Re: [Fedora-users-br] ## Matar conexões ativas ##

Luciano Teixeira lucianofish em yahoo.com.br
Qui Jan 12 18:38:38 UTC 2006 

Ok Otto,

como diria Jack o Estripador, vamos por partes :-)

Agora a gente chegou num consenso, era exatamente isso que eu tava precisando. Vou tentar eliminar essa conexões de alguma maneira e depois posto aqui na lista.

Quanto a virar babá de conexões, não seria o problema, pois naum tenho que fazer isso todos os dias. Hoje por exemplo, foi uma exceção. Sempre peço para o pessoal de informática deixar o emule e afins ligados apenas a noite. Acontece que alguns não vierem trabalhar pela manha e eles continuaram ligados e consumindo muita banda. Foi aí que senti a necessidade de matar essas conexões, antes claro, fechando as portas que esses programas utilizam para se conectar via iptables. Portanto, ao matar a conexão, quando o programa tentasse reconectar não consegueria mais ! :-)

Quanto ao Firewall Builder eu já li bastante a respeito e até mesmo o instalei em uma máquina aqui da empresa. Mas como eu tinha acabado de chegar e o pessoal aqui tava sem Firewall (é, sem firewall :-(( ), então resolvi fazer tudo na mão mesmo e deixar para testá-lo depois. Ainda não tive oportunidade por falta de tempo e de máquina, mas realmente até onde eu vi parece ser muito legal.

To dando uma estudada no Guia Foca Avançado para obter melhores resultados com o Iptables (Regras por horário) como você mencionou. Uso de CBQ, HTB ainda não será preciso, mas o importante é conhecer as alternativas para que quando você precise saber por onde começar.

Desculpe pelo longo email e realmente muito obrigado pela ajuda :-)

Até

Otto Fuchshuber Filho <o2to2f em gmail.com> escreveu: OK, não atentei para o detalhe que você está fazendo packet forwarding nesta 
máquina.

Para ver a tabela de conexões no iptables, use cat /proc/net/ip_conntrack
(vide http://www.netfilter.org/documentation/FAQ/netfilter-faq-3.html, item 3.8)

Para ver apenas as conexões TCP estabelecidas:
cat /proc/net/ip_conntrack|grep ESTABLISHED
Observar que com este comando você verá apenas as conexões TCP, já que UDP não é 
um protocolo orientado à conexão.  As entradas UDP saem da tabela por time-out. 
  Com cat /proc/net/ip_conntrack|grep udp, você as vê.

Supondo que você esteja usando NAT, o man do netstat também mostra a opção -M
   -M, --masquerade
        Uma  lista de todas as sessões mascaradas também pode ser vista. Com a
        chave -e você pode incluir mais algumas  informações  sobre  numeração
        sequencial  e deltas , causados por reescritas de dados em sessões FTP
        (comando PORT).  O  suporte  a  mascaramento  é  usado  para  esconder
        máquinas  em  endereços  de  rede não oficiais do resto do mundo, como
        descrito em ipfw(4),ipfwadm(8) e ipfw (8).

Experimente netstat -anpMtu e veja o que aparece (eu não tenho máquina aqui 
fazendo NAT de forma que a opção -M me dá erro).

Para matar a conexão, talvez apagando a linha correspondente no arquivo com um 
editor de texto funcione, não sei, tem que testar.  Só que acho que se 
funcionar, você vai acabar virando "babá de conexões" porque tão logo você 
derrube uma, ela voltará logo a aparecer na tabela assim que o usuário 
reestabelecê-la.  Acredito que seja possível configurar políticas no iptables 
para fazer coisas do tipo limitar banda para certas conexões, não permitir 
certas conexões em determinados horários, etc.  Isto facilitaria sobremaneira o 
teu trabalho.  Será que alguém aqui na lista tem uma dica para isto? Senão, o 
jeito é pesquisar pelo man iptables e/ou Google.

Por último, quanto à interface gráfica, existe uma para o iptables que é muito 
parecida com o Smart DashBoard do Checkpoint Firewall-1.  Chama-se Firewall 
Builder (http://www.fwbuilder.org).  Veja os screenshots.  Não cheguei a 
trabalhar com ele, mas pode ser que te permita visualizar e matar conexões a um 
clique como você fazia ou até configurar as políticas que citei no parágrafo 
anterior.  Dê uma estudada.

