problemas com L7-Filter

To: debian-user-portuguese@lists.debian.org
Subject: problemas com L7-Filter
From: Marcello Barreto de Medeiros <marcellobm@gmail.com>
Date: Mon, 12 May 2008 13:59:19 -0300
Message-id: <20080512135919.4f56124f@wolverine.digi.cabo.tv.br>
Boa tarde pessoal,
	eu instalei o L7-filter-v2.18 + IPP2P 0.8.2 + iptables 1.3.7 + kernel 2.6.20.1 (versão Sarge do projeto do KMuto) e todas as regras estão aparentemente ok. Consegui bloquear torrent, msn, emule, etc. Mas hoje, quando fui colocá-lo em produção, apareceu essa mensagem inúmeras vezes:

layer7: couldn't get conntrack.

	Estou usando um script que faz marcações nos pacotes e controle de banda com HTB (infelizmente não fui eu mesmo q o criei, um colega do trabalho desenvolveu e disse q estava usável). O script está configurado para as interfaces funcionarem em modo bridge.

	Além da mensagem de erro acima, os clientes não estão conseguindo conectar no emule, e deveria existir tráfego mas com baixa prioridade.
	Uma outra dúvida que tenho, é se preciso instalar o netfilter conntrack a partir do source dele para resolver essa mensagem de erro, apesar de ver os módulos "nf_conntrack_ipv4" e "nf_conntrack" levantados.


## Script
#########
brctl addbr br0
brctl addif br0 eth1
brctl addif br0 eth2

ifconfig eth1 0.0.0.0
ifconfig eth2 0.0.0.0

echo 1 > /proc/sys/net/ipv4/ip_forward


ifconfig br0 200.200.200.202 netmask 255.255.255.240
route add default gw 200.200.200.201

# Limpando as regras e considerando marcações anteriores
iptables -t mangle -Z
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT


# ICMP = prioridade alta
iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 1

# Tráfego de/para Servidores
for servidor in $(cat /root/servidores.txt)
do
        iptables -t mangle -A PREROUTING -s $servidor -j MARK --set-mark 1
done


# Tráfego HTTP tem prioridade alta
iptables -t mangle -A PREROUTING -i ! eth1 -p tcp --dport 80 -j MARK --set-mark 1


# Marcando a prioridade de diversos protocolos
# Se for o protocolo correto da porta -> prioridade alta
iptables -t mangle -A PREROUTING -i ! eth1 -p tcp --dport 20:21 -m layer7 --l7proto ftp -j MARK --set-mark 1

# Marcando protocolos difíceis de serem detectados (como streams e baseados em SSL)
# Se for tráfego p2p naquela porta -> prioridade baixa
iptables -t mangle -A PREROUTING -i ! eth1 -p tcp -m multiport --dports 443,465,1755 -m ipp2p --ipp2p -j MARK --set-mark 2

# Marcando todo o resto como baixa prioridade
iptables -t mangle -A PREROUTING -i ! eth1 -p tcp -m mark ! --mark 1 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i ! eth1 -p udp -m mark ! --mark 1 -j MARK --set-mark 2

# salvando as marcações
iptables -t mangle -A PREROUTING -m mark --mark 1 -j CONNMARK --save-mark
iptables -t mangle -A PREROUTING -m mark --mark 2 -j CONNMARK --save-mark

# Bloqueando portas default para complementar 
# portas de: eMule, bittorrent, gnutella, kazaa
iptables -t filter -A FORWARD -o eth1 -p tcp -m multiport --dports 4242,4661,4662,6881:6889,6969,6346:6348,1214 -j DROP

# controle de banda via HTB
tc qdisc add dev eth1 root handle 2:0 htb default 10
tc qdisc add dev eth2 root handle 3:0 htb default 10

# indicando a velocidade que cada dispositivo suporta
tc class add dev eth1 parent 2:0 classid 2:1 htb rate 2048000kbit ceil 2048000kbit
tc class add dev eth2 parent 3:0 classid 3:1 htb rate 2048000kbit ceil 2048000kbit

# Indicando a velocidade que cada nível de prioridade oferecerá
# (o mesmo repete para as outras interfaces)
tc class add dev eth1 parent 2:1 classid 1:10 htb rate 1500000kbit ceil 1500000kbit prio 1
tc class add dev eth1 parent 2:1 classid 1:11 htb rate 512kbit ceil 600bit prio 3

tc class add dev eth2 parent 2:1 classid 1:10 htb rate 1500000kbit ceil 1500000kbit prio 1
tc class add dev eth2 parent 2:1 classid 1:11 htb rate 512kbit ceil 600bit prio 3


## Informações do Sistema
#########################

qos:~# uname -a
Linux qos 2.6.20.1 #1 SMP Wed May 7 09:41:23 BRT 2008 i686 GNU/Linux
qos:~# iptables -V
iptables v1.3.7
qos:~# lsmod
Module                  Size  Used by
bridge                 49080  0 
sch_htb                16384  2 
button                  7856  0 
ac                      5220  0 
battery                 9924  0 
dm_snapshot            15620  0 
dm_mirror              19060  0 
dm_mod                 51660  2 dm_snapshot,dm_mirror
xt_multiport            3168  8 
xt_tcpudp               3232  11 
xt_MARK                 2400  57 
xt_mark                 1984  41 
xt_CONNMARK             3232  25 
iptable_mangle          2880  1 
nf_conntrack_ipv4      17836  29 
xt_layer7              11300  4 
nf_conntrack           58536  3 xt_CONNMARK,nf_conntrack_ipv4,xt_layer7
nfnetlink               6648  2 nf_conntrack_ipv4,nf_conntrack
ipt_ipp2p               6912  7 
iptable_filter          3072  1 
ip_tables              12324  2 iptable_mangle,iptable_filter
x_tables               14628  8 xt_multiport,xt_tcpudp,xt_MARK,xt_mark,xt_CONNMARK,xt_layer7,ipt_ipp2p,ip_tables
Reply to:
Prev by Date: Mysql Problema com Longtext
Next by Date: FTP
Previous by thread: Mysql Problema com Longtext
Next by thread: FTP
Index(es):
- Date
- Thread