[1] Comentário enviado por
micnet em 19/05/2009 - 18:03h:
Ola Bruno,
Parabéns pelo artigo!!!
Eu segui um outro tutorial, aqui do VOL mesmo, para aplicar o Layer7 e consegui com sucesso; utilizando o kernel 2.6.28.
Voce também utiliza aqui o kernel 2.6.28. Não poderia ser o 2.6.26 do próprio Lenny?
Abs,
Micnet
[2] Comentário enviado por
brunosilva.ti em 19/05/2009 - 18:21h:
Olá Micnet,
Sim pode ser qualquer versão do kernel, so utilizei a 2.6.28 por ser a mais atual no momento e foi a que testei e funcionou perfeitamente. Também teste alguns artigos do VOL mas acorreu akele problema do "KERNEL PANIC". por isso escrevi também com o kernel 2.6.28
Att,
Bruno
[4] Comentário enviado por
marciomarkes em 20/05/2009 - 09:25h:
Parabéns Bruno,
Esse já esta nos Favoritos e Rodando..
Enquanto mais artigos melhor...
Abs,
Marcio
[5] Comentário enviado por
carlosdias98 em 25/05/2009 - 14:15h:
Cara simplesmente, PARABÉNS !
[6] Comentário enviado por
oismael007 em 29/05/2009 - 13:56h:
Opa.. Blz.. o meu deu certo aki.. só teve um problema... quando colocava o meu firewall para iniciar junto com o sistema ela dava msg de erro para todas as regras contida no firewall (command not foud) mais se eu executace o firewall na maum dava certo...
Naum entendi por que .. mais daew fui ateh o gerenciador de pacotes do debian e vi qeu o iptables naum estava listado como instalado..daew instalei e funciono..... mais eu jah havia instalado anteriormente na maum com o tutorial explica .. mais agóra funciona .. inclusive as regra do layer7.. valeu -- se puder me responder agradeço.. abraçosss..
[7] Comentário enviado por
brunosilva.ti em 29/05/2009 - 17:21h:
Blz, depois que vi seu comentário testei o meu script pois ainda não tinha reiniciado o servidor. E tive o mesmo problema. Quando usei o comando:
#whereis iptables
/usr/src/iptables-1.4.2/iptables.xslt /usr/src/iptables-1.4.2/iptables.8...../usr/local/sbin/iptables
Como o binário do iptables está em /usr/local ele só iniciava quando um usuário logasse na máquina.
Solução: Reinstalar o iptables com o comando abaixo:
# ./configure --with-ksource=/usr/src/linux sbindir=/sbin libdir=/lib
ow então,
copiar o binario iptables para sbin
#mv /usr/local/sbin/iptables /sbin/
Não entendi pq vc disse que mesmo depois de logar no sistema nao funcionava. Mas espero ter ajudado.
Flw.
[8] Comentário enviado por
fellipepinheiro em 02/06/2009 - 09:39h:
Meus Parabéns, Bruno
muito bom o seu tutorial. Foi de muita serventia para mim. Vou até divulgá-lo em meu blog (http://asteriskadmins.ning.com).
Seria interessante se pudéssemos colocar isso tudo, depois de instalado, em um arquivo .iso para instalações posteriores. Irira poupar bastante tempo.
abraços!! e parabéns outra vez!!
[9] Comentário enviado por
humano10 em 04/06/2009 - 17:22h:
Cara, Show de bola esse artigo!! Parabéns! Só uma dúvida estou com problemas em algumas regras do meu firewall, por exemplo:
Regra:
iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -s 192.168.0.0/16 -j DROP
ou
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j DROP
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.
Na versão do iptables 1.3.X funciona normalmente, pelo que a mensagem nos diz é que a tabela NAT não é mais destinada pra filtragem e não justifica o uso do "DROP".
Existe uma outra forma de executar essas regras?
Valeu
Abraços
[10] Comentário enviado por
brunosilva.ti em 04/06/2009 - 18:05h:
Obrigado humano10,
Pelo que sei da tabela nat, ele serve mais para redirecionamento de pacotes, essa politicas acima vc teria q utilizar na tabela filter, pode ser assim:
iptables -A FORWARD -s 192.168.0.0/16 -i $EXTERNAL_INTERFACE -j DROP
iptales -A FORWARD -p tcp --dport 443 -j DROP
Abs
[11] Comentário enviado por
humano10 em 05/06/2009 - 11:56h:
Bruno,
Valeu pelo Help!
