Podivná IP adresa na torrentu

stahovac

Podivná IP adresa na torrentu
« kdy: 29. 10. 2013, 16:59:29 »
Dobry den, na jednom pocitaci v siti mam Windows a uTorrent
Po letech bezproblemoveho uzivani jsem si vsiml velmi divne veci, kdyz v seznamu peeru vidim jednu konkretni IP, ktera uplne ignoruje limit na maximalni upload, ktery mam pro dany torrent nastaveny.
Asi nejaky bug utorrentu bych si rekl.

ALE:
Na svem hranicnim routeru mi bezi linux(Tomato), takze jsem se tu IP adresu pokusil v iptables zablokovat

timto prikazem

iptables -A INPUT -s 172.24.105.7 -j DROP


kdyz si vyjedu iptables -L , tak vidim, ze pravidlo by melo byt aktivovane

DROP       0    --  172.24.105.7         anywhere


Po naslednem zapnuti a vypnuti utorrentu, se na me ta IP adresa opet napoji!
Vubec nechapu, jak je to mozne? Kde jsem udelal chybu? Jak proboha tu adresu zablokuji? :) Muj hranicni router by ji mel preci zahazovat.



« Poslední změna: 29. 10. 2013, 17:57:30 od Petr Krčmář »


Alyosha

Re:torrent, Podivna IP adresa
« Odpověď #1 kdy: 29. 10. 2013, 17:08:30 »
Strelam z boku, ale nemalo by to pravidlo byt na FORWARD chaine?  INPUT sa tyka veci ktore prichadzaju na ipku daneho routra.

stahovac

Re:torrent, Podivna IP adresa
« Odpověď #2 kdy: 29. 10. 2013, 17:42:27 »
aha, tak jsem zkusil tu IP adresu zadat do vsech chainu z obou smeru

muj zoufaly pokus

Kód: [Vybrat]
iptables -A FORWARD -d 172.24.105.7 -j DROP
iptables -A FORWARD -s 172.24.105.7 -j DROP


iptables -A INPUT -d 172.24.105.7 -j DROP
iptables -A INPUT -s 172.24.105.7 -j DROP

iptables -A OUTPUT -d 172.24.105.7 -j DROP
iptables -A OUTPUT -s 172.24.105.7 -j DROP

iptables -A wanin -d 172.24.105.7 -j DROP
iptables -A wanin -s 172.24.105.7 -j DROPP


iptables -A wanout -d 172.24.105.7 -j DROP
iptables -A wanout -s 172.24.105.7 -j DROP


# iptables -L
Kód: [Vybrat]
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       0    --  anywhere             mujhostname.cz
DROP       0    --  anywhere             anywhere            state INVALID
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere
DROP       0    --  172.24.105.7         anywhere
DROP       0    --  anywhere             172.24.105.7

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere
DROP       0    --  anywhere             anywhere            state INVALID
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1461:65535 TCPMSS set 1460
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
wanin      0    --  anywhere             anywhere
wanout     0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere
DROP       0    --  172.24.105.7         anywhere
DROP       0    --  anywhere             172.24.105.7
DROP       0    --  172.24.105.7         anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       0    --  anywhere             172.24.105.7
DROP       0    --  172.24.105.7         anywhere

Chain wanin (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             X                   tcp dpt:1218
ACCEPT     udp  --  anywhere             X                   udp dpt:1218
DROP       0    --  172.24.105.7         anywhere
DROP       0    --  anywhere             172.24.105.7

Chain wanout (1 references)
target     prot opt source               destination
DROP       0    --  anywhere             172.24.105.7
DROP       0    --  172.24.105.7         anywhere


zase jsem vypl a zapl utorrent a ta IP se pripojila zase! :(

prosim, nejake napady?

