filter for div. p2p programmer

mange af dem kører nu med UPNP, så det er tilfældige porte der åbnes, du skal lave noget stateful packet inspection istedet for

Er ingen ekspert på ISA server, men dog noen ord allikevell.

Tror ikke statefull inspection er et tema i denne sammenheng i det hele. (ISA server kjører vel uansett statefull inspection som default ..!!??)

Når det gjelder pait to pair programmer så er det vel heller ikke så enkelt at man bare kan finne fram til de riktige portene og så blokkere dem. Mankan vel i mange tilfeller velge de portene man måtte ønske, det vil si de som er åpne ut.

Går ut fra at default oppsett for ISA server er alt åpent ut og alt stengt inn, slik som de fleste gateways av denne type.

Hvis man i stedet velger policy (Linux terminologi) slik at man kun har et fåtall porter ut åpne, for eksempel tcp 80, 443, udp/tcp 53 for web browsing, da vil man i alle fall ha gjort det betydelig vanskeligere for fo fildelerne. (Og mange andre brukere).

Altså, trafikkretning inn: Helt lukket, dvs åpner dynamisk via statefull inspection. Formodentlig et default oppsett.

Trafikkretning ut: Helt lukket, unntatt "hull" for den tillatte trafikk. (Default oppsett, sansynligvis helt åpent.

Her bliver foreslået at alle porte over 1024 bliver blokeret http://forums.isaserver.org/m_2002016549/mpage_1/tm.htm#2002023685

Hvis du så bare husker at give tilladelse til de programmer du skal bruge, så kunne det godt gøre tricket.

Linken over refererer til det å blokkere utgående trafikk for porter over 1024 og så ikke gjøre noe for inngående firewall. Dette er egentlig en litt mindre drastisk løsning enn den jeg foreslo, nemlig å blokkere det hele for så å åpne kun for de tillatte porter i trafikkretning ut.

Forslaget til foevernewbie er egentlig ganske glimrende. Det bør kunne fjerne det meste av p2p trafikken, samtidig som ulempene med slik fitrering i utgående retning bør bli betydelig mindre.

Samtidig så bør det være forholdvis enkelt å komme forbi en filtrering av kun 1024 og videre opp, men man kunne jo begynne med dette som en "light" løsning, og så gå over til en mer grundig filtrering av den utgående trafikk hvis nødvendig.

Grunnen til at man ikke kan gjøre så mye ved å filtrere på inngående trafikkretning det er at man da vil blokkere for returtrafikken, i forhold til slike "normale" funksjoner som web browsing mm. På grunn av denne returtrafikken så vil man ha behov for enten å ha åpent for portrangen over port 1024, enten statisk, eller bedre dynamisk via en statefull inspection firewall (som for eksempel MS ISA server.

Man vil ikke permanent og statisk kunne stenge den uprioriterte portrekken (over 1024) for trafikk i trafikkretning inn, men man bør godt kunne lage en slik avstegning i trafikkretning ut, uten at det bør få de store ulemper.

Ellers så finnes det jo selfølgelig også en helt annen måte å gjøre det på som kanskje blir den mest effektive. Det er å ikke basere seg på på packet filtering prinsippet i det hele, men heller å la application level firewalling funksjonen i ISA serveren ta seg av p2p filtreingen. Dette vil kunne være ennå mer effektivt enn å kun la et fåtall godkjente utgående porter stå åpne. Vil tro at en slik "apllication level" eller proxy firewalling vil være den riktige måte å gjøre det på for en ISA server. Denne linken (som forevernewbie også fant fram til) beskriver denne måten å gjøre det på, men det har vel kanskje lite å gjøre med packet fitering:

http://www.isaserver.org/articles/2004blockp2pim.html

brug for mere hjælp ?

Ja tak. Flere gode råd er altid velkomne :-)