Abraços
[12] Comentário enviado por
downloadd em 08/06/2009 - 04:16h:
Cara muito bom, funcionou...muito obrigado!
Este tutorial funciona também na versão 9.04 (ubuntu server), uso esta versão aqui.
Tem um pequeno problema:
Estou usando a regra que você passou do msn, não esta funcionando aqui, pois o msn continua acessando normal.
eu verifiquei no iptables e a regra que bloquea msn não muda, não recebe nenhum byte.
iptables -L -vn -t filter
Sei que esta funcionando pois bloquiei o "ares" e a regra do iptable mostra os bytes sendo "dropados"
Tem alguma idéia?
abraços
[13] Comentário enviado por
brunosilva.ti em 08/06/2009 - 09:05h:
Olá downloadd,
Que bom que funcionou no ubuntu server. Em relação a regra do messenger não está bloqueando nada, vc verificou se tem alguma regra acima que está liberando a porta ow libera o acesso, é a única coisa que acho que pode estar liberando, pois se chega a requisição nessa regra antes de chegar no bloqueio o msn fica liberado. Mas se vc quiser poste seu script ou mande pro meu e-mail faço questão de testar e te ajudar a resolver o problema.
Abs.
[14] Comentário enviado por
downloadd em 08/06/2009 - 22:00h:
Olá Bruno,
No ubuntu server 9.04 funcionou, mas tive que reduzir a versão do kernel para 2.6.28, como mostra seu tutorial. Pra mim, isso não faz diferença nenhuma.
meu script é este, somente isto, pois no momento só quero testar o L7
iptables -F
iptables -Z
iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle
iptables -X -t nat
iptables -X -t filter
iptables -X -t mangle
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -j MASQUERADE
#iptables -A FORWARD -i eth2 -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
Note que já testei as duas regras e nenhuma deu certo.
Obrigado e abraços
[15] Comentário enviado por
dalveson em 09/06/2009 - 14:50h:
Help galera
Uso o leny com o kernel 2.26, fiz tudo passo a passo, e tudo deu certo so que qdo reinicio, e tento entrar no kernel 2.28 da erro de Kernel panic.
alguem poderia me dar uma força
[16] Comentário enviado por
brunosilva.ti em 09/06/2009 - 15:07h:
Olá downloadd,
tenta a seguinte regra
iptables -A FOWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -J DROP
Olá dalveson,
Tem uma dica no vol que pode te ajudar:
http://www.vivaolinux.com.br/dica/Evitando-problemas-de-Kernel-Panic
Na verdade akela parte de baixar o arquivo .config do site merkel.debian.org é justamente para evitar problemas com kernel panic.
Abs
[17] Comentário enviado por
downloadd em 10/06/2009 - 00:20h:
Olá bruno
iptables -A FORWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
Tambem não funcionou.
O restante dos outros protocolos estão funcionando muito bem.
Eu uso msn plus, será que é por isso que o modulo não reconhece o protocolo msnp?
Valeu!
[18] Comentário enviado por
brunosilva.ti em 10/06/2009 - 17:27h:
Não, o msn plus só adciona algumas funções a mais no windows live messenger, é isso mesmo? então ele roda sobre o protocolo do messenger e deveria ser bloqueado. Não sei o que pode estar acontecendo com seu firewall, pois testei sua regra e funcionou normalmente.
Abs.
[19] Comentário enviado por
dalveson em 12/06/2009 - 11:38h:
brunosilva.ti ja tentei de tudo quanto é jeito e nao consegui, terminei de baixar o ubuntu serve 9.04 com kernel 2.6.28, vou começar tudo denovo e verei onde errei.
ah, estou instalando numa maquina virtual, o virtual box da sun, tem algun problema com isso? embora eu acho que nao
qqr problema posto ak denovo.
att
[20] Comentário enviado por
dalveson em 15/06/2009 - 10:38h:
galera fiz tudo passo a passo, desta vez nao deu erro de kernel panic, porem acho que o modulo layer7 nao esta funcionando, como posso fazer para verificar se o modulo esta ou nao funcionando?
