Vlákno názorů k článku Téměř úplně (ne)omezený Eurotel Data Expres od Mirek Petricek - Docela bych si někde velice rád dočetl jak...

Docela bych si někde velice rád dočetl jak je to omezení ve skutečnosti implementováno. Pokud je to striktně na bázi portů, tak je to průstřelné a nešťastné a spousta P2P klientů si prostě přeladí P2P klienta na některém ze standardních portů a jakmile bude počet takových uživatelů vzroste tak se bude toto omezení málo účinné.

Dále mi vrtá hlavou jak je to s tím FTP. FTP totiž neběží na portu 21 jak se v tomhle článku a jinde tvrdí. Port 21 je totiž pouze řídící port na který se klient připojí a domluví si přes něj dvojici vysokých > 1024 portů na kterém pak probíhá vlastní přenos. To vše v případě, že jde o nejobvyklejší pasivní FTP. Omezení založené striktně na preferovaných portech by tedy mělo postihnout i FTP.

Nerad bych se mýlil, ale myslím že kouzelné slovíčko je ipp2p, tj. rozšíření iptables o schopnost filtrovat na základě analýzy aplikační vrstvy. Více viz.

http://rnvs.informatik.uni-leipzig.de/ipp2p/index_en.html

IMHO filtrování na základě portů se dá snadno ošulit, to je jasné.

Tomáš

PS: Díky za howto o nastavení linuxového firewallu, kdysi dávno publikovaný na rootu. Od té doby mi tu jeden spokojeně běží.

A další kouzelné slovíčko je ip_conntrack_ftp.

To bych netvrdil, tohle se da pouzit pro "par" uzivatelu, jinak vam HW naroky (= cena) stoupne tak vysoko, ze je daleko vyhodnejsi koupit konektivitu/posilit prislusne linky. A navic se tohle da "osulit" take.

To omezovani vubec nebezi na bazi portu. Tam musi byt nejaka aplikacni proxy, protoze stejne omezene je i FTP na portu 21 sifrovane pres TLS/SSL (aktivni i pasivni rezim).