PCnity

  • *****
  • 680
    • Zobrazit profil
    • E-mail
Re:torrent, Podivna IP adresa
« Odpověď #3 kdy: 29. 10. 2013, 17:44:48 »
BTW: To je privatna adresa, cize z Internetu to asi nebude.

stahovac

Re:torrent, Podivna IP adresa
« Odpověď #4 kdy: 29. 10. 2013, 17:53:42 »
ta adresa nepochazi na 100% z me site a pravdepodobne ani ze site meho ISP, tracert smeruje nekam do internetu pres klasicke hopy ktere znam a pak uz jsou ty ktere neznam


PCnity

  • *****
  • 680
    • Zobrazit profil
    • E-mail
Re:torrent, Podivna IP adresa
« Odpověď #5 kdy: 29. 10. 2013, 17:56:04 »
NetRange:       172.16.0.0 - 172.31.255.255
CIDR:           172.16.0.0/12
OriginAS:       
NetName:        PRIVATE-ADDRESS-BBLK-RFC1918-IANA-RESERVED

http://en.wikipedia.org/wiki/Private_network

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #6 kdy: 29. 10. 2013, 18:03:40 »
tracert jeste nez jsem si to zablokoval v iptables


Tracing route to 172.24.105.7 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms   muj router[192.168.1.1]
  2   111 ms   139 ms   170 ms  brana_meho_isp [ip_brany]
  3   431 ms   428 ms   264 ms  ip-85-132-191-35.pamico.cz [85.132.191.35]
  4   338 ms   170 ms    51 ms  172.24.123.185
  5   176 ms   197 ms   214 ms  172.24.123.66
  6   176 ms    62 ms    90 ms  172.24.117.34
  7   229 ms    98 ms    10 ms  172.24.105.7

pokud je ta adresa pristupna pouze v ramci meho ISP, tak stejne bych ji nemel mit problem blokovat. Kabel od providera mi vede do WAN portu... Vubec tomu nerozumim.

j

Re:Podivná IP adresa na torrentu
« Odpověď #7 kdy: 29. 10. 2013, 18:06:42 »
Chjo .... to ze mas ty (a nejspis i tvuj ISP) blbe nastaveny routery ...

Na routeru bys mel mit v pravidlech na forwardu (jinam do davas celkem zbytecne) zakazany vsechny privatni rozsahy = nemelo by (zadnym smerem) projit nic, co ma src/dst v jednom z tech rozsahu. Samo za predpokladu, ze mas na routeru verejny IPcko. A ne, NAT ti opravdu v nicem nepomuze. To je zaklad naprosto jakyhokoli zabezpeceni interni site. Totez by samozrejme mel mit ISP na KAZDYM routeru - neb dle RFC router nesmi odroutovat paket s takovejma IPckama (mineno opet samo ve verejny siti).

Mno a pro tvuj ucel, to pravidlo ve forwardu by to melo bloknout => jednoznacne je to ve tvy siti.  Ostatne, podivej se na country u toho pravidla - tece ti pres to vubec neco? Pokud sou nulovy, tak neni co resit.


PCnity

  • *****
  • 680
    • Zobrazit profil
    • E-mail
Re:Podivná IP adresa na torrentu
« Odpověď #8 kdy: 29. 10. 2013, 18:06:53 »
Prv je ACCEPT az potom je DROP...
Daj tie iptables prikazy nie s -A ale s -I aby sa dostali hore.

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #9 kdy: 29. 10. 2013, 18:31:26 »
Dekuji za radu.   -I  posunuti nahoru pomohlo, nemusel jsem utorrent restartovat.
Ted me napadlo, ze uTorrent  mozna ignoroval limit rychlosti, protoze si myslel, ze ta IP je lokalni.


j: No priznam se, ze do tech iptables hrabu ted poprve na svem routeru. Vsechno jsem doted nastavoval na webovem rozhrani a tam takovou moznost konfigurace nejspis ani nemam. Verejnou IP mam, no.

Je pravda, ze mam nastaveny port forwarding na port 1218 na pc s Windows. A tedy tento port, potazmo ta sluzba co na nem bezi by mela byt jedina napadnutelna z venku, ne?

Kdyz zminujes bezpecnost a rikas ze NAT mi nepomuze, tak jak by se pripadny utocnik mohl dostat skrz NAT bez toho, aby pouzil otevreny port o kterem vim? Jedine, co me napada je, ze bych se k nemu musel pripojit ja (backconnect).

