Hallo Leute,
ich habe für den Router jetzt ein Traffic-Shaping eingerichtet, um bestimmte Dienste in der Bandbreite zu begrenzen. Insbesondere will ich damit P2P Clients (Kazaa, eDonkey und Konsorten) abwürgen. Nun funktioniert das Begrenzen wirklich gut, wovon ich mich z.B. mit Port 80 überzeugen konnte. Nun suche ich aber nach einer Aufstellung der Ports, die die o.g. gängigen Fileshareing-Clients benutzen. Das einzige was ich in dieser Richtung gefunden habe ist die Info, dass der Standard-Port von Kazaa wohl 1214 ist. Allerdings scheint das nicht der einzige oder nicht der Richtige zu sein, denn Kazaa funktioniert munter weiter. Kann mir jemand dazu genauere Infos geben?
Beste Grüße, Matthias
Kann mir jemand dazu genauere Infos geben?
schau mal unter:
http://helpdesk.rus.uni-stuttgart.de/~rustomfi/Firewalls/Grundlagen/peer.htm...
dort hast du jedenfalls eine kleine Auswahl. Ansonsten einfach mal googlen.
Frank
Hallo Frank,
On Thu, Jan 09, 2003 at 06:59:25AM +0100, Frank Wenzke wrote:
schau mal unter: http://helpdesk.rus.uni-stuttgart.de/~rustomfi/Firewalls/Grundlagen/peer.htm... dort hast du jedenfalls eine kleine Auswahl. Ansonsten einfach mal googlen.
Danke, das habe ich gesucht. Vor dem Sperren von Port 1214 wird dort aber gewarnt, weil einige Systeme/Programme diesen zum Aushandeln dynamischer Portvergaben verwenden. Damit ist doch aber nicht der Portmapper unter Linux gemeint?
Matthias
Hi Matthias!
On Thu, Jan 09, 2003 at 01:18:29AM +0100, Matthias Petermann wrote:
bestimmte Dienste in der Bandbreite zu begrenzen. Insbesondere will ich damit P2P Clients (Kazaa, eDonkey und Konsorten) abwürgen. Nun
Bei vielen P2P-Clients läßt sich die Portnummer auch manuell einstellen. Vielleicht sperrst Du erstmal alles und läßt nur einzelne Dienste durch. Eine nette Liste findest Du in "/etc/services".
Bert
Hi,
* Bert Lange [03-01-09 21:15:24 +0100] wrote:
Bei vielen P2P-Clients läßt sich die Portnummer auch manuell einstellen. Vielleicht sperrst Du erstmal alles und läßt nur einzelne Dienste durch.
Sollte man das nicht grundsaetzlich machen, wenn man schon Firewalls nutzt?
Eine nette Liste findest Du in "/etc/services".
Hmm, die habe ich noch auf keinem Rechner vollstaendig gesehen. Die vollstaendige Liste gibbet im Netz:
http://www.iana.org/assignments/port-numbers
bye, Rocco
Am Fre den 10 Jan 2003 um 03:30:01 +0100 schrieb Rocco Rutte:
Hi,
- Bert Lange [03-01-09 21:15:24 +0100] wrote:
Bei vielen P2P-Clients läßt sich die Portnummer auch manuell einstellen. Vielleicht sperrst Du erstmal alles und läßt nur einzelne Dienste durch.
Sollte man das nicht grundsaetzlich machen, wenn man schon Firewalls nutzt?
Siescher, siescher, ich bezweifle nur, daß das ausreicht. Edonkey kann z.B. sogar in masquerierten Netzen betrieben werden, wo von außen also keiner aktiv einen Port zu dem Client öffnen kann.
Wenn du also alles sprerrst (incoming), hast du immer noch nichts gewonnen. Du müsstest also den Clients nur selektiv Verbindungen zu bestimmten Ports auf entfernten Rechnern erlauben (outgoing).
Das verbieten von well-known Zielports bringt auch nicht viel, da inzwischen die meisten Clients und Server eh andere Werte benutzen. Die P2P Clients sind dir also einen Schritt voraus.
andre
Hi,
* Andre Schulze [03-01-10 15:45:18 +0000] wrote:
Edonkey kann z.B. sogar in masquerierten Netzen betrieben werden, wo von außen also keiner aktiv einen Port zu dem Client öffnen kann.
