[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Quais as Portas do Msn ?? - como bloquear pelo squid - não funcionou

Em Ter, Janeiro 3, 2006 16:18, Luiz Gonzaga da Mata escreveu:
> Pedro,

> A solução com o l7-filter é muito legal, ela já vem com arquivos para os
> protocolos que usam expressões regulares invocados no iptables e busca as
> características internas dos pacotes e não suas portas.
>
> http://sourceforge.net/projects/l7-filter/
>
>
> http://lists.debian.org/debian-user-portuguese/2005/12/msg00303.html

Mais uma informação:

Uso o Sarge.

segui o roteiro no link abaixo(#1) com as versões disponíveis mais novas
para nosso Debian.

Pacotes Usados:

kernel-source - kernel-source-2.6.8 (apt-get)
iptables 1.3.4 - http://www.netfilter.org
L7-filter - http://sourceforge.net/projects/l7-filter/
L7-protocols ? http://sourceforge.net/projects/l7-filter/

Primeiramente faça o download e extraia o iptables 1.3.4

tar -xjvf iptables-1.3.4.tar.bz2 -C /usr/src

Agora faça o download e extraia o L7-filter

tar -zxvf netfilter-layer7-v2.0.tar.gz -C /usr/src

feito isso, vamos agora aplicar o patch no kernel.

cd /path/do/kernel (/usr/src/kernel-source-2.6.8)
patch -p1 <
/usr/src/netfilter-layer7-v2.0/for_old_kernels/kernel-2.6.0-2.6.8.1-layer7-0.9.2.patch

Com isso o patch será adicionado, agora vamos habilitar o novo módulo,
para isso digite:

cd /path/do/kernel

make menuconfig

Device Drivers--->Networking supoort--->Network Options--->
Network Packet Filtering (replaces ipchains)---> IP : Netfilter configuration

Layer7 match support (EXPERIMENTAL) (adicione como módulo (M))
salve a alteração e depois compilar e instalar o kernel.

Agora vamos aplicar o patch e atualizar o Iptables:

cd /usr/src/iptables-1.3.4
patch -p1 < /usr/src/netfilter-layer7-v2.0/iptables-layer7-2.0.patch

chmod +x extensions/.layer7-test

make KERNEL_DIR=/usr/src/kernel-source-2.6.8
make install KERNEL_DIR=/usr/src/kernel-source-2.6.8

Agora descompacte o arquivo l7-protocols-2005-12-16.tar.gz.

tar -zxvf l7-protocols-2005-12-16.tar.gz -C /usr/src

cd /usr/src/l7-protocols-2005-12-16

make install


###### Trabalhando com as novas regras ##########
#################################################

Dentro do diretório dos protocolos (/etc/l7-protocols) possui os
?Protocolos? de filtragem.


Regra de exemplo para filtar o MSN para a sua LAN

iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.1.0/24 -j
DROP
iptables -A FORWARD -m layer7 --l7proto msnmessenger -s 192.168.1.0/24 -j
DROP

Regra de exemplo para filtar o FastTrack (rede usada pelo kazaa)

iptables -A FOWARD -m layer7 ?l7proto fasttrack -d 192.168.1.0/24 -j DROP
iptables -A FOWARD -m layer7 ?l7proto fasttrack -s 192.168.1.0/24 -j DROP

Regra de exemplo para filtar arquivos com extensão .EXE

iptables -A FORWARD -m layer7 ?l7proto exe -d 192.168.1.0/24 -j DROP
iptables -A FORWARD -m layer7 ?l7proto exe -s 192.168.1.0/24 -j DROP
Deu tudo certo até então.


Bom proveito,

Luiz Gonzaga da Mata.

(#2)http://www.slack-pr.com.br/modules/arms/view.php?w=art&idx=31&page=1
Reply to: