[WLANware] Esel und andere p2p tauschboersen blocken

Sven-Ola Tuecke mail2news at commando.de
Fri Oct 6 12:24:11 CEST 2006 

Hi,

das Gatewaypaket ist von Marek. Evt. meldet der sich noch - ich hab' gehoert 
es soll funktionieren (und zwar mit der FFF-Testing). Ich wuerde aber nicht 
so einen Aufstand machen. Es sind immer dieselben. Ich wuerde einfach die 
MAC-Adresse eines Tauschboersen-Fans blocken (Beispiel findet sich in 
/etc/local.fw - auskommentiert). Der meldet sich dann schon. Mac-Adresse mit 
"cat /proc/net/arp" herausfinden und Ruhe ist.

Grusz, Sven-Ola

"Sirko Zidlewitz" <sz at bytecamp.net> schrieb im Newsbeitrag 
news:20061006100308.GA37354 at kallisti.bytecamp.net...
Hallo,

irgendwie hat der p2p-Block im gateway-Plugin bei den
meisten von uns im Brandenburger Freifunk-Netz nicht
funktioniert.

Da die Uplinks zum Schluß so dicht waren, daß nicht
einmal mehr surfen möglich war, haben wir jetzt
Tauschbörsen gesperrt. Dazu kam, daß nach dem Hamburger
Wifi-Urteil einige Uplinks abschalten wollten, wenn
wir p2p-Traffic nicht blocken. Kann ich auch verstehen,
den Kopf für andere hinhalten will keiner.

Ich weiss schon, was jetzt kommt. Blocken ist nicht schön,
aber eingeschränktes Internet ist besser als gar keins.

Vor ner Weile kam hier der Vorschlag, das mit den
Layer7-Filtern aus dem iptables-mod-filter-Paket zu machen.
Daraus hab ich uns mal ein paar Regeln gebaut,
die so ganz gut funktionieren, p2p-Traffic ist als Thema
für uns erstmal abgehakt.
Gesperrt sind Edonkey, Bittorrent, Gnutella,
Fasttrack(damit Kazaa, Morpheus, iMesh, Grokster, etc.).
Damit der Rechenzeitbedarf der L7-Regeln nicht überhand
nimmt, hab ich am Anfang die meistbenutzten Ports explizit
erlaubt, das kann jederman nach Bedarf erweitern.
Dämmt auch Blocking durch False Positives ein. Die paar
p2p-Pakete, die durch die expliziten Portfreigaben noch
durchrauschen, sind zu vernachlässigen.

Derzeit hab ich die Regeln einfach in die
/etc/init.d/S45firewall eingefügt. Anpassungen sind
nicht nötig, das Script dorthin zu kopieren, vorher
iptables-mod-filter zu installieren und ein Neustart
reichen völlig.
http://datenklause.de/S45firewall
Das ist natürlich nicht so schön, gibts n Ort, an dem
man User-Firewall-Regeln plazieren kann?
Da ich nicht gerade iptables-Experte bin, ist
jeder Verbesserungsvorschlag willkommen.


Gruß
Sirko


_______________________________________________
WLANware mailing list
WLANware at freifunk.net
Abonnement abbestellen? -> https://freifunk.net/mailman/listinfo/wlanware

Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung 
unter http://freifunk.net/mailinglisten

More information about the WLANware mailing list