Client Programme blocken

#1 Problemstellung.

1x Windows XP Prof Gateway mit "Internet Connection Sharing" einer DSL Leitung
+ ein paar Cielnts die darüber ins Netz gehen

Wie kann ich jetzt verhindern, das die Clients mit Programmen wie E m u l e die komplette Bandbreite abgreifen. (z.B. durch Upload)

Folgende Programme dürfen die Clients beutzen:
+ Internet
+ ICQ
+ SSH
+ FTP
+ Mail ( pop )

Kann man die Firewall so konfigurieren, das die Firewall nur diese Applikationen an den Server/ICS durchlässt ? Was muss ich beachten ? Einstellen ?

Danke

#2 Sag uns noch bitte, welche Firewall denn zum Einsatz kommt !?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Das wüsste ich auch gerne.

Ich bin für Ratschläge offen, da ich mir vorstellen kann, dass nciht jede Firewall über entsprechende Möglichkeiten verfügt. (?)

Ich würde die Firewall nutzen, die mir am besten zu meinen o.g. Problem passt.

#4 Gute Frage. Welche könnte da passen ?
Die Firewall auf deinem Gateway kennt nicht die Anwendungen der Clients, die eine Anfrage schicken. Sie kennt die Protokolle und Ports über die kommuniziert wird.
Man könnte ganze Port-Bereiche blocken, aber spätestens beim FTP stößt Du hier auf Probleme.
Vermutlich einfacher wäre es, wenn Du den paar Clients eine Firewall aufspielst, die berechtigten Anwendungen freigibst und gut ist.
Da stellt sich mir sogleich die Frage: Ist es nötig, dass die Nutzer der Clients die erforderlichen Rechte besitzen um Programme zu installieren ? Wenn das unterbunden wäre, dann wäre die Frage sehr schnell geklärt.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Danke für Deine Hilfe.

In Sachen Firewall soll die Sygate Personal Firewall 5.5 ganz gut sein.
An den Clients selber kann ich nichts mache. Ich muß das auf dem Gateway irgendwie hinbekommen.

Ich bin kein Firewall Experte, aber ist es nicht möglich im Application Layer eines TCP Pakets nachzuschauen an welche App es gehen soll ? Bzw. kann eine Firewall da überhautp reingucken ?

Angenommen man wollte den Clients das E m u l e(n) verbieten:
E m u l e verwendet standardmäßig folgende Ports:
4661 (remoteside/outgoing) TCP um mit einem Server zu connecten
4662 (local/incoming) TCP um zu anderen Clients zu connecten
4665 (remoteside/outgoing) UDP um Quellen auf anderen Servern zu finden
4672 (remoteside/outgoing) UDP um direkte Client zu Client Verbindungen herzustellen

Des weiteren sollen die Ports "nur" für das interne Netz gesperrt werden. Also der Gateway soll weiterhin alles dürfen, theoretisch auch E m u l e.

#6 Also wie gesagt: 4662, 4661 etc... das lässt sich so leicht abändern, dass deine Firewall-Rules im handumdrehen nutzlos sind.
Richtig ist, dass die meisten Server irgendwo zwischen 4000 und 4700 arbeiten. Jedoch sind auch Exoten keine Ausnahme. Aber: Wenn jegliche "incoming connection" zu den Clients geblockt wird, ist sowieso nicht mehr als eine Low-ID möglich. Schon mal ein Vorteil

Es ist möglich mittel eines Application-Level-Gateways, die Pakete genauer zu inspizieren. Ist wesentlich komplexer als eine Desktop-Firewall und benötigt auch entsrpechend Resourcen. Falsch konfiguriert eine fehleranfällige Sache, die zu Störungen des Datenerkehrs führt.
Soweit mein theoretisches Wissen .

Was weitgehendes funktionieren könnte ist folgendes.
Du erstellts eine explizite Regel für jeden Client (mit seiner IP-Adresse) und den entsprechenden Remote-Ports für die jeweiligen Anwendungen.

Und ftp: Das Problem ist hier, dass der Server entscheidet, welche unpriviligierten Ports für die Datenübertragung verwendet werden. Sie werden dem Client mitgeteilt und können zwischen 1024 und 65535 (tcp) liegen.
Wenn man die Zugriff auf die Konfig der Server hat, lässt sich auch das ändern, bzw. sehr viele Server arbeiten mit Ports über 10000. Aber das ist nicht garantiert. Vom Protokoll her, kann die ganze oben genannte Breite genutzt werden. Also wenn Du die Ports über 10000 aller freigibst, könnte das in den meisten Fällen für ftp funktionieren, eröffnet aber auch möglicherweise Lücken für das gefürchtete P2P . Allerdings setzt das auch etwas Findigkeit der User voraus. Gepaart mit der Regel, dass die Clients keine Server-Rolle übernehmen dürfen, wie es bei dem Esel ja der Fall ist, hast Du gute Chancen es so hinzubekommen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 @palance: hast du das hinbekommen und deinen clients das p2p verbieten können?
Ich habe gleiches Problem mit kazaa und weiß noch nicht wie ich es lösen soll. Habe die Kerio Winroute Firewall 5.x im Einsatz.

Weiß jemand Rat?
Maeck
__________
.:: Nur wer selbst brennt, kann auch Feuer entfachen! ::.

#8 ja hab ich,

Firewall : Sygate Perosonal Firewall 5.5

Nach der Installation muss man erstmal dem Server die Rechte geben entsprechend ICS (der Service der das macht heisst irgendwie *.NAT.dll )
alles gestatten.

Dann hab ich 2 Regeln erstellt die entsprechende Port-bereiche sperren.
Die Unteren Ports < 1000 sind da relativ egal, die kann man weiterhin freigegeben lassen. Aber alles darüber (UDP und TCP sperren)

Man kann bei Sygate auch super definieren, wann die Regel greifen soll. Also z.B. wenn die Anfrage von der IP adresse(n) 192.168.0.1-192.168.0.100 kommt, dann blocke Sie.

In der Freeware Version kann man bis zu 20 Regeln definieren. Ich hab genau 2 gebraucht um alles für die Clients dicht zu machen.

Denk mal die Firewall ist so einfach zu bedienen, dass die genaue konfiguration sehr intuitiv schnell zu finden ist.

#9 Installiere auf dem Gatewayrechner die "Tiny Personal Firewall".
dann kannst du für jeden deiner Clients ein Ruleset erstellen,
was er darf oder was er nicht darf.

damit kannst du dir auch die ICS sparen, wo man eigentlich so
gut wie nix einstellen kann.

http://www.kerio.com/kpf_home.html

mit Manual und FAQ

net.works