P2pblock

Als Internet-Gateway Betreiber möchte man evtl. aufgrund des hohen Datenaufkommens, Vielzahl der offenen Verbindungen oder auch aus rechtlichen Gründen Peer-To-Peer-Filesharing verhindern. Hierfür gibt es ein Script, welches mit iptables + level7 und ipp2p-Filtern versucht P2P-Verbindungen zu erkennen und zu unterbinden. Die Anwendung wurde von Andreas Tetzlav geschrieben.

Dazu wird nur der einkommende WAN-Verkehr von Port 1024-65535 durch eine eigene iptables-chain geleitet und analysiert. Um die unvermeidbaren falschen Treffer zu minimieren wird noch ein weiteres netfilter-Modul genutzt; ipt_recent.

Wird eingehender P2P-Traffic an eine IP-Adresse im Freifunk erkannt, landet diese IP in der beobachten-Liste. Werden innerhalb der nächsten 180s weitere P2P-Packete zu dieser IP erkannt, werden für die kommenden 180s alle Verbindungen von dieser IP von Port 1024 bis 65535 geblockt - solange bis kein neueres P2P-Packet erkannt wird.

Das Paket freifunk-p2pblock mit allen notwendigen Abhängigkeiten, kann einfach wie gewohnt mit

ipkg update && ipkg install freifunk-p2pblock

installiert werden.

Es gibt keinerlei WebGUI dafür, alles Notwendige befindet sich im Startscript

/etc/init.d/S82p2pblock

Die ipt_recent-beabachten-Liste mit den IPs und den Timestamps der letzten gefundenen P2P-Packete kann man mit

cat /proc/net/ipt_recent/P2PBLOCK

einsehen.

Es wird auch wie gewohnt über den Syslog Ausgaben zu Status gemacht.

IPs welche nicht durch den P2P-Filter sollen, können in einer Whitelist angegebene werden:

nvram set ff_p2pblock_whitelist='104.61.x.y;192.168.x.y;10.61.x.y' commit
/etc/init.d/S82p2pblock restart

Bei Fragen bitte an mich/tetzlav wenden!