Dekuji za objasneni







tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #10 kdy: 29. 10. 2013, 19:07:04 »
Tady je docela dobře popsaný jak se dá NAT "prostřelit":
http://en.wikipedia.org/wiki/Network_address_translation

Zjednodušeně řečeno, pokud nemáš "symmetric NAT", tak na tom dohromady nic neni a spousta programů to běžně dělá (Skype, zmiňovaný bittorrent, ...).

Podivný Podivín

Re:Podivná IP adresa na torrentu
« Odpověď #11 kdy: 29. 10. 2013, 19:15:02 »
Já si dovolím řící, že celé tvé řešení je trochu postavené na hlavu. Ty cheš blokovat konkrétní IP adresu, ale uTorrent klient to neví a tedy můlže docházet ke zvláštním situacím.

Klidně si tuto IP blokuj i na externím firewallu (tedy ne na úrovni brány, který přímo ovlivňuje komunikující aplikace), pokud ale chceš zakázat komunikaci s tímto uzlem, měl bys ho dát na seznam v uTorrent aplikaci.
Zabráníš tak vzniku neočekávaných situací, a blokování externím firewallem bude jen pro "strýčka příhodu". Čti: úplně zbytečné, pokud ta aplikace opravdu funguje jak má. Zmiňuji to právě proto, že tak můžeš ověřit že aplikace se chová korektně, tak jak očekáváš.

P.S.
Ještě je dobré zmínit, že uTorrent bývá standardně konfigurován tak že využívá Terredo Tunel. Ty o svém nastavení nepíšeš nic. Ale pokud tvůj externí firewall (u interního by to bylo odlišné ale choval by se také jinak než předpokládáš) není úplně blbý (takové se snad dnes již ani nevyrábí), tak je možné že jsi mu dal nevhodné pravidlo.

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #12 kdy: 29. 10. 2013, 19:49:44 »
Podivný Podivín:  Jakym zvlastnim situacim?   A jaky seznam v uTorrentu mas na mysli? nic takoveho jsem tam nenasel.

tadeas: To jsem si prohlizel a nikde konkretne nevidim, ze by resili bezpecnostni rizika. Zminuji se tam akorat o NAT loopbacku, ktery mam vypnuty.

Treba Skype ma udajne fungovat takto

 "Without being too technical, each Skype client is always connected to a SuperNode (any Skype client can become a SuperNode, the SuperNode is acting as a hub). SuperNodes are always on routable open IP addresses. When a call is set up the established TCP connection with the SuperNode is used to signal that a call is coming. Dependent on the firewall status of the client the data stream is set up either as UDP (if firewall allows) or in worse case as outgoing TCP which is almost always allowed. If both clients are only allowed to do outgoing TCP calls are routed through another peer."

To je z meho pohledu backconnect a zde neocekavam, ze by me NAT nejak chranil.
U NATu ocekavam, ze me bude chranit pred prichozimi spojenimi, ktere nejakym svym programem nezinicializuji prvni ja. A to doufam dela dobre ?


tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #13 kdy: 29. 10. 2013, 20:23:39 »
tadeas: To jsem si prohlizel a nikde konkretne nevidim, ze by resili bezpecnostni rizika. Zminuji se tam akorat o NAT loopbacku, ktery mam vypnuty.
Tys dal hledat "security" a našlo to akorát NAT loopback sekci ne? ;D

Představme si, že máš tvůj router implementuje NAT stylem full-cone (pro jednoduchost). Připojíš se ze svého počítače (za NATem) na web rootu. Router otevře spojení z nějakého portu, řekněme 53342 na root.cz:80. Router si pamatuje, že co přijde na port 53342, má přeposlat na tvůj počítač. No a mně už stačí poslat request na <ip tvého routeru>:53342 a voilá! jsem za NATem, protože tvůj router všechny packety příchozí na port 53342 přeposílá.

U ostatních typů NATu je to obdobné, jenom složitější.

Peter

Re:Podivná IP adresa na torrentu
« Odpověď #14 kdy: 29. 10. 2013, 20:27:15 »
UPnP máš povolené?