:
--ipp2p Grab all known p2p packets
--edk [TCP&UDP] All known eDonkey/eMule/Overnet packets
--dc [TCP] All known Direct Connect packets
--kazaa [TCP&UDP] All known KaZaA packets
--gnu [TCP&UDP] All known Gnutella packets
--bit [TCP&UDP] All known BitTorrent packets
--apple [TCP] All known AppleJuice packets
--winmx [TCP] All known WinMX
--soul [TCP] All known SoulSeek
--ares [TCP] All known Ares
EXPERIMENTAL protocols (please send feedback to: ipp2p@ipp2p.org) :
--mute [TCP] All known Mute packets
--waste [TCP] All known Waste packets
--xdcc [TCP] All known XDCC packets (only xdcc login)
DEBUG SUPPPORT, use only if you know why
--debug Generate kernel debug output, THIS WILL SLOW DOWN THE FILTER
Note that the follwing options will have the same meaning:
'--ipp2p' is equal to '--edk --dc --kazaa --gnu --bit --apple --winmx --soul --ares'
IPP2P was intended for TCP only. Due to increasing usage of UDP we needed to change this.
You can now use -p udp to search UDP packets only or without -p switch to search UDP and TCP packets.
See README included with this package for more details or visit http://www.ipp2p.org
Examples:
iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01
iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
Usando ipp2p:
Puedes ver más documentación aqui, pero mientras si andas de apuro puedes bloquear todo el p2p así:
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
iptables -t mangle -A FORWARD -m ipp2p --ipp2p -j DROP
iptables -t nat -A PREROUTING -p tcp -i eth1 -m ipp2p --ipp2p -j DROP
iptables -t nat -A POSTROUTING -p tcp -o eth0 -m ipp2p --ipp2p -j DROP
eth1 = mi interfaz interna (la LAN)
eth0 = mi interfaz externa (la WAN)
En howto aparte pondré la de l7proto
Comentarios
Muchisisimas gracias profe no
Muchisisimas gracias profe no sabes el trabajo que me ha tomado hacerlo a pata y ahora con los repos con un yum basta...
como siempre muy agradecido x lo q se aprende cada dia en este site!
Joder me estaba acordando lo que sufri para instalarlos a pata.. aca los post
http://www.ecualug.org/2008/09/03/forums/repos_de_ipp2p
http://www.ecualug.org/2008/05/29/forums/bloquear_skype
bueno de los q me acuerdo
Muy buena info, lo pondré a
Muy buena info, lo pondré a prueba ahora mismo ;)
Como dato el howto de la instalación del repo de Epel a mi me funcionó con:
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
http://poquiblog.blogspot.com/
hola xime sí así funciona
hola xime
sí así funciona pero ahora.. y cuando un día cambien los números de version? por eso prefiero hacerlo medio genérico, pero sí, fundamentalmente es así.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
han probado el ipp2p 0.8.2
han probado el ipp2p 0.8.2 con las versiones actuales de P2P.
El trafico cifrado del emule y el bittorrent pasa sin problemas.
Puedes hacer la prueba tratando de bloquear estos protocolos y veras que al final se conectan.
salu2
pues yo acabo de probar con
pues yo acabo de probar con el emule pero ni siquiera se conecta, claro luego de parchado con ipp2p de todos los q probe el unico q pasa todo es el skype para ese hay q usar el layer7
El punto es que el ipp2p
El punto es que el ipp2p bloquea el login, si ya había una conexión previa, esa se mantendrá. Ahi está la jugada.
sí, probé con amule y el amule no se conecta.. queda ahi tratando de conectarse.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
hola a mi no se me instala
hola a mi no se me instala nada ...
me sale este error
error: omitiendo http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm - transferencia fallida - Error inesperado o desconocido
por favor q podria ser, tengo centos 5..
sldos.
Pasion por Dios...
hola, lo que pasa es que epel
hola, lo que pasa es que epel de vez en cuando actualiza su versión del rpm, ahora va por la 5.4 que recién actualizaron hace unos días.
mejor buscale la última versión aqui:
http://download.fedora.redhat.com/pub/epel/5/i386/repoview/epel-release.html
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Alguien ha probado bloquear
Alguien ha probado bloquear el ares, por acá pasa sin problemas, saludos si alguien me puede dar una "mano".
Vamos Ecuador, si se puede
pues yo he probado instalado
pues yo he probado instalado el ipp2p y no funca, lo bloquea a la perfeccion!!
Páginas