Depends. Zumindest habe ich den Eindruck, dass man auch seitens der P2P-Betreiber dagegen etwas tun will. Ich habe, wie an anderer Stelle gesagt, selten Zugriff auf P2P-Clients, aber "LowId" (-> Google) scheint unter den eDonkey-Juengern wohl ein echtes Problem zu sein: der Server kann den Client nicht direkt kontaktieren (zumindest halte ich das fuer die Ursache des Problems). Aber ich habe den Esel - andererseits - auch schon ohne Portforwarding & Co. "rennen" sehen.
Wenn du also alles sprerrst (incoming), hast du immer noch nichts gewonnen. Du müsstest also den Clients nur selektiv Verbindungen zu bestimmten Ports auf entfernten Rechnern erlauben (outgoing).
Selbst dann kannst du dir nicht sicher sein, ob mit IP:80 wirklich auch HTTP gesprochen wird. Man hat als Zahler der Bandbreite einfach verloren. DMZ mit Zwangsproxies faellt mir da als einzig sinnvolle Massnahme ein, solange nicht ueber das auf den Proxies verwendete Protokoll getunnelt werden kann.
Und wenn die User dann Filesharing via FTP machen... ;-)
Aber: Apropos P2P und eMule. Was Google so an Infos zu diesem eDonkey2000-Protkoll hergibt ist duerftig, weil es dazu keine richtige Spezifikation gibt. Mit eMule gibt es aber einen OpenSource-Client, der in C++ geschrieben ist. Das muesste sich doch eigentlich mit endlichem Aufwand nach QT (...und damit Unix/Linux) portieren lassen... ;-)
bye, Rocco
On Fri, 10 Jan 2003 03:30:01 +0100, Rocco Rutte wrote:
Bert Lange [03-01-09 21:15:24 +0100] wrote:
Vielleicht sperrst Du erstmal alles und läßt nur einzelne Dienste durch.
Sollte man das nicht grundsaetzlich machen, wenn man schon Firewalls nutzt?
Wenn du wirklich weisst, was auf der Kiste abgeht und was du willst, kannst du genausogut gezielt sperren wie gezielt freischalten. Die Ergebnisse sind dann identisch. Bei der ersten Variante musst du nur damit leben koennen, dass dich jeder selbsternannten Profi als Depp hinstellt.
Reinhard
Hi Matthias, HI Liste,
Edonkey/eMule hat die Ports 4662 und 4663 tcp. Wenn du ganz sicher gehen willst sperrst du auch noch jeweils 5 Ports drüber und 5 Ports drunter.
Gruss
Julius
Am Donnerstag, 9. Januar 2003 01:18 schrieb Matthias Petermann:
Hallo Leute,
ich habe für den Router jetzt ein Traffic-Shaping eingerichtet, um bestimmte Dienste in der Bandbreite zu begrenzen. Insbesondere will ich damit P2P Clients (Kazaa, eDonkey und Konsorten) abwürgen. Nun funktioniert das Begrenzen wirklich gut, wovon ich mich z.B. mit Port 80 überzeugen konnte. Nun suche ich aber nach einer Aufstellung der Ports, die die o.g. gängigen Fileshareing-Clients benutzen. Das einzige was ich in dieser Richtung gefunden habe ist die Info, dass der Standard-Port von Kazaa wohl 1214 ist. Allerdings scheint das nicht der einzige oder nicht der Richtige zu sein, denn Kazaa funktioniert munter weiter. Kann mir jemand dazu genauere Infos geben?
Beste Grüße, Matthias
Hi,
* Julius Bloch [03-01-09 21:45:13 +0100] wrote:
Edonkey/eMule hat die Ports 4662 und 4663 tcp. Wenn du ganz sicher gehen willst sperrst du auch noch jeweils 5 Ports drüber und 5 Ports drunter.
Der Server hat 4663, der Client 4662. Allerdings laesst sich das variabel einstellen. Ich weiss nicht, ob die jetzt alle neue Server-Software benutzen, aber wenn ich mir mal Logs anschauen darf, dann sieht das so aus, als wuerden Server die Anmeldung nur dann zulassen, wenn sie explizit auf den anfragenden Client connecten koennen. Das war 'mal anders, IIRC.
bye, Rocco
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Bert Lange -
Frank Wenzke -
Julius Bloch -
Matthias Petermann -
Reinhard Foerster -
Rocco Rutte