Eu não tive problemas. Estou apenas reportando o que está escrito no site que te passei.
" 1. Blocking Don't. Here's why: - l7-filter matching isn't foolproof: there may be both false positives (one protocol can look like another) and false negatives (applications can do obscure things that we didn't count on). Patterns that are known to regularly generate false positives are marked "overmatching" on the protocols page <http://l7-filter.sourceforge.net/protocols>, but others may also do so occasionally. - Almost every type of Internet traffic has legitimate uses. For instance, P2P protocols, while widely used to violate copyright, are also an efficient way to distribute open source software and legally free music. - Programs can respond to being blocked by port-hopping, switching between TCP and UDP, opening a new connection for every trivial operation, using encryption, or employing other evasion tactics. Trying to block such protocols has consequences on two levels: 1. In the case of port/protocol-hopping, you make it harder for yourself to identify protocols that already act this way. 2. You encourage programmers to include these "features" in new programs, making it harder for everyone in the future. For example: In early 2006, Bittorrent started moving towards end-to-end encryption because many networks were either blocking it or severely restricting its bandwidth. - l7-filter patterns are not generally designed with blocking in mind. We consider a protocol to be well identified if the identification is useful for controlling its bandwidth. This means, for instance, that for P2P applications, we do not focus on catching connections that are not downloads. - Blocking with l7-filter provides *no* security, since any reasonably determined person can easily circumvent it. Instead of dropping packets you don't like, we recommend using Linux QoS to restrict their bandwidth usage. If you insist on using l7-filter to drop packets, make sure you have investigated other options first, such as the features of your HTTP proxy (useful for worms). " 2011/8/24 "Flávio R. Lopes" <[email protected]> > ** > Olá Ellington. > > Como assim "não é funcional" ? > Qual o problema que vc teve para barrar o fluxo de aplicações P2P ? > > > On 24-08-2011 13:00, Ellington Santos wrote: > > http://l7-filter.sourceforge.net/ > > Mas já te adianto que não é muito funcional. Pelo menos não como filtro. > > > > 2011/8/24 "Flávio R. Lopes" <[email protected]> > >> Boa tarde pessoal. >> Desculpe minha ignorância no assunto, mas gostaria de uma opinião de vocês >> quanto a utlização do Iptables com Layer-7. >> Ainda não utilizei, mas pelo que andei lendo por aí parece que consome >> bastante processamento e memória. É verdade? >> Se for verdade, dependendo da máquina onde se vai configurar, por exemplo, >> um Firewall + Squid/Proxy, será inviável. >> >> Uma outra coisinha, ele não vem compilado nas versões mais recentes do >> Slack né? Teria que aplicar o patch do Netfilter e compilar o Kernel para >> isto? >> >> Alguém poderia me indicar alguma leitura adicional sobre o assunto? >> >> Abraço, >> Flávio >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] > -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
