ubuntuusers.de

Hallo,
ich habe ein kleineres Netzwerk, das über den Routing-Server ins Internet (via DSL) geht. Ich möchte nun, dass die Nutzer nur noch Surfen (http/ftp) und E-Mail (imap,pop3,smtp) verwenden können. Das Hauptaugenmerk liegt darauf, dass auf keinen fall Filesharing-Programme verwendet werden können. Wie kann ich das einrichten?, welche Möglichkeiten gibt es? ich würde es z.B. auch in betracht ziehen einen Proxy einzurichten, falls das dann meinen Ansprüchen gerecht wird. Ich bitte um Anregungen wie ich mein Problem lösen kann.

MfG Matthias

ugbte hat geschrieben:

Hallo,
ich habe ein kleineres Netzwerk, das über den Routing-Server ins Internet (via DSL) geht. Ich möchte nun, dass die Nutzer nur noch Surfen (http/ftp) und E-Mail (imap,pop3,smtp) verwenden können. Das Hauptaugenmerk liegt darauf, dass auf keinen fall Filesharing-Programme verwendet werden können. Wie kann ich das einrichten?, welche Möglichkeiten gibt es? ich würde es z.B. auch in betracht ziehen einen Proxy einzurichten, falls das dann meinen Ansprüchen gerecht wird. Ich bitte um Anregungen wie ich mein Problem lösen kann.

MfG Matthias

Hallo,
du könntest bspw. alle Ports außer
20/21 für FTP
80 für HTTP
25 für SMTP
110 für POP3
143 für IMAP
443 für SSSL-HTTP
993 für SSL-IMAP
blocken.

Port_(Protokoll)
Gruß

Überlege Dir zu erst welche Leute in dem Netzwerk sind und über welches Grundwissen sie verfügen.

Wenn die Leute Ahnung von EDV haben so können sie z.B. selbst über einen HTTP-Proxy der nur HTTP/HTTPS auf Port80/443 erlaubt z.B. SSH (incl. SSH-VPN) übertragen.

Hallo,
ich habe ein kleineres Netzwerk, das über den Routing-Server ins Internet (via DSL) geht. Ich möchte nun, dass die Nutzer nur noch Surfen (http/ftp) und E-Mail (imap,pop3,smtp) verwenden können. Das Hauptaugenmerk liegt darauf, dass auf keinen fall Filesharing-Programme verwendet werden können. Wie kann ich das einrichten?

Wem gehört denn was?
Wenn Dir alle Rechner gehören, dürfte das kein problem sein.
Wenn Dir nur ein Rechner+Server gehören, ist das nur sehr schwer zu realisieren (Ports können anders genutzt werden, Protocol obfuscation etc.).

tja gut soweit erstmal danke für die antworten - die beiden lösungen hatte ich mir soweit auch schon überlegt ☺ das problem ist wenn ich nur die ports
20/21 für FTP
80 für HTTP
25 für SMTP
110 für POP3
143 für IMAP
443 für SSSL-HTTP
993 für SSL-IMAP
öffne wäre mein problem (fast) gelöst. Leider verwendet Bittorrent (so weit ich weiß) port 80. Das wäre dann immernoch möglich. Und wenn ich den Proxy verwende, dann kann ich ja nicht mehr mit Mails arbeiten. Seh ich da was falsch bzw. würden sich beide Lösungen vereinen lassen - einen Proxy für http verwenden durch das es dann nicht mehr möglich sein sollte Bittorrent zu verwenden ... *helpless* 😉

Für die Kommunikation mit dem Tracker (Server) nutzt der Client Port 6969 (TCP Incoming / Outgoing) und die Ports 6881-6889 (TCP Incoming / Outgoing) um mit anderen Clients zu kommunizieren. Für ein- und ausgehende Verbindungen (Outgoing) nutzt er freie Ports zwischen 1025-65535 (diese freizuschalten ist in der Regel nicht nötig). Um Bittorrent optimal nutzen zu können, mußt Du die Ports in deiner Firewall freischalten oder im Router forwarden.

http://bt-faq.de/#ss2.2

Gruß

ugbte hat geschrieben:

Leider verwendet Bittorrent (so weit ich weiß) port 80.

Bittorrent und soweit ich weiß auch alle anderen Filesharing-Dienste bzw. Protokolle funktionieren auf jedem beliebigen Port! Das nötige Wissen und "kriminelle" Energie (womit ich meine, gegen Deine Vorschriften zuverstossen, nicht notwendigerweise illegal im Sinne des Strafrechts) vorrausgesetzt, lassen sich alle entspr. Programme dahingehend einstellen.

Dennoch würde ich Dir eine Sperre alle Ports, die nicht benötigt werden empfehlen, aber eine "wasserdichte" Lösung ist das nicht, dass sollte Dir klar sein.

Wenn Du Filesharing komplett unterbinden möchtest, bleibt nur eine Proxylösung mit eingehender Protokollanalyse und Filterung. (Das hat aber nur Sinn, wenn Du verschlüsselte Verbindungen (inkl. TLS bzw. SSL) verbietest! Bittorrent kann seinen kompletten Traffic nämlich verschlüsseln!

Monos

Dauerbaustelle hat geschrieben:

Für die Kommunikation mit dem Tracker (Server) nutzt der Client Port 6969 (TCP Incoming / Outgoing) und die Ports 6881-6889 (TCP Incoming / Outgoing) um mit anderen Clients zu kommunizieren. Für ein- und ausgehende Verbindungen (Outgoing) nutzt er freie Ports zwischen 1025-65535 (diese freizuschalten ist in der Regel nicht nötig).

Der Incoming TCP-Port 6881-6889 läßt sich in allen BT-Clienten modifizieren. (Wird auch in jedem entspr. Forum empfohlen, da diese Ports bei vielen Providern bereits gedrosselt wird.)

Auch der Trackerport wird oft modifiziert.

Eine weitere Möglichkeit Bittorrent-Nutzer zu identifizieren wäre wohl die Überwachung der Verbindungsanzahl, denn BT-Clients bauen extrem viele gleichzeitige Verbindungen zu Hunderten Ziel-IPs auf, während normales Surfen normalerweise nur 10-20 HTTP-Verbindungen erzeugt. Leider muss ich passen, wenn Du mich fragst, wie man das in einer Firewall per Regel einbaut.

Monos

Und dazu noch das maximale Loading pro Sekunde herabsetzen, etwa auf 500 kbps...

oke danke - das wird mir wohl genügen um mein netz zu sichern

grüße

Wobei mir gerade noch einfällt:
Bittorrent-Nutzung läßt sich auch noch recht effektiv erschweren, indem man die "bekannten Verdächtigen", eben alle BT-Link-Farmen/Tracker, z.B. ThePiratebay.org usw. etc. pp. sperrt! Wenn Du bei Piratebay.org mal im Forum stöberst, dort gab es neulich einen Sammelthread zum Thema: Liste aller BT-Link/Suchmaschinen-Sites. Damit hättest Du dann gleich eine recht umfangreiche Blacklist. 😈

Monos

bleibt nur eine Proxylösung mit eingehender Protokollanalyse und Filterung.

Gilt desweiteren auch für aMule:

Protocol Obfuscation is a feature which causes eMule to obfuscate or "hide" its protocol when communicating with other clients or servers. Without obfuscation, each eMule communication has a given structure which can be easily recognized and identified as an eMule packet by any observer. If this feature is turned on, the whole eMule communication appears like random data on the first look and an automatic identification is no longer easily possible. This helps against situations were the eMule Protocol is unjustly discriminated or even completely blocked from a network by identifying its packets.