+ Responder ao Tópico



  1. #1

    Padrão Debian 3.1rc4 + Kernel 2.6.20 + Layer7 2.9 + Iptables 1.3.7

    Ai gente a galera me ajudou a bloquear certas pragas e fiz isso no meu roteador reserva, mas agora meu intuito e acabar de vez com esses vermes, então eu estou compilando nesse momento o Kernel 2.6.20 + Layer7 2.9 + iptables 1.3.7, usando esse artigo Linux: Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1 [Artigo], mas como essas versões do artigo são mais antigas, estou na dúvida, pois muita coisa no menuconfig do layer7 não consegui achar, e estou com receio de que não funcione, será que alguém sabe como fazer para configurar o layer7 2.9 para pegar esses malandrinhos pelo pé?

  2. #2

    Padrão

    Gente terminei de compilar e instalar meu novo kernel, reiniciei e para efeito de teste digitei isso:

    Código :
    iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP

    e recebo essa mensagem:

    iptables v1.3.7: Couldn't load match `layer7':/usr/local/lib/iptables/libipt_layer7.so: cannot open shared object file: No such file or directory
    O que deu errado?

  3. #3

    Padrão

    O esquema é não ter medo de ser feliz, pra começo de conversa. E pra isso, por que não fazer alguns testes em um servidor de TESTES ao invés do seu servidor de PRODUÇÃO? Assim tu formata, reformata, recompila e faz o quê você quiser sem ter medo de que alguma coisa dê bem errado e o universo caia em cima de você.

    Eu fiz alguns testes com o 2.6.20 e eu tive alguns probleminhas, eu recomendo que por enquanto você ainda utiliza o 2.6.19.2.

    Esse artigo é bom, mas está um pouco desatualizado. Entretanto, você pode efetuar praticamente os mesmos passos, só atualizando as versões dos softwares em questão, mas só tome cuidado para não puxar o kernel versão 2.6.982734987234 e o layer-7 não suportá-lo. Procure puxar primeiro o patch do layer-7, olhe o readme e o changelog dele e guie-se por lá para conseguir as versões dos softwares que você precisa, nas últimas versões. Fique tranquilo, geralmente a galera mantém o layer-7 bem atualizadinho, ficando uma ou duas versões atrás do release oficial do kernel (O quê é relativamente bom, porque coisa muito nova é pouco testada).

    Se no seu servidor de testes você ir trombando algum problema, dê uma caçadinha no Google antes e se não resolver, procure a gente.

    Falow!

  4. #4

    Padrão

    Citação Postado originalmente por juniovitorino Ver Post
    Gente terminei de compilar e instalar meu novo kernel, reiniciei e para efeito de teste digitei isso:

    Código :
    iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP

    e recebo essa mensagem:



    O que deu errado?
    Hehehehe, a regra do tutorial tá errada. Faz assim:

    Código :
    # iptables -t filter -A FORWARD -m layer7 --l7proto msnmessenger -j DROP


    Abraços!

  5. #5

    Padrão

    Hehe, blz xstefanox eu estou na verdade no meu servidor de produção, vou fazer direto nele, mas ele não esta ativo agora, coloquei o meu servidor de reserva ele e está dedicado so para a implantação disto. Eu cometi o erro de ir direto nas versões mais atuais tando do kernel quando o layer7 e iptables, vou fazer como falou.

    O comando não funcionou aqui também, devo ter feito algo errado mas como vou refazer tudo deixa pra lá, mas aqui só uma dúvida, eu posso tentar já com esse servidor ou tenho que reinstalar, ou como faço para desinstalar o kernel que instalei?

  6. #6

    Padrão

    Opa, ai xstefanox olha o que deu:

    Código :
    router00:/var/log# # iptables -t filter -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
    router00:/var/log# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
     
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination         
     
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination

    Parece que funicionou né?

  7. #7

    Padrão

    Você colocou o "#" na frente do comando? Se sim, tire-o. Só utilizei o "#" para enfatizar que o comando deve ser executado como root.


    Abraços!

  8. #8

    Padrão

    ops, viajei, agora deu certo.


    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    DROP 0 -- anywhere anywhere LAYER7 l7proto msnmessenger

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination



    Agora como ficaria para pegar o Orkut?

  9. #9

    Padrão

    Citação Postado originalmente por juniovitorino Ver Post
    ops, viajei, agora deu certo.


    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    DROP 0 -- anywhere anywhere LAYER7 l7proto msnmessenger

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination



    Agora como ficaria para pegar o Orkut?
    Mesmo que na hora da compilação do kernel não tenha aparecido as opções pra ativar o LAYER-7, depois de compilar o kernel o comando funcionou???

  10. #10

    Padrão

    Cara funcionou sim, mesmo na hora da compilação tudo correu bem.