Ogolna zasada
Ogolna zasada jes taka
1).
wylawiamy pakiety zawierajace jakies charakterystyczne dla
danego "zapychacza" dane -> np. "X-Kazaa-Username:"
2).
z tych "wylowionych" pakietow budujemy za pomoca ipt_recent
dynamiczna liste adresow IP serwerow kazyy, lub sciagaczy z LAN'u
3).
majac juz liste adresow mozemy wedle uznania blokowac,
lub przycinac transfer za pomoca cbq/htb/itp.
warto looknac tez na
http://mr0vka.eu.org/docs/tlumaczenia/netf...nsions-big.html
Cytat:
iptables -A FORWARD -m recent --name kazaa --rcheck --seconds 60 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m string --string 'X-Kazaa-Username:' -m recent --name kazaa --set -j DROP
jest tez opcja z wlacznikiem/wylacznikem czasowym:
Cytat:
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -m time --timestart 08:00 --timestop 22:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -m string --string 'X-Kazaa-Username:' -j DROP
Do tego potrzebny jest jeszcze ipt_time modul
jezeli pojawi sie problem typu:
Cytat:
iptables v1.2.6a: Couldn't load match `recent':/lib/iptables/libipt_recent.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.6a: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory
to trzeba potraktowac kernel patch-o-matic'iem,
zrekompilowac kernel, a nastepnie zrekompilowac iptables.
wszystko jest na
www.netfilter.org
