[WLANware] Esel und andere p2p tauschboersen blocken

[Sirko Zidlewitz]

Hallo,

irgendwie hat der p2p-Block im gateway-Plugin bei den
meisten von uns im Brandenburger Freifunk-Netz nicht
funktioniert.

Da die Uplinks zum Schluß so dicht waren, daß nicht
einmal mehr surfen möglich war, haben wir jetzt
Tauschbörsen gesperrt. Dazu kam, daß nach dem Hamburger
Wifi-Urteil einige Uplinks abschalten wollten, wenn
wir p2p-Traffic nicht blocken. Kann ich auch verstehen,
den Kopf für andere hinhalten will keiner.

Ich weiss schon, was jetzt kommt. Blocken ist nicht schön,
aber eingeschränktes Internet ist besser als gar keins. 

Vor ner Weile kam hier der Vorschlag, das mit den
Layer7-Filtern aus dem iptables-mod-filter-Paket zu machen.
Daraus hab ich uns mal ein paar Regeln gebaut,
die so ganz gut funktionieren, p2p-Traffic ist als Thema
für uns erstmal abgehakt.
Gesperrt sind Edonkey, Bittorrent, Gnutella, 
Fasttrack(damit Kazaa, Morpheus, iMesh, Grokster, etc.).
Damit der Rechenzeitbedarf der L7-Regeln nicht überhand
nimmt, hab ich am Anfang die meistbenutzten Ports explizit
erlaubt, das kann jederman nach Bedarf erweitern.
Dämmt auch Blocking durch False Positives ein. Die paar
p2p-Pakete, die durch die expliziten Portfreigaben noch
durchrauschen, sind zu vernachlässigen.

Derzeit hab ich die Regeln einfach in die
/etc/init.d/S45firewall eingefügt. Anpassungen sind
nicht nötig, das Script dorthin zu kopieren, vorher
iptables-mod-filter zu installieren und ein Neustart 
reichen völlig.
http://datenklause.de/S45firewall
Das ist natürlich nicht so schön, gibts n Ort, an dem
man User-Firewall-Regeln plazieren kann?
Da ich nicht gerade iptables-Experte bin, ist
jeder Verbesserungsvorschlag willkommen.


Gruß
Sirko