Re: Erro iptables+layer7
Pessoal, resolvi o problema, simplesmente desinstalando o iptables 1.3.6
aptitude purge iptables
Só que, agora a coisa tá no seguinte pé...
Estou tentando criar uma regra que bloqueie a transferencia de
arquivos via msn, aqui em casa eu fiz um pequeno ambiente no vmware,
onde testo todas as firulas antes de levar pro escritorio
Meu iptables tá assim no momento
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
#!/bin/bash
IPT='iptables'
NET_IFACE='eth0'
LAN_IFACE='eth1'
LAN_RANGE='192.168.0.0/24'
#carrega modulo
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG
/sbin/modprobe iptable_nat
$liga ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward
#limpa iptables
$IPT -F
$IPT -Z
$IPT -t nat -F
#politica padrao
$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
#sem filetransfer no msn
$IPT -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
#Permite que a interface LoopBack (lo) tenha trafego livre.
$IPT -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
#novas conexoes e manter conexoes existentes apartir da lan
$IPT -t filter -A INPUT -i $LAN_IFACE -m state --state NEW -j ACCEPT
$IPT -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#compartilha a net
$IPT -t filter -A FORWARD -d 0/0 -s $LAN_RANGE -o $NET_IFACE -j ACCEPT
$IPT -t filter -A FORWARD -d $LAN_RANGE -s 0/0 -i $NET_IFACE -j ACCEPT
#$IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
#$IPT -t filter -A INPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
#$IPT -t filter -A OUTPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
#$IPT -t filter -A OUTPUT -p icmp -s $LAN_RANGE -d 0/0 -j ACCEPT
#abre porta pra fora
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN_RANGE -p tcp --dport 1:79
-j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN_RANGE -p tcp --dport
81:65535 -j MASQUERADE
#Regra para acesso via Squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
#Regra para acesso ao Conectividade Social da CAIXA ECONOMICA FEDERAL
#$IPT -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.174.207 --dport
80 -j REDIRECT --to-port 3128
#$IPT-t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport
80 -j REDIRECT --to-port 3128
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
O modulo tá rodando, as outras regras estão funcionando numa boa....só
o msn que ainda consegue varar o iptables...
Tentei mudar a regrinha colocando as portas mas não adiantou muito...
Será que vcs podem dar uma olhada?
Obrigado, galera!
-Temp
Em 08/09/07, Thunderblade Tempestis<thunderblade.tempestis@gmail.com> escreveu:
> E ai galera, tudo bem?
>
>
> Bom, eu to apanhando do iptables (denovo!) só que agora com layer7,
> segui esse tuto aki:
> http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=115&codtopico=6759
>
> E ao fazer o teste com l7:
> modprobe ipt_layer7
> iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
>
> retornou o seguinte erro:
> iptables v1.3.7: Couldn't load match
> `layer7':/usr/local/lib/iptables/libipt_layer7.so: cannot open shared
> object file: No such file or directory
>
>
> Bem, fui procurar o .so que é mencionado, e não estava na
> pasta....curiosamente...não está em lugar nenhum....
>
> Dei um lsmod e o modulo ipt_layer7 tá rodando
>
> Dei uma fuçada na net sobre, e a unica coisa que eu vi relacionada foi
> na hora de aplicar o patch com a opção -p1, que eu já tinha feito...
>
> Vcs tem ideia do que possa ter acontecido?
>
>
> Obrigado galera!
>
Reply to: