Jah usei layer 7 eh bom pra filtrar os protocolos que voce quer a uns 2 ou 3 anos atras ele tinha problemas com multiprocessadores.. nao sei se foi corrigido (provavelmente foi) já faz um tempo que nao vejo isso... mas os testes que fiz, ele funcionou bem.. tanto em questao de log, quanto questao de bloqueio...
com relaçao as regras de firewall, eu nao lembro muito bem como pode dar retrieve no mac da máquina remota... pq lans normalmente trabalham com essa camada. quando se passa pela internet, as coisas normalmente sao resolvidas utilizando do protocolo IP. Entao eu teria que pesquisar mais, pegar um livro aqui, e ler a PDU que passa pra esse serviço.. nao fui muito util.. mas layer 7 eh uma boa pedida... soh que as custas de processamento e memoria.. tem que ver se eh viavel. regards 2010/5/10 Flávio Barros <[email protected]>: > Funciona 100% ? > > Em 10 de maio de 2010 19:07, Alexandre Pereira Bühler <[email protected]> > escreveu: >> >> Olá amigo, >> >> "O projeto l7-filter é um "classificador" para o subsistema do Kernel >> Netfilter que identifica pacotes baseado no conteúdo da camada de aplicação >> (camada 7 OSI). Isto significa que é possivel facilmente classificar pacotes >> como HTTP,FTP,eDonkey,MSN,etc.. além das portas. Ele complementa os >> classificadores existentes que comparam endereços, portas,etc. >> A intenção do l7-filter é para ser utilizado em conjunto com o QoS, mas é >> possível utilizá-lo como meio de filtrar o que entra e sai da rede." fonte >> http://under-linux.org/wiki/Tutoriais/Seguranca/Layer7 >> >> Veja também: >> >> http://www.slackware-brasil.com.br/web_site/artigos/artigo_completo.php?aid=3551 >> http://under-linux.org/wiki/Tutoriais/Seguranca/Iptables-Layer7-PP2P >> http://l7-filter.sourceforge.net/HOWTO-kernel >> http://www.vivaolinux.com.br/artigo/Instalacao-do-Layer7-no-Debian-Etch/ >> http://br.answers.yahoo.com/question/index?qid=20091118053354AALZzP4 >> Obrigado >> >> >> Em 10-05-2010 18:52, wouerner escreveu: >> >> não sou especialista mas layer 7 (camada de aplicação?) e firewall vai só >> até ( camada 4 modelo OSI), se tiver me corrigir por favor ... >> >> >> On 05/10/2010 06:50 PM, Andre Ramoni wrote: >> >> O que atrapalha é uma coisa só: >> Como voce pretende que o MAC de um host na Internet chegue até seu >> firewall ? >> >> Como criar um firewall consiste em criar regras em cima de políticas >> feitas com base no conhecimento dos protocolos, voce precisa comecar >> conhecendo os protocolos primeiro. >> >> >> >> On May 10, 2010, at 6:43 PM, Alexandre Pereira Bühler wrote: >> >> >> >> Boa noite lista, >> >> Tenho algumas dúvidas? >> O iptables do Slackware 13 já vem com a layer 7 compilada? >> Consigo fazer o bloqueio por mac address de um micro para internet. >> Mas não consigo fazer o contrário. >> Bloquear tudo e liberar para determinados hosts na internet pelo mac >> address. >> Usei o nmap e vi que não consigo saber o mac dos clientes específicos na >> internet para os quais devo liberar o acesso a um servidor TS. >> Fui até as máquinas e pesquisei o mac dos micros e do modem adsl. >> Mas mesmo assim se adiciono nas regras não funciona. >> Alguma dica do porque não funciona? >> >> A regras que uso são estas: >> # libera terminal service >> iptables -A INPUT -i eth2 -p TCP --dport 3389 -m mac --mac-source >> XX:XX:XX:XX:XX:XX --syn -j ACCEPT >> iptables -A INPUT -i eth2 -p UDP --dport 3389 -m mac --mac-source >> XX:XX:XX:XX:XX:XX -j ACCEPT >> iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389 >> -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT >> iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389 >> -m mac --mac-source XX:XX:XX:XX:XX:XX -j DNAT --to-destination 192.168.1.3 >> iptables -A FORWARD -p tcp --dport 3389 -j LOG --log-prefix "Serviço: TS" >> >> Desconfio que seja abertura para qualquer host no -s 0/0 que me >> atrapalha. >> >> Obrigado >> >> >> >> -- >> Alexandre Pereira Bühler >> Técnico Eletroeletrônica - Senai - MG >> Linux User: 397.546 >> Colunista: www.delphisophp.com >> Owner: http://br.groups.yahoo.com/group/freepascal/ >> Liberdade é essencial. Use GNU/Linux. >> Legalize os softwares de sua empresa >> >> Simão& Bühler Ltda (Infobrindes) >> Instalação, manutenção e venda de servidores GNU/Linux. >> http://www.simaoebuhler.com.br >> Hardware acesse, veja e tenha produtos com qualidade, garantia e nota >> fiscal. >> http://www.simaoebuhler.com.br/loja >> [email protected] >> Telefone: (41) 3538-5428 >> >> Infobrindes (Simão& Bühler Ltda) >> Brindes e material promocional. >> http://www.infobrindes.com.br >> [email protected] >> Telefone: (41) 3532-5428 >> >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> >> >> >> >> >> -- >> Alexandre Pereira Bühler >> Técnico Eletroeletrônica - Senai - MG >> Linux User: 397.546 >> Colunista: www.delphisophp.com >> Owner: http://br.groups.yahoo.com/group/freepascal/ >> Liberdade é essencial. Use GNU/Linux. >> Legalize os softwares de sua empresa >> >> Simão& Bühler Ltda (Infobrindes) >> Instalação, manutenção e venda de servidores GNU/Linux. >> http://www.simaoebuhler.com.br >> Hardware acesse, veja e tenha produtos com qualidade, garantia e nota >> fiscal. >> http://www.simaoebuhler.com.br/loja >> [email protected] >> Telefone: (41) 3538-5428 >> >> Infobrindes (Simão& Bühler Ltda) >> Brindes e material promocional. >> http://www.infobrindes.com.br >> [email protected] >> Telefone: (41) 3532-5428 >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] > > > -- > Desde já agradeço, > +++ > Flávio de Oliveira Barros > Manaus - Amazonas - Brasil > > Copiar é bom! > Seja Legal > Use Software Livre > Ubuntu User number is # 28558 > Linux Registered User# 278223 > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