tentei da seguitnte maneira e nao deu certo:
modprobe ipt_layer7
fatal: module ipt_layer7 not found
so lembrando que estou usando ubuntu serve 9.04
att
[21] Comentário enviado por
dalveson em 15/06/2009 - 12:04h:
pessoal qdo verifico dentro de
/lib/modules/2.6.28.11-generickernel/net/ipv4/netfilter/
e procuro o ipt_layer7.ko, nao encontro ele, nao entendi o que aconteceu de errado, é como se o modulo nao estivese sido instalado
[22] Comentário enviado por
andrefreire em 18/06/2009 - 10:47h:
Excelente sua dica ! Testada e aprovada ! Agora uma questão, ja que temos um kernel novo podemos leva-lo e intala-lo em outras máquinas com o Lenny sem a necessidade de compila-lo novamente ? No caso do iptables podemos gerar um pacote com o checkinstall e usá-lo também em outras máquinas ? Se isso for possivel só teremos que instalar os pacotes DEB do kernel e do IPTABLES e ja estaria tudo pronto ! Aguardo sua resposta !
[23] Comentário enviado por
brunosilva.ti em 18/06/2009 - 15:18h:
Obrigado,
Sim, vc pode utilizar o .deb para instalar em outras máquinas funciona perfeitamente!
Abs.
[24] Comentário enviado por
dalveson em 19/06/2009 - 11:21h:
bem pessoal, ja que uma das soluçoes bem praticas e faceis seria reutilizar o novo kernel, teria como algeum postar esse arquivo para download, assim facilitando a vida daqueles que por incrivel que parece, ja tentaram 7 vezes, seguindo a risca o tutorial e ainda nao conseguiram, eu agradeceria muito
att.
[25] Comentário enviado por
dalveson em 19/06/2009 - 16:47h:
galera segue o erro que esta acontecendo:
kernel panic-not syncing: VFS: unable to mount root fs on unknown-block (0,0)
pelo que entendi ele nao encontrando o HD "sata", ja pesquisei no google e nao encontrei a solução alguem pode me da essa força
att
[27] Comentário enviado por
dalveson em 19/06/2009 - 17:37h:
karakas velho, pow vlw ae vou baixar agora, mais axo q so tenho como testa na segunda, testarei e se funcionar perfeitamente venho ak e aviso
mais uma vez vle pela iniciativa
att
[28] Comentário enviado por
andrefreire em 21/06/2009 - 10:01h:
Eu tenho aqui o iptables pronto com o pacote .DEB criado se alquém precisar é só pedir que mando até por email !
[29] Comentário enviado por
dalveson em 22/06/2009 - 14:30h:
brunosilva.ti to passando para dizer que testei e funcionou perfeitamente a sua imagem do kernel com suporte a layer7, acabei de testar e tudo esta ok, vlw pela força em hospeda-la para que pudesemos fazer download.
abraços
[30] Comentário enviado por
dalveson em 22/06/2009 - 16:14h:
galera to precisando de uma dica, gostaria de saber como posso bloquear pelo layer7 e abrir ecessao ao mesmo tempo, tipo:
bloquear o torrent para todos exceto para um ip
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP !192.168.0.xxx
abraços.
[31] Comentário enviado por
brunosilva.ti em 22/06/2009 - 20:55h:
Vc pode utilizar da seguinte forma:
iptables -A FORWARD -s 192.168.0.xxx -m layer7 --l7proto bittorrent -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Desta forma quando chegar pacotes do xxx, se for outro ip da rede ele passa para próxima regra que é bloquear. E qualquer outro ip que vc for liberar vc tem que colocar acima da regra de bloqueio pq o iptables verifica linha por linha.
Abs
[32] Comentário enviado por
dalveson em 23/06/2009 - 11:15h:
ok, vlw pela força
att
[33] Comentário enviado por
edersonschmitz em 23/06/2009 - 11:30h:
Parabens pelo artigo Deus o abençõe
[34] Comentário enviado por
humano10 em 24/06/2009 - 17:02h:
Galera, eu não recomendaria ativar a opção "Layer 7 debugging output" sei que não está escrito no artigo mas ela fica abaixo da opção "layer7 match support " pois essa opção gera muito logs de debugs que aparecem a toda hora no syslog. Abraços
[35] Comentário enviado por
vzanchettin em 07/08/2009 - 15:35h:
Perfeito é so copiar e colar muito bom!!!!
