Visite também:
Br-Linux ·
VivaOLinux ·
LinuxSecurity ·
Dicas-L ·
NoticiasLinux ·
SoftwareLivre.org ·
[mais]
|
|
||||||
| Fóruns | Wiki | Classificados | Reviews | Jogos | Grupos Sociais | RSS Feeds | FAQ | Termos de Uso | Contato | Sobre |
| Registrar | Fotos | Blogs | Calendário | Marcar Fóruns Como Lidos |
Problema com layer7
 |
|
|
LinkBack | Ferramentas do Tópico |
12-12-2006, 14:21
|
#1 (permalink) |
 
Registrado em: Oct 2004
Localização: Mato Grosso
Idade: 23
Posts: 118
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0    |
Problema com layer7
Galera... Eu recompilei o Kernel certinho, com layer7 e ipp2p. Testei com o comando:
iptables -m layer7 --help E aparece o help dele, que teoricamente, ele está ativado no Kernel então!!!! O que acontece, eu não consigo fazer uma regra para o MSN Messenger, onde quero liberar o IM para algumas pessoas e bloquear para o resto. Se eu faço a regra, ela bloqueia para TODOS, até os IP's que eu deixei liberado. Abaixo, segue como foi colocado a regra, e a ordem: iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j ACCEPT iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $LAN -j DROP Outra dúvida: Na mesma idéia, estou tentando bloquear o download de arquivos com extensão EXE, mas não funciona, mesmo se eu quiser bloquear para TODO MUNDO não poder fazer o download. Abaixo, segue como usei a regra: iptables -A FORWARD -m layer7 --l7proto exe -d $LAN -j DROP E tentei assim também: iptables -A FORWARD -m layer7 --l7proto exe -j DROP Muito estranho, pois se não estivesse funcionando mesmo, ele não bloquearia todo mundo no MSN Messenger, mas não entendo o por que dessa última regra não está funcionando!!!!! |
|
|
12-12-2006, 15:53
|
#2 (permalink) |
|
Administrador
 
Registrado em: May 2004
Idade: 22
Posts: 3,589
Agradeceu: 5
Agradecido 123 vez(es) em 118 Posts
Reputação: 416  |
É de boa praxe quando utilizar a chain FORWARD referenciar a rede interna com a opção -s e o destino por -d. Fora isso, o quê exatamente contém a variável $FULANO?
__________________
A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas |
|
|
|
12-12-2006, 16:07
|
#3 (permalink) |
|
Registrado em: Oct 2004
Localização: Mato Grosso
Idade: 23
Posts: 118
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Na variável $FULANO... tem o número IP da pessoa que não vai bloquear o MSN. Já a variável $LAN, tem a faixa de IP que pertence a terceira classe e no final /24....
|
|
|
|
13-12-2006, 11:33
|
#4 (permalink) |
|
Administrador
Registrado em: May 2004
Idade: 22
Posts: 3,589
Agradeceu: 5
Agradecido 123 vez(es) em 118 Posts
Reputação: 416 |
Sim, mas este IP não está com máscara /24 não, né?
__________________
A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas |
|
|
|
14-12-2006, 17:38
|
#6 (permalink) |
 
Registrado em: Sep 2005
Localização: Santa Catarina
Distribuição: Debian/Ubuntu
Idade: 26
Posts: 495
Agradeceu: 3
Agradecido 74 vez(es) em 68 Posts
Envios no Blog: 10
Reputação: 102 |
Olá amigo!
Se eu fosse você tentaria o seguinte iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j ACCEPT iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $FULANO -j RETURN iptables -A FORWARD -m layer7 --l7proto msnmessenger -d $LAN -j DROP Eu imagino que ele esta dropando o pessoal que você liberou pois ele continua a ler as regras e quando ele chega "-d $LAN" o endereço que você liberou pertence a $LAN! Por isso eu imagino que ele ta dropando os pacotes! O return vai ajudar pois ele quando chegar nesse ponto vai parar de ler essas regras! Tenta isso ai manow! Falows! André
__________________
Tecnol. André Marascalchi Zenun andre.zenun@gmail.com (GoogleTalk) CCNA (CSCO 11017645) Blogs: Yet Another Linux Blog Under-linux.org Blog Leia a FAQ da Under-linux.org 
|
|
|
|
19-12-2006, 19:53
|
#8 (permalink) |
|
Registrado em: Sep 2005
Localização: Santa Catarina
Distribuição: Debian/Ubuntu
Idade: 26
Posts: 495
Agradeceu: 3
Agradecido 74 vez(es) em 68 Posts
Envios no Blog: 10
Reputação: 102 |
Quando o script substitui as variáveis elas ficam assim por exemplo:
iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j ACCEPT iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.2 -j RETURN iptables -A FORWARD -m layer7 --l7proto msnmessenger -d 192.168.2.0/255.255.255.0 -j DROP Claro que não necessariamente esse mesmo ip/rede. Como estão as suas outras regras de iptables? Falows...