Sds,
Otto Fuchshuber Filho
o2to2f em gmail.com

Luciano Teixeira wrote:
> Vamos lá Otto,
> 
> em primeiro lugar, obrigado pela atenção !
> 
> Eu trabalhava em uma empresa que utilizava um Firewall pago onde ele me 
> listava todas as conexões ativas, e tudo em forma gráfica. Daí era 
> bastante fácil, você podia simplesmente olhar o IP de algum usuário 
> interno seu, ver onde ele estava conectado e por qual protocolo e matar 
> a conexão com um simples clique.
> 
> Como resultado de utilizar todas essa facilidades fiquei meio 
> enferrujado no Iptables e Linux e to voltando a mexer agora. Mas quando 
> eu uso esse comando que você me passou eu não consigo ver as conexões 
> dos meus clientes com as máquinas externas, que por sinal são as que 
> vejo no Ntop ! Acho que por essa máquina ser o Firewall, ela teria que 
> me listar tudo que tá passando nela, por isso perguntei o comando e 
> disse que apenas com o netstat eu não tava conseguindo !
> 
> As conexões que vem pra ela (Firewall) eu consigo ver com o netstat, 
> como por exemplo as conexões&nbs! p; para o meu Squid+Dansguardian que 
> estão nessa máquina em fase de teste, mas as que passam por ela 
> (Forward) eu não consigo !
> 
> Não sei se estou sendo claro, qualquer coisa me avise que tento explicar 
> de outra maneira ! :-(
> 
> Até
> 
> */Otto Fuchshuber Filho /* escreveu:
> 
>     Com o comando netstat -anptu você verifica as conexões TCP/UDP
>     ativas e os PIDs
>     dos processos correspondentes. Aí, é só dar um kill no processo que
>     você quer
>     matar, o que derrubará a respectiva conexão.
> 
>     Explicando melhor com um exemplo, vide no arquivo anexo que existe
>     uma conexão
>     ssh estabelecida cujo PID é 26671. Daí, um kill 26671 mata o processo e
>     consequentemente fecha a conexão.
> 
>     Sds,
>     Otto Fuchshuber Filho
>     o2to2f em gmail.com
> 
>     Luciano Teixeira wrote:
>      > Bom dia amigos,
>      >
>      > to com um problema e gostar! ia da ajuda de vocês para solucioná-lo.
>      >
>      > Aqui na rede que administro o emule tá liberado pra algumas
>     máquinas e
>      > tem horas durante o dia que o tráfego tá muito grande,
>     atrapalhando quem
>      > tá navegando, baixando email, essas coisas. Tenho acompanhado isso
>      > usando Mrtg e Ntop !
>      >
>      > O que eu gostaria de fazer, era ver quais conexões estariam ativas e
>      > matá-las por um determinado tempo. Se eu apenas for no iptables e
>      > bloquear as portas do emule por exemplo não vai resolver, pois as
>      > conexões já estão estabelecidas.
>      >
>      > Tem uma outra maneira de fazer que é observar no Ntop quais
>     máquinas de
>      > fora da minha rede que estão trocando arquivos com as máquinas
>     internas
>      > e bloquear essas máquinas no iptables, mas acho que o trabalho
>     seria bem
>      > maior.
>      >
>      > O que eu gostaria mesmo era de um comando no linux que pudesse
>     checar as
>      > conexões ativas do meu firewall e! depois conseguisse dá um kill
>     nelas.
>      > Somente com o "n! etstat" não tenho conseguido !
>      >
>      > Alguma sugestão ? Qualquer ajuda é bem vinda :-)
>      >
>      > Até
>      >
>      >
>      > ==========================================================
>      > (o- Luciano Leite Teixeira
>      > //\ Administrador de Rede
>      > V_/ lucianofish em yahoo.com.br
>      > Araguaina - Tocantins - BRASIL
>      > msn: lucianofish em hotmail.com
>      >
> 
>     --
>     Fedora-users-br mailing list
>     Fedora-users-br em redhat.com
>     https://www.redhat.com/mailman/listinfo/fedora-users-br
> 
> 
> 
> 
> ==========================================================
> (o- Luciano Leite Teixeira
> //\ Administrador de Rede
> V_/ lucianofish em yahoo.com.br
> Araguaina - Tocantins - BRASIL
> msn: lucianofish em hotmail.com
> 
> ==========================================================
> "Não siga caminhos já traçados, busque sua própria trilha e deixe marcas"
> ==========================================================
> 
> ------------------------------------------------------------------------
> Yahoo! doce lar. Faça do Yahoo! sua homepage. 
>  
> 
> 
> 
> ------------------------------------------------------------------------
> 
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br

--
Fedora-users-br mailing list
Fedora-users-br em redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br




==========================================================
(o-     Luciano Leite Teixeira				
//\     Administrador de Rede	
V_/     lucianofish em yahoo.com.br
        Araguaina - Tocantins - BRASIL
	msn: lucianofish em hotmail.com		

==========================================================
"Não siga caminhos já traçados, busque sua própria trilha 
e deixe marcas"
==========================================================
		
---------------------------------
 Yahoo! doce lar. Faça do Yahoo! sua homepage.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20060112/0634ac66/attachment.htm>

Mais detalhes sobre a lista de discussão Fedora-users-br