[36] Comentário enviado por
silent-man em 16/09/2009 - 08:39h:
Rápido e prático.
Só acrescentando...
Fiz estes mesmos passos no debian etch 4.0 e funcionou normalmente. Lógico que foi um "experimento" em uma máquina virtual.
[37] Comentário enviado por
carbony em 24/09/2009 - 10:53h:
ola, excelente tutorial, esta de parabensss, funcionou aqui comigo de primeira, bloqueou os p2p os msn tudo, liberei os do chefe ( e os meus tambem heheheh).
So que tem um porem, o windows live messenger , consigo acessar pelo login.live.com, pelo hotmail.com, porque dentro tem um messeger live web, alguem conseguiu bloquear esse danado, sem bloquear o hotmail.com e login.live.com?
valeu.
Parabensss pelo tuto.
[38] Comentário enviado por
kepas em 03/11/2009 - 15:56h:
Olá pessoal...
segui passo a passo o tutorial, porem o sistema não inicializa.
já segui todos as dicas citadas a cima.
Obrigado!!
[40] Comentário enviado por
kepas em 05/11/2009 - 13:29h:
Opaaaa...
agora deu certo brunosilva.ti, muito Obrigado pela ajuda amigo!
Parabéns pelo tuto.
[41] Comentário enviado por
minibiga em 26/11/2009 - 12:21h:
Olá Pessoal, alguem conseguiu bloquear o limewire com o layer7? nao estou conseguindo
[42] Comentário enviado por
brunosilva.ti em 01/12/2009 - 15:52h:
Olá,
Já tentou utilizar as seguintes regras:
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Segue o link de protocolos suportados pelo layer7:
http://l7-filter.sourceforge.net/protocols
Talvez o layer7 não consiga bloquear o novo limewire, então vai ter que procurar por layer7 + ipp2p.
[43] Comentário enviado por
consultor.inf em 15/12/2009 - 15:53h:
Segui o seu tutorial e instalei tudo sem problemas.
Aparentimente todos os modulos estão rodando.
Crio as regras normalmente, visualizo com
#iptables -n -L
O estranho que que não bloqueiam nada.
Já testei varias regras e nada...
O que sera que esta acontecendo?
[44] Comentário enviado por
brunosilva.ti em 16/12/2009 - 08:25h:
Olá consultor.inf,
Envie suas regras de firewall e informando quantas interfaces de rede está utilizando e suas funções ex:
eth0 - Rede Interna
eth1 - Internet
ou se preferir me envie um email (brunosilva.ti@gmail.com).
[45] Comentário enviado por
diter em 24/12/2009 - 11:47h:
Oi Bruno, perfeito post, estou começando a testar, muito obrigado pela ajuda, aproveito e estou seguindo a dica de pegar o .deb para aplicar em outras instalações, porém surgiu a seguinte dúvida:
Como faço para instalar o Iptables já que não tenho o caminho /usr/src/linux, se partir direto do .deb, passei direto pelas etapas de criar o link para o /usr/src/linux posso usar só comando ./configure no lugar do ./configure --with-ksource=/usr/src/linux?
Aguardo.
Feliz natal e um prospero ano novo a todos!
[46] Comentário enviado por
andrefreire em 26/12/2009 - 18:29h:
Boa noite !
O Layer7 só ta funcionando quando uso a politica padrão do Chain Forward como ACCEPT se eu mudar ela pra drop bloqueio tudo menos MSN ! Alguém pode ajudar ?
[47] Comentário enviado por
kepas em 29/04/2010 - 02:23h:
Olá pessoal!
estou com o seguinte problema, quando aplico a regra: iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
me retorna o seguinte erro: iptables v1.4.2: Couldn't load match `layer7':/usr/local/libexec/xtables/libipt_layer7.so: cannot open shared object file: No such file or directory
me ajundem!!!