__________________
Tecnol. André Marascalchi Zenun andre.zenun@gmail.com (GoogleTalk) CCNA (CSCO 11017645) Blogs: Yet Another Linux Blog Under-linux.org Blog Leia a FAQ da Under-linux.org
Última edição por zenun; 19-12-2006 às 19:55 |
|
|
|
20-12-2006, 09:31
|
#9 (permalink) |
|
Registrado em: Oct 2004
Localização: Mato Grosso
Idade: 23
Posts: 118
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Sim, ele fica com esses IP's sim....
Aproveitando a deixa, vou colocar a conf do meu firewall para ver onde estou errado, e queria se alguem ver, analisar ele todo, para ver se tem algo desnecessario. OBS: IP'S FICTÍCIOS....... # Variaveis usadas no IPTABLES LAN=192.168.1.0/24 WAN=200.122.173.213 LIDIANE=192.168.1.183 CAIO=192.168.1.190 ELIZANGELA=192.168.1.188 VALNI=192.168.1.157 FERNANDO=192.168.1.123 TELMA=192.168.1.122 SERVIDOR_BD=192.168.1.50 OLEANDRO=192.168.1.195 # Limpa todas as regras do IPTABLES anteriores iptables -F iptables -t nat -F iptables -t mangle -F iptables -t filter -F # Politica padrao da Prefeitura (Bloquear entradas e liberar saidas) #iptables -P INPUT DROP #iptables -P FORWARD DROP #iptables -P OUTPUT ACCEPT # ================== PROTECOES CONTRA INVASOES DIVERSAS ================================ # Protecao contra Worm iptables -A FORWARD -p tcp --dport 135 -i eth1 -j DROP # Bloqueio contra ataques Spoofing #iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP #iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP #iptables -t nat -A PREROUTING -i eth1 -s $LAN -j DROP # Bloqueio contra WinCrash iptables -A FORWARD -p tcp --dport 5042 -j DROP # Bloqueando Back Orifice iptables -A INPUT -p tcp -i $WAN --dport 31337 -j DROP iptables -A INPUT -p udp -i $WAN --dport 31337 -j DROP # Bloqueando NetBus iptables -A INPUT -p tcp -i $WAN --dport 12345:12346 -j DROP iptables -A INPUT -p udp -i $WAN --dport 12345:12346 -j DROP # Bloqueando Trin00 iptables -A INPUT -p tcp -i eth1 --dport 1524 -j DROP iptables -A INPUT -p tcp -i eth1 --dport 27444 -j DROP iptables -A INPUT -p tcp -i eth1 --dport 27665 -j DROP iptables -A INPUT -p tcp -i eth1 --dport 31335 -j DROP iptables -A INPUT -p tcp -i eth1 --dport 34555 -j DROP iptables -A INPUT -p tcp -i eth1 --dport 35555 -j DROP # Bloqueando ataques Syn-flood, DoS iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT echo 1 > /proc/sys/net/ipv4/tcp_syncookies # Fechando portas TIME e o SERVER X iptables -A INPUT -i eth1 -p tcp --dport 37 -j DROP # Bloqueando o Death Ping iptables -A FORWARD -p ICMP --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Bloqueando nmap-port scanning iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Bloqueando pacotes quebrados ou suspeitos #iptables -A FORWARD -m unclean -j DROP # Protecao contra ataques iptables -A INPUT -m state --state INVALID -j DROP # Bloqueando Tracertroute iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP # =================================== ======= FIM =================================== ========= # Coloca o proxy transparente #iptables -t nat -A PREROUTING -s $LAN -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Distribui internet a rede interna iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # Redireciona a porta do Aplication Server iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 10000 --to $SERVIDOR_BD:10000 # Redirecionar a porta do VNC Repeater para o Servidor de Dados iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 5901 --to $SERVIDO_BD:5901 # Redireciona a porta do FIREBIRD (3050) para o Servidor de Dados iptables -t nat -A PREROUTING -j DNAT -p tcp -i eth1 -d $WAN --dport 3050 --to $SERVIDOR_BD:3050 # Liberar porta para o Net Support Manager (Duralex) iptables -A FORWARD -s $LAN -p tcp --dport 3085 -j ACCEPT # Uso do TOS para TS, Firebird e FTP iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3389 -j TOS --set-tos 16 iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3389 -j TOS --set-tos 16 iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 3050 -j TOS --set-tos 8 iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 3050 -j TOS --set-tos 8 iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 21 -j TOS --set-tos 16 iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 21 -j TOS --set-tos 16 iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 22 -j TOS --set-tos 8 iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 22 -j TOS --set-tos 8 iptables -t mangle -A OUTPUT -o eth1 -p tcp --dport 2401 -j TOS --set-tos 16 iptables -t mangle -A PREROUTING -i eth1 -p tcp --sport 2401 -j TOS --set-tos 16 # Bloqueio de internet por IP #iptables -A FORWARD -s $LIDIANE -j DROP iptables -A FORWARD -s $CAIO -j DROP #iptables -A FORWARD -s $OLEANDRO -j DROP #iptables -A FORWARD -s 192.168.0.185 -j DROP # Bloquear ORKUT via HTTPS #for BLOCK_ORKUT in `cat /etc/rc.d/orkut.block` #do #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT #iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $VALNI --dport 443 -j ACCEPT #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT #iptables -A INPUT -d $BLOCK_ORKUT -p tcp -s $TELMA --dport 443 -j ACCEPT #iptables -A FORWARD -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP #iptables -A INPUT -d $BLOCK_ORKUT -p tcp --dport 443 -j DROP #done # Bloquear todos os programas P2P iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --dc --bit --apple --winmx --soul --ares -j DROP ################################### ######### Bloqueio de IM ################################# # Bloqueando ICQ iptables -A FORWARD -p tcp --dport 5190 -j DROP iptables -A FORWARD -d login.icq.com -j DROP # Bloqueando AIM iptables -A FORWARD -d login.oscar.aol.com -j DROP # Bloqueando Yahoo Messenger iptables -A FORWARD -d cs.yahoo.com -j DROP iptables -A FORWARD -d scsa.yahoo.com -j DROP # Bloquear MSN #for IPVALIDOMSN in `cat /etc/rc.d/ip.msn.valido | cut -f1 -d#` #do #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j ACCEPT #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $IPVALIDOMSN -j RETURN #iptables -A FORWARD -m layer7 --l7proto msnmessenger -s $LAN -j DROP #done # =================================== =========== FIM =================================== # ================================ Configuracao para OPENVPN ========================== # Libera a porta para conexao com o HOME_FERNANDO e redireciona a porta para o SERVIDOR iptables -A INPUT -p udp --dport 64569 -j ACCEPT #Permite que pacotes vindo de uma interface TUN/TAP entrem na rede. iptables -A INPUT -i tun+ -j ACCEPT #iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT #iptables -A FORWARD -i tap+ -j ACCEPT # =================================== ======== FIM =================================== == # Bloqueio de Downloads e Uploads de arquivos de extensao EXE iptables -A FORWARD -m layer7 --l7proto exe -d $LAN -j DROP #Bloqueio de streaming de Audio e Video na net iptables -A FORWARD -p TCP --dport 554 -j REJECT # Bloqueio Real Player iptables -A FORWARD -p TCP --dport 1775 -j REJECT # Bloqueio WindowsMedia iptables -A FORWARD -p TCP --dport 7001 -j REJECT # Voz no MSN # Bloqueia qualquer tentativa de conexao de fora para dentro por TCP #iptables -A INPUT -i eth1 -p tcp --syn -j DROP |
|
|
|
20-12-2006, 10:01
|
#10 (permalink) |
|
Administrador
Registrado em: May 2004
Idade: 22
Posts: 3,589
Agradeceu: 5
Agradecido 123 vez(es) em 118 Posts
Reputação: 416 |
Ah cara, dá um
Código:
# iptables -n -L
__________________
A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas |
|
|
|
| Ferramentas do Tópico | |
|
|
Tópicos Similares
|
||||
| Tópico | Tópico Iniciado Por | Fórum | Respostas | Última Mensagem |
| Problema com IPtables+layer7 | nikollas | Proxy/NAT/Firewall | 3 | 27-12-2006 12:13 |
| Atualizar o Layer7 de v2.0 pra v2.2 | tarcisiojr | Wireless | 1 | 09-07-2006 18:02 |
| Slackware+ Layer7 | killabc | Proxy/NAT/Firewall | 5 | 24-04-2006 21:21 |
| layer7 | etherlink | OpenBSD | 2 | 22-02-2006 09:34 |
| Log do Layer7 | Kandango | Segurança | 0 | 09-01-2006 11:16 |
Horários baseados na GMT -3. Agora são 17:33.
Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.
| Divulgue |
|
