Caros amigos,
Tenho um servidor que funciona como um roteador+firewall+layer7, onde faço varios bloqueios usando kernel 2.6.17.14+layer7.2.5+iptables 1.3.6.
O problema que quando ativo o bloqueio de p2p simplesmente o servidor para de responder "trava por total" já troquei de maquina tudo novo e atualmente estou com um P4 512m hd 40g....
Já troquei por varios kernel e mais estavel que achei foi este, será algum problema na regra? segue abaixo para que possa dar um dica...
l7p2p="
edonkey
gnutella
netbios
napster
fasttrack
bittorrent
imesh
"
mark=4
inittable l7p2p services
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT
for l7 in $l7p2p; do
$iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marcar com $mark
done
$iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao
$iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http
[]'s
-
17-12-2006, 21:30 #1
- Ingresso
- Dec 2006
- Posts
- 204
Problema com IPtables+layer7
-
27-12-2006, 08:59 #2
amigo axo que sua regra ta errada
vc poderia passar o todo o firewall pois
pois vc ta usando Chain que vc mesmo criouÚltima edição por Bruno; 27-12-2006 às 09:02.
-
27-12-2006, 11:10 #3
- Ingresso
- Dec 2006
- Posts
- 204
O firewall sobre o Layer7 esta +/- assim, o que vc achas que esta errado?
# iniciar variaveis
devices=""
external=eth0
internal=eth1
# carregar modulos P2P
insmod /usr/lib/iptables/ipt_ipp2p.ko 2>/dev/null
modprobe ipt_layer7 2>/dev/null
# iniciar tabela de marcacoes
echo " - Iniciando tabelas de QoS"
inittable servers FORWARD
inittable services FORWARD
# configurar serviços
iptm="iptables -t mangle "
l7p2p="
edonkey
gnutella
netbios
napster
fasttrack
bittorrent
imesh
"
mark=4
inittable l7p2p services
# aceitar pacotes salvos
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT
for l7 in $l7p2p; do
$iptm -A l7p2p -m layer7 --l7proto $l7 -j MARK --set-mark $mark # marca
done
$iptm -A l7p2p -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A l7p2p -m mark --mark $mark -j ACCEPT # aceitar marcacao
echo "Classificando Serviços"
# MSN e outros no link 2 (servicos) ---------------------------------
l7services="
msn-filetransfer
msnmessenger
skypeout
skypetoskype
h323
sip
"
mark=2
inittable iservices services
# aceitar pacotes salvos
$iptm -A iservices -m mark --mark $mark -j ACCEPT
# marcar servicos da regra
for l7 in $l7services; do
$iptm -A iservices -m layer7 --l7proto $l7 -j MARK --set-mark $mark # m
done
# aceitar pacotes salvos
$iptm -A vitais -m mark --mark $mark -j ACCEPT
$iptm -A vitais -p tcp --dport 80 -m layer7 --l7proto http -j MARK --set-mark $mark # http
$iptm -A vitais -m mark --mark $mark -j CONNMARK --save-mark # salvar marcacao
$iptm -A vitais -m mark --mark $mark -j ACCEPT # aceitar marcacao
-
27-12-2006, 13:13 #4
o veio entra no msn fera eu precisava ver o firewall completo
Citação
