Uso eficiente do IPCOP firewall

Nesse artigo abordaremos dicas e truques para um uso mais eficiente do IPCOP como solução de firewall de sua rede com uso de layer-7. Veremos como fazer para bloquear MSN, programas P2P e recursos adicionais.

[ Hits: 234.887 ]

Por: Luiz Gaspar de F. dos Santos em 16/04/2006


Bloqueando os "indesejáveis"



Para começar, devemos obter o addon layer7-filter (de Markus Hoffmann) em:
e instalar (detalhes na página), usando o WinSCP e Putty, conforme explicado aqui mesmo no Viva o Linux no artigo de referência no início deste. Aconselho reiniciar o firewall. A partir deste momento você já pode contar com uma série de padrões de bloqueio via instruções usando o IPTABLES.

Repare que em:
você deve baixar e colocar no local correto o arquivo:
e o:
o local correto é /etc/l7-protocols/protocols/ no IPCOP "box".

Em /etc/rc.d/rc.local você deve acrescentar o seguinte:

# Skype and MSN blocked
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msn-filetransfer -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypetoskype -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypeout -j DROP

Repare que as regras apresentadas só serão válidas a partir do instante em que você digitar (rodar) /etc/rc.d/rc.local após atualizar o arquivo. Além disso, coloque também na sua Custom Blacklist o seguinte domínio: passport.com. Isso vai eliminar o uso do Web Messenger (messenger via browser). Atenção também quanto ao Skype. Peguei e usei os arquivos presentes na página de referência dos protocolos (vide acima) e não os colocados pela instalação default.

Se houver alguma máquina logada no MSN ou Skype, experimente fazer o logoff e tente conectar novamente... Testei aqui com o Skype versão 2.0.0.43 (Beta), MSN Messenger 7.5 e o Miranda IM configurado para atuar na rede MSN.

Bom , para voltar ao estado anterior, você pode simplesmente comentar as linhas do arquivo com "#," salvar, rodar novamente, além de também rodar (executar) os arquivos rc.firewall e rc.firewall.local com os parâmetros restart e reload, respectivamente (estão no mesmo diretório). Tudo voltará ao normal.

Página anterior     Próxima página

Páginas do artigo
   1. Usando o IPCOP Firewall para bloqueios de alto nível
   2. O SQUID Proxy
   3. Bloqueando os "indesejáveis"
   4. Programas P2P
   5. Mais recursos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Metodologia de Proxy Parcial

Configurando firewall Shorewall no CentOS

Utilizando a ferramenta Iptstate

PFSense Firewall com Squid e SquidGuard

Configurando firewall básico para compartilhar internet

  
Comentários
[1] Comentário enviado por fernandoamador em 16/04/2006 - 19:39h

Ótimo artigo...

[2] Comentário enviado por removido em 17/04/2006 - 01:47h

Legal, eu axava que IPCop era somente a distribuição e não o software em sí. Muito bom, estou até pensando em implementar algumas soluções com isso agora!

Valeu e Deus te abençoe.

[3] Comentário enviado por neriberto em 17/04/2006 - 12:53h

Sensacional,... sempre usei o ipcop, 15 minutos de instalação e configuração até mesmo numa máquina 233 com 64 de ram, pra quem tem uma vida bastante corrida e preciso de algo simples e funcional este é o caminho.
Só pra adicionar o copfilter tem proxy transparente com filtragem de vírus para os protocolos http, pop e smtp e antispam.

ótimo artigo mesmo

[4] Comentário enviado por supradados em 11/11/2006 - 23:14h

Estou usando o Kubuntu 6.10 com amule 2.1.3 e uma máquina firewaal IPCOP 1.4.11 com o p2pblock e o l7 instalados e configurados, mas não consigo barrar o amule. O que pode estar acontecendo?

[5] Comentário enviado por wailton em 22/11/2006 - 11:35h

Realmente o IPCOP é muito bom, aqui no meu trabalho (governo) temos ele rodando num athlon xp 1800+ 3GB de ram HD 40, temos 60 redes, num total de quase 300 micros conetados. A partir de janeiro/2007 estaremos conectando mais 520 micros nessa rede, não sei como o IPCOP vai se comportar, mas se ele continuar se comportando bem, iremos continuar com ele, caso contrário teremos que buscar outra alternativa.

[6] Comentário enviado por leomarsa em 24/01/2007 - 12:32h

A ferramenta é ótimo cara, estou trabalhando com a versão 1.4.13 com os addons (backouttrafic, timelimit, Qos). Rodando num pequeno provedor de internet wireless, só estou com dificuldade em configurar o backouttrafic para deixar o msn passar, gostaria se possível uma ajuda daqueles que já conseguiram fazer passar.
Se alguém puder me ajudar com essa regra agradeço.

