[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: problemas com o layer7

estou me sentindo meio perdido, nao estou conseguindo de jeito nenhum fazer funcionar as regras do layer7
eu, atraves do modconf, fiz o modulo do layer7 inicializar. o resultado do comando lsmod mostra ele la:
ipt_layer7             11876  0
como podem ver, ele mostra que nao tem nenhuma regra funcionando. as outras regras estao funcionando. eu nao sei onde esta o problema... pois as outras regras do script funcionam, ou seja é para o estar tudo certo... por favor, me peçam os logs necessarios pra podermos solucionar esse caso
obrigado por hora


Em 13/11/07, Rodrigo - Y! <pontozip@yahoo.com.br> escreveu:
Hi,
bom eu falo por experiência própria. Aqui no meu gateway bloqueie todas
as portas, liberei apenas as necessárias para navegação (80,443) e FTP.
Até MSN esta bloqueado por que a porta 1863 esta com DROP.

Com isto matou todos tipo de trafego de P2P. Ao final liberei FORWARD
para alguns IPs e com isto liberei P2P para alguns IPs.


Em resumo tenho o layer7 engatilhado caso passe pelos bloqueios citados
logo acima, dai tenho as seguintes linhas comentadas.

#modprobe ipt_layer7
#$ipt -A FORWARD -m layer7 --l7proto bittorrent -j DROP
#$ipt -A FORWARD -m layer7 --l7proto fasttrack -j DROP
#$ipt -A FORWARD -m layer7 --l7proto edonkey -j DROP
#$ipt -A FORWARD -m layer7 --l7proto directconnect -j DROP

Deixo ai minha experiência.

Ats.



--
Rodrigo - Y!
Linux user # 366601
Curitiba/PR.


"Feliz é aquele que transfere o que sabe e aprende o que ensina".
(Cora Coralina)

Segurança é um processo, não um produto.







Márcio Pedroso wrote:
> ?
> vou mostrar o meu script, assim nos nos entendemos, ok
> #!/bin/bash
> echo '1' > /proc/sys/net/ipv4/ip_forward
> #limpando as regras de iptables
> iptables -F
> iptables -t nat -F
> iptables -t mangle -F
>
> #firewall
>
> #liberar para um ip
> #Liberar Ip do chefe:
> #iptables -A FORWARD -s ip-do-chefe -m layer 7 --l7proto bittorrent -j
> ACCEPT
> #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j
> ACCEPT
>
>
> #bloquear msn messenger
> /bin/modprobe ipt_layer7
> iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
> iptables -I FORWARD -s 192.168.1.0/24 <http://192.168.1.0/24> -p tcp
> --dport 1863 -j DROP
> iptables -A FORWARD -s 192.168.1.0/24 <http://192.168.1.0/24> -d
> loginnet.passport.com <http://loginnet.passport.com > -j REJECT
> iptables -A FORWARD -s 198.168.1.0/24 <http://198.168.1.0/24> -d
> messenger.hotmail.com <http://messenger.hotmail.com> -j REJECT
> iptables -A FORWARD -s 198.168.1.0/24 <http://198.168.1.0/24 > -d
> webmessenger.msn.com <http://webmessenger.msn.com> -j REJECT
> iptables -A FORWARD -m layer7 --l7proto msnlivemessenger -j DROP
> #bloquear porta cs
> iptables -I OUTPUT -p udp --dport 27000:27030 -j DROP
> iptables -I OUTPUT -p tcp --dport 7002:27040 -j DROP
>
>
> #squid
> #redirecionamento de fluxo para a porta 3128
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>
> #mascarando conexoes de rede
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
> esse script tem a permiçao de ser executavel (chmod +x) e tem um link em
> /etc/rc2.d/S99compartilhamento (informando que o nome do script é
> compartilhamento). ele, apos a reinicializaçao, nao carrega o modulo do
> layer7. mas se eu executo ele apos a reinicializaçao, ele carrega todos
> os modulos e regras. mas atençao, ele cupre todas as outras regras
> apresentadas, so nao cumpre a referente do layer7 pra o bloqueio do
> messenger
>
> ps: nao aparece as regras de bloqueio do emule e do bittorrent por se
> tratar de outra maquina, mas com o mesmo problema
>
>
>
>
> Em 11/11/07, *Leandro Moreira * <leandro@leandromoreira.eti.br
> <mailto: leandro@leandromoreira.eti.br>> escreveu:
>
>
>     Caro,
>
>     Isso esta aconetcendo porque voce bloqueou apenas o MSN, vc precisa
>     entrar
>
>     com regras pra cada um dos protocolos que deseja bloqueuar, do tipo:
>
>
>
>     # Bloqueio do emule
>
>     iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP (confirma na
>     doc do
>
>     L7)
>
>
>
>     On Sat, 10 Nov 2007 11:52:40 -0200, "Márcio Pedroso"
>
>     <sarrafocapoeira@gmail.com <mailto:sarrafocapoeira@gmail.com>> wrote:
>
>      > instalei em um servidor o protocologo layer7 pra bloquear o msn,
>
>     bittorrent
>
>      > e kaza... pois depois de reiniciar o roteador, ele ergue as do
>     bittorrent
>
>      > e
>
>      > kaaza mas a do msn nao
>
>      > a regra ta assim
>
>      > iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
>
>      > eu nao entendo o porque
>
>      >
>
>      >
>
>      >
>
>     --
>
>     Leandro Moreira
>
>     Linux Networks
>
>     e-mail: leandro@leandromoreira.eti.br
>     <mailto: leandro@leandromoreira.eti.br>
>
>     Tel.: + 55(32) 9197-7909
>
>
>
>
> --
> linux user nº 432194
>
> Eu sou livre e você?




--
linux user nº 432194

Eu sou livre e você?
Reply to: