Peer-to-Peer... aiuto!

[Asimov]

Ciao,
devo cercare un modo per evitare che i dipendenti dell'azienda non usino software peer-to-peer tipo Kazaa, EDonkey, bittorrent.
Qualche indizio? Non ho proprio tempo di leggermi le specifiche dei protocolli...

[TheIrish]

Il metodo più efficace è indubbiamente utilizzare un proxy trasparente in modo da autorizzare solo i protocolli che desideri.
Visto il forum nel quale la domanda è stata inserita, mi sembra di capire che la modifica vada apportata a un router.
Con le access lists, il risultato è buono per la gran parte dei software peer-to-peer.
Consideriamo questa topologia:

Dipendentemente dal router in questione, i filtri agiranno analizzando indirizzi ip o interfacce.
Prima di tutto, è necessario negare categoricamente ai client di uscire da porte inferiori alla 1024.

Codice: Seleziona tutto

access-list 100 tcp deny 192.168.1.0 0.0.0.255 range 1 1023 any

Mi raccomando, I server potrebbero dover uscire da una di quelle porte, quindi occhio!
Poi è necessario bloccare le porte specifiche.
e-doneky, overnet:

Codice: Seleziona tutto

access-list 100 deny tcp any eq 4662 any
access-list 100 deny tcp any any eq 4662
access-list 100 deny udp any any eq 9126

stessa cosa da fare con Kazaa con TCP/1214.
Per bittorrent... ci sto lavorando...

[BallBreaker]

Per quanto riguarda Bittorrent basta negare la porta di destinazione 6969 che è quella di default per i tracker.

Ulteriori informazioni (in Inglese) sono disponibili qui:
http://dessent.net/btfaq/#ports

[Asimov]

fighissimo!
adesso anche bittorent è a posto!
grazie

[vectorx]

Salve a tutti, io non riesco a bloccare eDonkey con una semplice acl. In particolare EMule continua a negoziare nuove connessioni, non sempre usando le classiche 4462 o 4672. Alla fine ho provato con qualcosa tipo:

access-list 111 deny tcp any gt 1024 any gt 1024

...ma qualcosa ci scappava comunque!!

Ed in più mi costringeva ad andare a specificare altre linee di acl precedenti per altri protocolli che volevo permettere (non uno o due, molti). Ho provato anche le policy-map di NBAR, scaricando i pdlm aggiornati ma non ho avuto molta soddisfazione.

Idee???

[Samba84]

access-list 111 deny tcp any gt 1024 any gt 1024

Non ho capito bene questa acl.

Codice: Seleziona tutto

BLOCCA OGNI TCP CON PORTA MITTENTE MAGGIORE A 1024 E PORTA RICEVENTE MAGGIORE A 1024

Dove applichi questa acl? Dialer? Ethernet? In? Out? E di conseguenza, qual è la policy di default? Deny any o permit any?

[TheIrish]

Bloccare eDonkey pensando di bloccare le porte usate dai client all'interno della nostra LAN non porta a grandi risultati. Bloccare i pacchetti che escono dalla nostra LAN non è una soluzione perché la porta in uscita può essere sostituita con una meno nota. Bloccare i pacchetti in entrata è una buona soluzione: gli "avventori" non sanno quale porta si sta usando all'interno.
Quindi, in pseudocodice:

SCARTA TUTTI I PACCHETTI DA QUALSIASI PROVENIENZA CON PORTA 4662 D'ORIGINE

applicata all'interfaccia dialer o atm dovrebbe sortire buoni risultati, senza dimenticare che i client non possono uscire con porte inferiori alla 1024 né possono ricevere dati indirizzati porte inferiori alla 1024, provenienti da internet.
Soluzione quindi? Non proprio, qualcosa potrebbe ancora filtrare per pura casualità.
Ci potrebbero essere alcuni host che usano porte diverse dalle 4662, ma eDonkey è un network basato sui grandi numeri, e quattro gatti che filtrano rendono il mezzo inaccessibile.
Se cerchi la soluzione definitiva, non la troverai in un router ma in un proxy, magari trasparente e magari basato su linux (Squid) ma questa è un'altra storia.
Se vuoi maggiori informazioni su squid, posta un thread nel forum dedicato a linux.
In bocca al lupo!