[Berlin-wireless] Blocken des P2P-Verkehrs mit gateway plugin?

tetzlav tetzlav
Di Dez 9 22:09:22 CET 2008


Ralf schrieb:
> Hallo Tezlav,
> 
> ich habe jetzt das eingebaut, was auf der Seite
> http://wiki.leipzig.freifunk.net/Diskussion:InternetGateway
> beschrieben ist, und das scheint ja genau Dein Paket zu sein, oder?

naja, nee - das ist nur die grundlegende Funktion und eben mit zu vielen
false-positives... nimm lieber das freifunk-p2pblock, das ist das Resultat der
dort beschriebenen Idee und wesentlich besser!


> Damit scheint es zu funktionieren.
> 
> Kann man mit dem Script eigentlich den p2p-traffic (auf Kommandozeile)
> anzeigen lassen?

mit dem Paket ja (logread -f)

wenn du bei dem startscript in den Zeilen das  "-m limit --limit 1/minute"
erhöhst oder löscht, dann siehst du alle verworfenen Paket im log...


Gruß
tetzlav





> 
> 
> Gruß, Ralf
> 
> 
> 
> tetzlav wrote:
>> Ralf schrieb:
>>  
>>> funktioniert das Blocken des P2P-Verkehrs eigentlich noch mit dem
>>> gateway-plugin? Ich habe irgendwie das Gefühl, dass bittorrent über
>>> meinen Gateway-Router weitergeleitet wird.     
>>
>> ich benutze das Gateway-Plugin nicht, ...
>>
>>  
>>> Habt Ihr eine Idee, was man
>>> da machen kann?
>>>     
>>
>> aber ich hatte mal ein kleines script für den Zweck gemacht und in ein
>> Paket
>> gepackt:
>> # echo 'src leipzig-dev
>> http://firmware.leipzig.freifunk.net/svn2ipkg/1/6/10' >
>> /etc/ipkg.conf
>> # ipkg update; ipkg install freifunk-p2pblock
>>
>> Ein bisschen konfigurieren _kann_ man das in der Datei
>> /etc/init.d/S82p2pblock,
>> aber sollte default nach einem Neustart funktionieren.
>>
>> Das ist script legt eine iptables-chain an und jagt dort alles Port
>> >1024 durch
>> und schaut mit level7 und ipp2p nach Müll.
>> Whitelisten kann man einzelne IPs über den nvram-Paramter
>> "ff_p2pblock_whitelist":
>> # nvram set "104.x.y.z;104.z.x.y" commit
>>
>> Sobald p2p-Traffic an eine IP beobachtet, wird das iptables modul
>> recent aktiv
>> und merkt sich die IP und Zeit. Wird innerhalb von 60s erneut Müll an
>> die IP
>> registriert, wird für die IP nur noch alles unterhalb von Port 1024
>> durchgelassen und der Rest geDROPed - bis 60s lang alles wieder schön
>> war. Das
>> komplizierte Vorgehen soll die false-positives vermindern und
>> funktioniert bei
>> mir hier schon seit einem Jahr problemlos...
>>
>> GUI gibts keine.
>>
>>
>> Gruß
>> tetzlav
>> _______________________________________________
>> Berlin mailing list
>> Berlin-mTCEgePynjodH7Fmxt7jhdHuzzzSOjJt at public.gmane.org
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>
>>   





Mehr Informationen über die Mailingliste Berlin