+ Responder ao Tópico



  1. #1
    sk
    Visitante

    Padrão l7filter

    Olá pessoal, estou tendo problemas com o l7filter para barrar envio e recebimento de arquivos via msn messenger
    gostaria de uma ajuda dos srs.

    quando aplico o filtro para o protocolo msn-filetransfer nos logs do sistema ele me volta isso:

    May 23 12:19:41 brutus kernel: About to compile this: "^ver [ -~] *msnftp^M
    May 23 12:19:41 brutus kernel: ver msnftp^M
    May 23 12:19:41 brutus kernel: usr"

    e nao barra a transferencia ?

    alguem poderia me dar uma mao?

    agradeço

    sK

  2. #2

    Padrão l7filter

    diga qual kernel eh,

    vc aplicou os patchs para o iptables e o kernel neh

  3. #3
    Mr_Mind
    Visitante

    Padrão l7filter

    parece-me que isso é erro de parse de... ou algum header que ele não tem nos filtros, que é o caso do msnftp (msn file tranfer protocol). possivelmente a versão do protocolo. tendo em conta que o msn é actualizado a cada dia que passa, devido a falhas de segurança, é possível que os filtros que identificam comunicações MSN deixe d funcionar correctamente.

  4. #4
    sk
    Visitante

    Padrão l7filter

    é o kernel 2.4.30
    apliquei o path ao kernel e ao netfilter
    no kernel abilitei o debug para o l7filter

  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão l7filter

    se nao tah barrando, tenta fazer shape... coloca uma taxa baixissima... ve se funciona.

  6. #6

    Padrão l7filter

    posta tua regra do iptables tb

  7. #7
    sk
    Visitante

    Padrão l7filter

    Fiz das seguintes maneiras:

    iptables -t mangle -A PREROUTING -m layer7 --l7proto msn-filetransfer -j DROP

    iptables -t mangle -A PREROUTING -s 192.168.0.0/24 -m layer7 --l7proto filetransfer -j DROP

    iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP

    fiz a regra de forward tbm na tabela mangle,
    fui explicito nas regras

    e tbm especifiquei as portas 6891:6900 com o l7filter tanto saindo como entranto nestas portas.

    nao funcionou.

  8. #8

    Padrão l7filter

    Aparentemente as regras estao certas, sera que nao temnenhuma regra anterior a essas que esta liberando o acesso

  9. #9
    sk
    Visitante

    Padrão l7filter

    Já verifiquei ... nao ..., fiz questao de colocar a regra como 1 das tabelas.

    estou incucado com aquele erro ... quando aplico a regra e consulto os logs ... me volta aquilo , para outros protocolos .. a regra foi aplicada sem problemas, por exemplo o kazaa. barrei pelo plugin fasttrack

  10. #10

    Padrão l7filter

    sera q o arquivo msn-filetransfer ta danificado, jah tentou baixar ele denovo

  11. #11
    Mr_Mind
    Visitante

    Padrão l7filter

    ninguém me ouve.... ;-)

  12. #12

    Padrão l7filter

    Citação Postado originalmente por Mr_Mind
    ninguém me ouve.... ;-)
    ouve sim erro na sintaxe ateh pode ser, mas nao eh problema no protocolo nao, eu estou utilizando isso aki e esta funcionando

  13. #13
    Mr_Mind
    Visitante

    Padrão l7filter

    eu não disse q o problema seria do protocolo, mas a forma como o l7-filter faz o check através dos headers, e uma vez que o protocolo tem sofrido grandes alterações, possivelmente o pattern usado estará desactualizado. o output do erro mostra, a meu ver, isso mesmo... um erro de parse.

    quanto ao ele não estar a bloquear, acontece pq não reconhecerá o protocolo... uma vez que o parse não funcionaria, e posteriormente não se detecte a presença desse protocolo.

  14. #14
    sk
    Visitante

    Padrão conteudo do msn-filetransfer.pat detalhe: ja puxei outro tb

    # MSN Filetransfers - Filetransfers as used by MSN Messenger
    # Pattern quality: good
    #
    # http://www.hypothetic.org/docs/msn/c...e_transfer.php
    #
    # This pattern has been tested and is believed to work well. It, does,
    # however, require more testing with various versions of the official
    # MSN client as well as with clones such as Trillian, Miranda, Gaim,
    # etc. If you are using a MSN clone and this pattern DOES work for you,
    # please, also let us know.
    #
    # Please post to [email protected] as to whether it works
    # for you or not. If you believe it could be improved please post your
    # suggestions to that list as well. You may subscribe to this list at
    # http://lists.sourceforge.net/lists/l...ter-developers

    # A MSN filetransfer is a normal MSN connection except that the protocol
    # is MSNFTP. Some clients (especially Trillian) send other protocol versions
    # besides MSNFTP which should be matched by the [ -~]*.

    msn-filetransfer
    ^ver [ -~] *msnftp\x0d\x0aver msnftp\x0d\x0ausr

  15. #15

    Padrão l7filter

    Eh o arquivo esta igual ao meu, pode ter acontecido oq o mr_mind disse, abre uma conexao de trasnferencia de arquivos ai na sua rede e monitora com o ethereal para ver oq ele manda no pacote, as vezes uma pequena alteração na regra resolve

  16. #16
    sk
    Visitante

    Padrão l7filter

    capturei o trafego com o ethereal

    na hora do envio

    content-type: application/x-msnmsgrp2p

    com isso tem como barrar?

    alguem pode me dar uma mao para fazer a expressao para barrar ?

  17. #17

    Padrão l7filter

    nao eh essa string q vc tem q usar nao, com isso ae vc vai barrar o msn inteiro.

    cola aki o trafego salvo pra gente da uma olhada, ou coloca o arquivo em algum canto pra gente acessar se for mto grande

  18. #18
    sk
    Visitante

    Padrão versao

    Pessoal , instalei a versao do l7filter netfilter-layer7-v1.2

    é a ultima ... antes eu estava com a 1.3 .... e ocorria aquele erro de parsin
    que o amigo disse.
    com a 1.2 foi normal sem retornar o erro.

    ai verifiquei que eles disponibilizaram a versao 1.4 e tambem as atualizações para os protocolos... o do msn-filetransfer esta igual nao mudou ....

    e no entando nao consigo barrar.

    um desses dias a noite fiz a regra na tabela mangle na chain POSTROUTING e vi alguns pacotes sendo barrados ... mas foi so nesse dia.... .....

    Alguem pode me dar uma luz ai? novamente um obrigado a todos que teem me ajudado

    grato