Problema com IPtables+layer7

nikollas · 17-12-2006, 21:30

Caros amigos,

Tenho um servidor que funciona como um roteador+firewall+layer7, onde faço varios bloqueios usando kernel 2.6.17.14+layer7.2.5+iptables 1.3.6.

O problema que quando ativo o bloqueio de p2p simplesmente o servidor para de responder "trava por total" já troquei de maquina tudo novo e atualmente estou com um P4 512m hd 40g....

Já troquei por varios kernel e mais estavel que achei foi este, será algum problema na regra? segue abaixo para que possa dar um dica...

l7p2p="
edonkey
gnutella
netbios
napster
fasttrack
bittorrent
imesh
"
mark=4

inittable l7p2p services

$iptm -A l7p2p -m mark --mark $mark -j ACCEPT
for l7 in $l7p2p; do
$iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marcar com $mark
done
$iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao

$iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http

[]'s

Benatto · 27-12-2006, 8:59

amigo axo que sua regra ta errada

vc poderia passar o todo o firewall pois

pois vc ta usando Chain que vc mesmo criou

nikollas · 27-12-2006, 11:10

O firewall sobre o Layer7 esta +/- assim, o que vc achas que esta errado?

# iniciar variaveis
devices=""

external=eth0
internal=eth1

# carregar modulos P2P
insmod /usr/lib/iptables/ipt_ipp2p.ko 2>/dev/null
modprobe ipt_layer7 2>/dev/null

# iniciar tabela de marcacoes
echo " - Iniciando tabelas de QoS"
inittable servers FORWARD
inittable services FORWARD

# configurar serviços
iptm="iptables -t mangle "

l7p2p="
edonkey
gnutella
netbios
napster
fasttrack
bittorrent
imesh
"
mark=4

inittable l7p2p services
# aceitar pacotes salvos

$iptm -A l7p2p -m mark --mark $mark -j ACCEPT
for l7 in $l7p2p; do
$iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marca
done
$iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao

echo "Classificando Serviços"
# MSN e outros no link 2 (servicos) ---------------------------------
l7services="
msn-filetransfer
msnmessenger
skypeout
skypetoskype
h323
sip
"
mark=2
inittable iservices services

# aceitar pacotes salvos
$iptm -A iservices -m mark --mark $mark -j ACCEPT

# marcar servicos da regra
for l7 in $l7services; do
$iptm -A iservices -m layer7 --l7proto $l7 -j MARK --set-mark $mark # m
done

# aceitar pacotes salvos
$iptm -A vitais -m mark --mark $mark -j ACCEPT
$iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http

$iptm -A vitais -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A vitais -m mark --mark $mark -j ACCEPT # aceitar marcacao

Benatto · 27-12-2006, 13:13

o veio entra no msn fera eu precisava ver o firewall completo

17-12-2006, 21:30	#1 (permalink)
nikollas Registrado em: Dec 2006 Localização: Portugal Mensagens: 40 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 27	Problema com IPtables+layer7 Caros amigos, Tenho um servidor que funciona como um roteador+firewall+layer7, onde faço varios bloqueios usando kernel 2.6.17.14+layer7.2.5+iptables 1.3.6. O problema que quando ativo o bloqueio de p2p simplesmente o servidor para de responder "trava por total" já troquei de maquina tudo novo e atualmente estou com um P4 512m hd 40g.... Já troquei por varios kernel e mais estavel que achei foi este, será algum problema na regra? segue abaixo para que possa dar um dica... l7p2p=" edonkey gnutella netbios napster fasttrack bittorrent imesh " mark=4 inittable l7p2p services $iptm -A l7p2p -m mark --mark $mark -j ACCEPT for l7 in $l7p2p; do $iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marcar com $mark done $iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao $iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao $iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http []'s

27-12-2006, 8:59	#2 (permalink)
Benatto Registrado em: Nov 2002 Idade: 23 Mensagens: 2.240 Agradeceu: 6 Agradecido 63 vez(es) em 63 Posts Envios no Blog: 1 Reputação: 300	amigo axo que sua regra ta errada vc poderia passar o todo o firewall pois pois vc ta usando Chain que vc mesmo criou __________________ att, Bruno Benatto Adacheski Foxbyte Internet Service - www.foxbyte.com.br Mytools Sistema Gerenciamento a Provedores - mytools.foxbyte.com.br bruno@foxbyte.com.br Fones: 43 3567-1747 43 9916-7946 Última edição por Benatto : 27-12-2006 às 9:02.

27-12-2006, 13:13	#4 (permalink)
Benatto Registrado em: Nov 2002 Idade: 23 Mensagens: 2.240 Agradeceu: 6 Agradecido 63 vez(es) em 63 Posts Envios no Blog: 1 Reputação: 300	o veio entra no msn fera eu precisava ver o firewall completo __________________ att, Bruno Benatto Adacheski Foxbyte Internet Service - www.foxbyte.com.br Mytools Sistema Gerenciamento a Provedores - mytools.foxbyte.com.br bruno@foxbyte.com.br Fones: 43 3567-1747 43 9916-7946

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Problema com layer7	durban	Proxy/NAT/Firewall	10	20-12-2006 11:12
Iptables+Layer7+ipp2p x Bitcomet	MarcioRM	Proxy/NAT/Firewall	5	15-09-2006 9:57
Iptables e Layer7 - erro: iptables: Unknown error 4294967295	nasserala	Proxy/NAT/Firewall	1	26-07-2006 21:13
iptables + layer7 loga e bloqueia emule, msn, mas msn file transfer não!!! =(	flep	Proxy/NAT/Firewall	5	08-06-2006 15:46
Autenticação com layer7+iptables ???	nikolas	Proxy/NAT/Firewall	0	26-03-2006 22:55

27-12-2006, 11:10	#3 (permalink)
nikollas Registrado em: Dec 2006 Localização: Portugal Mensagens: 40 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 27	O firewall sobre o Layer7 esta +/- assim, o que vc achas que esta errado? # iniciar variaveis devices="" external=eth0 internal=eth1 # carregar modulos P2P insmod /usr/lib/iptables/ipt_ipp2p.ko 2>/dev/null modprobe ipt_layer7 2>/dev/null # iniciar tabela de marcacoes echo " - Iniciando tabelas de QoS" inittable servers FORWARD inittable services FORWARD # configurar serviços iptm="iptables -t mangle " l7p2p=" edonkey gnutella netbios napster fasttrack bittorrent imesh " mark=4 inittable l7p2p services # aceitar pacotes salvos $iptm -A l7p2p -m mark --mark $mark -j ACCEPT for l7 in $l7p2p; do $iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marca done $iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao $iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao echo "Classificando Serviços" # MSN e outros no link 2 (servicos) --------------------------------- l7services=" msn-filetransfer msnmessenger skypeout skypetoskype h323 sip " mark=2 inittable iservices services # aceitar pacotes salvos $iptm -A iservices -m mark --mark $mark -j ACCEPT # marcar servicos da regra for l7 in $l7services; do $iptm -A iservices -m layer7 --l7proto $l7 -j MARK --set-mark $mark # m done # aceitar pacotes salvos $iptm -A vitais -m mark --mark $mark -j ACCEPT $iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http $iptm -A vitais -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao $iptm -A vitais -m mark --mark $mark -j ACCEPT # aceitar marcacao

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail