estou me sentindo meio perdido, nao estou conseguindo de jeito nenhum fazer funcionar as regras do layer7 eu, atraves do modconf, fiz o modulo do layer7 inicializar. o resultado do comando lsmod mostra ele la: ipt_layer7 11876 0 como podem ver, ele mostra que nao tem nenhuma regra funcionando. as outras regras estao funcionando. eu nao sei onde esta o problema... pois as outras regras do script funcionam, ou seja é para o estar tudo certo... por favor, me peçam os logs necessarios pra podermos solucionar esse caso obrigado por hora
Em 13/11/07, Rodrigo - Y! <[EMAIL PROTECTED]> escreveu: > > Hi, > bom eu falo por experiência própria. Aqui no meu gateway bloqueie todas > as portas, liberei apenas as necessárias para navegação (80,443) e FTP. > Até MSN esta bloqueado por que a porta 1863 esta com DROP. > > Com isto matou todos tipo de trafego de P2P. Ao final liberei FORWARD > para alguns IPs e com isto liberei P2P para alguns IPs. > > > Em resumo tenho o layer7 engatilhado caso passe pelos bloqueios citados > logo acima, dai tenho as seguintes linhas comentadas. > > #modprobe ipt_layer7 > #$ipt -A FORWARD -m layer7 --l7proto bittorrent -j DROP > #$ipt -A FORWARD -m layer7 --l7proto fasttrack -j DROP > #$ipt -A FORWARD -m layer7 --l7proto edonkey -j DROP > #$ipt -A FORWARD -m layer7 --l7proto directconnect -j DROP > > Deixo ai minha experiência. > > Ats. > > > > -- > Rodrigo - Y! > Linux user # 366601 > Curitiba/PR. > > > "Feliz é aquele que transfere o que sabe e aprende o que ensina". > (Cora Coralina) > > Segurança é um processo, não um produto. > > > > > > > > Márcio Pedroso wrote: > > ? > > vou mostrar o meu script, assim nos nos entendemos, ok > > #!/bin/bash > > echo '1' > /proc/sys/net/ipv4/ip_forward > > #limpando as regras de iptables > > iptables -F > > iptables -t nat -F > > iptables -t mangle -F > > > > #firewall > > > > #liberar para um ip > > #Liberar Ip do chefe: > > #iptables -A FORWARD -s ip-do-chefe -m layer 7 --l7proto bittorrent -j > > ACCEPT > > #iptables -A FORWARD -d ip-do-chefe -m layer 7 --l7proto bittorrent -j > > ACCEPT > > > > > > #bloquear msn messenger > > /bin/modprobe ipt_layer7 > > iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP > > iptables -I FORWARD -s 192.168.1.0/24 <http://192.168.1.0/24> -p tcp > > --dport 1863 -j DROP > > iptables -A FORWARD -s 192.168.1.0/24 <http://192.168.1.0/24> -d > > loginnet.passport.com <http://loginnet.passport.com> -j REJECT > > iptables -A FORWARD -s 198.168.1.0/24 <http://198.168.1.0/24> -d > > messenger.hotmail.com <http://messenger.hotmail.com> -j REJECT > > iptables -A FORWARD -s 198.168.1.0/24 <http://198.168.1.0/24> -d > > webmessenger.msn.com <http://webmessenger.msn.com> -j REJECT > > iptables -A FORWARD -m layer7 --l7proto msnlivemessenger -j DROP > > #bloquear porta cs > > iptables -I OUTPUT -p udp --dport 27000:27030 -j DROP > > iptables -I OUTPUT -p tcp --dport 7002:27040 -j DROP > > > > > > #squid > > #redirecionamento de fluxo para a porta 3128 > > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT > > --to-port 3128 > > > > #mascarando conexoes de rede > > iptables -t nat -A POSTROUTING -j MASQUERADE > > > > esse script tem a permiçao de ser executavel (chmod +x) e tem um link em > > /etc/rc2.d/S99compartilhamento (informando que o nome do script é > > compartilhamento). ele, apos a reinicializaçao, nao carrega o modulo do > > layer7. mas se eu executo ele apos a reinicializaçao, ele carrega todos > > os modulos e regras. mas atençao, ele cupre todas as outras regras > > apresentadas, so nao cumpre a referente do layer7 pra o bloqueio do > > messenger > > > > ps: nao aparece as regras de bloqueio do emule e do bittorrent por se > > tratar de outra maquina, mas com o mesmo problema > > > > > > > > > > Em 11/11/07, *Leandro Moreira * <[EMAIL PROTECTED] > > <mailto:[EMAIL PROTECTED]>> escreveu: > > > > > > Caro, > > > > Isso esta aconetcendo porque voce bloqueou apenas o MSN, vc precisa > > entrar > > > > com regras pra cada um dos protocolos que deseja bloqueuar, do tipo: > > > > > > > > # Bloqueio do emule > > > > iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP (confirma na > > doc do > > > > L7) > > > > > > > > On Sat, 10 Nov 2007 11:52:40 -0200, "Márcio Pedroso" > > > > <[EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>> > wrote: > > > > > instalei em um servidor o protocologo layer7 pra bloquear o msn, > > > > bittorrent > > > > > e kaza... pois depois de reiniciar o roteador, ele ergue as do > > bittorrent > > > > > e > > > > > kaaza mas a do msn nao > > > > > a regra ta assim > > > > > iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP > > > > > eu nao entendo o porque > > > > > > > > > > > > > > > > > > > -- > > > > Leandro Moreira > > > > Linux Networks > > > > e-mail: [EMAIL PROTECTED] > > <mailto:[EMAIL PROTECTED]> > > > > Tel.: + 55(32) 9197-7909 > > > > > > > > > > -- > > linux user nº 432194 > > > > Eu sou livre e você? > > -- linux user nº 432194 Eu sou livre e você?
