L7-filter (funcionando) no Slackware 10.2

capitainkurn

O l7-filter é um classificador de Netfilter, semelhante aos outros que tratam MAC-Adresses, portas, endereços, etc. É a melhor e mais versátil solução para bloqueio de serviços P2P, instant messengers, chats etc. Depois de apanhar um pouco para instalar e configurar o l7-filter, compartilho aqui com todos da comunidade.

[ Hits: 44.731 ]

Por: Carlos Affonso Henriques. em 10/05/2006

1 0

Denuncie Favoritos Indicar Impressora

Baixando os programas e aplicando patches ao Kernel

Baixar os programas necessários:

Site do projeto:
http://l7-filter.sourceforge.net/

Site do Kernel:
http://www.kernel.org/

Site onde baixaremos o Iptables:
http://www.netfilter.org

Aplicar os patches no Kernel:

Usei em o Kernel versão 2.6.15.3, o mais recente em 10/02/2006, data em que este tutorial foi escrito. Descompactamos o kernel para o diretório /usr/src/, onde será criado o diretório "linux-2.6.15.3", em seguida criamos o link simbólico para os fontes do novo kernel.

(isso é importante, pois o se não for feito haverá problemas na instalação do Iptables).

Finalmente a aplicação do patch conforme segue abaixo.

# cd /usr/src/linux-2.6.15.3/
# patch -p1 < /path/do/netfilter-layer7-v2.1/kernel-2.6.13-2.6.15-layer7-2.1.patch

OBS: Caso você já haja configurado este kernel antes de um "make mrproper" para zerá-lo, pois do contrário o patch não será corretamente aplicado, ele não irá gerar a opção para habilitar o l7-filter.

Próxima página

Páginas do artigo

   1. Baixando os programas e aplicando patches ao Kernel
   2. Configurando o Kernel
   3. Aplicando o patch ao Iptables e compilando-o
   4. Instalando os protocolos do L7-filter e iniciando-o

Outros artigos deste autor

Quando próximo, finja estar longe; quando longe, finja estar próximo

SSHFS no CentOS, Slackware e Windows - Simples e rápido

Obtendo TimeStamps da Blockchain com OpenTimestamps

Rodando contêineres e aplicações Linux x86 no Raspberry Pi

Filtro de conteúdo autenticado com níveis de privilégio

Leitura recomendada

Slackware 11 + kernel-2.6.18 + Layer7 + iptables

Segurança com iptables

Manual do IPtables - Comentários e sugestões de regras

Criando um Firewall transparente com Bridges no Debian Etch

Trabalhando com CARP nos BSD's

Comentários

[1] Comentário enviado por fernandus em 10/05/2006 - 09:24h

achei que só o links2 tinha suporte a imagens... muito bom

1 0

[2] Comentário enviado por removido em 12/05/2006 - 08:45h

Me corrija se estiver errado, mas tive uma experiencia com o L7 a algum tempo atrás, e não foi muito satisfatória... ah maneiras dos usuarios burla-los facilmente, uma delas é colocando um proxy externo com uma porta alta na aplicação que ira bloquear tipo kazaa, emule, msn, skype, etc...
[]'s
RaFa

0 0

[3] Comentário enviado por capitainkurn em 14/05/2006 - 11:48h

, Caro RaFa

Não experimentei nada disso, mas observe o seguinte: servidores proxy respondem geralmente aos protocolos http e https, independentemente em que porta estes servićos operem, programas P2P usam protocolos distintos, mesmo que um cliente/servidor p2p esteje rodando como cliente em uma porta 80 por exemplo o proxy não acataria suas requisićoes. Em segundo lugar o L7 atua sobre strings, ou seja uma assinatura que cada servico na internet dispoe, o proprio iptables pode fazer isso nativamente de uma forma limitada com o módulo string, o que o L7 faz é associar a string ao protocolo usado, (eu disse PROTOCOLO e não PORTA.). Em terceiro lugar sempre que implemento gatways também o faćo com proxy Squid e uma regra para proxy transparente ou autenticado, ou seja o usuário tem obrigatoriamente que passar pelo Squid que só responde http e https.

0 0

[4] Comentário enviado por robertofonseca em 02/04/2007 - 10:15h

Alguém teve a experiencia de usar o L7 para bloquear transferencia de arquivos via msn e audio no msn, deixando somente texto rolar no msn?

0 0