[48] Comentário enviado por
brunosilva.ti em 11/05/2010 - 14:16h:
Olá kepas,
Primeiro verifique se não esqueceu de executar os comandos abaixo, após a instalação do iptables:
# cd /usr/src/l7-protocols-2008-04-23
# make install
Se já executou e o erro continua, é porque o patch do layer7 está atualizado para a verção do iptables 1.4.3, então faça o seguinte:
Remova a pasta e o binário do iptables:
# cd /usr/src
# rm -rf iptables-1.4.2*
# rm -f /usr/local/sbin/iptables
Baixe o iptables 1.4.3 e descompacte o arquivo:
# wget
http://www.netfilter.org/projects/iptables/files/iptables-1.4.3.tar.bz2
# tar jxvf iptables-1.4.3.tar.bz2
Compile e instale o iptables
# cd iptables-1.4.3
# cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/* extensions/
# ./configure --with-ksource=/usr/src/linux
# make
# make install
# cd /usr/src/l7-protocols-2009-05-28
# make install
Reinicie o servidor e teste novamente.
[49] Comentário enviado por
iltoncesar em 09/06/2010 - 17:42h:
Ola pessoal, aqui não funcionou 100% o bittorrent consegui bloquear, mas por incrivel q parece o utorrent funciona normalz, fiz um teste instalei os dois p2p, peguei um arquivo do thepiratebay e mandei baixar pelo bittorrent ficou 30min e nada de baixar, coloquei o msm arquivo no utorrent e no msm instante começou a baixar...... alguem sabe o motivo????
[50] Comentário enviado por
consultor.inf em 03/11/2010 - 11:09h:
Muito bom seu artigo.
Instalei e aparentemente ocorreu tudo bem, fis um teste bloqueando msn e funcionou.
O problema e quando tento bloquear videos ele não bloqueia. Estou usando a seguite regra
# iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP
Sera o que pode estar acontecendo?
Obrigado
[51] Comentário enviado por
weltonpba em 28/12/2010 - 17:49h:
Fiz tudo, não deu nenhum erro, ainda fiz como vc explicou para o kepas, com as novas versões instalou numa boa mas soh fica em Loading please wait...
e agora o que eu faço ?
[52] Comentário enviado por
mrjeday em 02/02/2011 - 11:09h:
Olá Bruno, aqui compilei tudo direitinho. Tive que adaptar para meu kernel, já que não uso o mesmo que você. Porém ao reiniciar ele não reconhece o layer7. Tens alguma idéia?
Linux servidor 2.6.26-2-686 #1 SMP Thu Nov 25 01:53:57 UTC 2010 i686 GNU/Linux
iptables v1.4.2
ao digitar o comando abaixo, retorna o seguinte erro:
#modprobe ipt_layer7
FATAL: Module ipt_layer7 not found.
Minhas regra para compartilhamento de conexão por NAT também só estão iniciando manualmente depois de feito todo o processo.
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
E não mais automaticamente.
Se você ou alguém tiver alguma idéia agradeço.
[53] Comentário enviado por
__FERNANDO__ em 02/03/2011 - 20:20h:
Pessoal, por favor.
Eu fiz o procedimento, mas não achei essa linha:
(M) layer7 match support #MARCAR COMO MÓDULO
É algum problema ?
Pois não tinha essa opção para selecionar em: Networking -> Networking Options -> Network Packet Filtering Framework (netfilter) -> Core Netfilter Configuration
O que pode ser?
[54] Comentário enviado por
__FERNANDO__ em 03/03/2011 - 09:32h:
Consegui...obrigado!
Refiz o processo e deu certo. Devo ter pulado algo.
[55] Comentário enviado por
blowsky&lo em 19/08/2011 - 14:40h:
Bruno, não consegui baixar o config-2.6.28-1-686.gz, e quando executo o comando make menuconfig ele me retorna um erro:
HOSTCC scripts/basic/fixdep
HOSTCC scripts/basic/docproc
HOSTCC scripts/basic/hash
HOSTCC scripts/kconfig/conf.o
HOSTCC scripts/kconfig/kxgettext.o
*** Unable to find the ncurses libraries or the
*** required header files.
*** 'make menuconfig' requires the ncurses libraries.
***
*** Install ncurses (ncurses-devel) and try again.
***
make[1]: ** [scripts/kconfig/dochecklxdialog] Erro 1
make: ** [menuconfig] Erro 2
Poderia me ajudar??
APT-GET: Resolvendo problemas com chave pública
Versão para impressora
Indicar para um amigo
Enviar dica