Obrigado;

Leomar Soares
msn: leomarsa@hotmail.com

[7] Comentário enviado por fabianoac em 25/02/2007 - 04:33h

Ola, estou implementando o ipcop em uma lan house, gostaria de saber como faço pra bloquear para os usuários não abrirem sites pornográficos e outros sites que eu não quero que sejam visitados?

Pelo squid tem como fazer isso? onde eu edito? como faço? espero que possam me ajudar.

msn: fabiano_do_mal@hotmail.com

[8] Comentário enviado por fabianoac em 13/03/2007 - 11:28h

Ola, alguem poderia me dar uma dica, estou tentando instalar o ipcop 1.4.15 em um pIII 750mhz, com 1x256mb + 1x128mb de memoria ram, hd ide 40gb 7200rpm NOVO, na hora de criar as partições congela a imagem, ai trava a maquina. Alguma dica de como resolver isso?

[9] Comentário enviado por antonioandrade em 31/03/2007 - 10:32h

olá,

Tenho o ipcop e estou com um serio problema, meu proxy está funcionando 100% para maquinas clientes, mas meu outlook NÃO, já tentei configurar diversa coisas para funcionar o outlook nas maquinas clientes e nada, alguem tem alguma LUZ ........... por favor...........

Grato

[10] Comentário enviado por thiagolamosa em 13/04/2007 - 17:06h

Olá,
Valeu pelo tópico, mas estou tendo problemas.
Ao rodar o arquivo rc.local com as alterações sugeridas. O IPCop "box" me responde:
"iptables v1.2.11: invalid target name DROP"
O que poderia estar acontecendo?

[11] Comentário enviado por fsflorencio em 03/08/2007 - 18:04h

Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?

[12] Comentário enviado por paulorcotta em 22/08/2007 - 20:09h

Ola pessoal,
Instalei o IPcop 1.4.16 ele esta rodando blz.

Mas nao consigo instalar o Layer-7, será que alguem poderia me ajudar.

Muito obrigado
email: osantosade@yahoo.com.br

[13] Comentário enviado por fernandosf em 24/08/2007 - 09:06h

ALGUEM SE HABILITA?

Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?

[14] Comentário enviado por lpjlpfarias em 17/09/2007 - 12:14h

DEPOIS DE TUDO BLOQUEADO, EXECUTE ESSE SCRIPTZINHO MIXURUCA PARA LIBERAR O IP DESEJADO. DESCULPEM, É BEM SIMPLES ESSE SCRIPT, MAS DÁ PRA TER UMA IDÉIA.
NÃO SOU ESPECIALISTA, MAS DOU MEUS PULOS.

#!bin/bash

$DIR="caminho da diretório"
$PROTO="protocolo"

while true; do

echo
echo " Insira o ip a ser liberado. Para sair digite q ou Q"
echo


read IP

echo

if [ $IP = "q" ]; then
exit 0
fi

if [ $IP = "Q" ]; then
exit 0
fi
/sbin/iptables -t mangle -A POSTROUTING -v -s $IP -m layer7 --l7dir $DIR --l7proto $PROTO -j ACCEPT

done

[15] Comentário enviado por rmsi em 23/09/2007 - 20:39h

Sou novato.. fiz a instalação do IPCOP 1.4.16 e Layer7 1.4.8 fiz passo a passo, coloquei as regras em rc.local e mandei rodar, quero trancar o messenger e skype.

retorna
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

alguem pode me ajudar.

[16] Comentário enviado por gildomar em 14/11/2007 - 17:17h

Boa Tarde,

Meu nome é Gildomar. Preciso da ajuda de alguém.

Eu consegui fazer funcionar o bloqueio do msn pelo Layer7 pela instrução desse tutorial. Porém tive um problema com um usuário:

Ele conseguiu entrar no msn sem eu permitir via IP. Ai eu fui peguei o IP que ta usando e bloqueei através de regras la no rc.local com DROP, e mesmo assim ele tá conseguindo acessar o msn. Pode ser uma falha do Layer7 no IPCop?

Aguardo retorno. Obrigado desde já

[17] Comentário enviado por fasali em 18/03/2008 - 16:51h

Boa tarde a todos,

Gostaria de saber se é possível adicionar mais um range de ip (outra placa de rede) na interface verde.

Grato,

Fabiano S. Lisboa

[18] Comentário enviado por Oribio em 14/11/2008 - 14:27h

Pessoal, como eu removo um kernel antigo no meu IPCop?
Qual o comando nativo do IPCop, no ubunto sei q é apt-get...
Abração.

[19] Comentário enviado por emanoel.almeida em 27/12/2008 - 04:21h

Estou com Problema ao tentar rodar o layer7-filter no ipcop 1.4.21. instalo tudo direitinho não da nenhum erro. só um aviso. O pacote que instalei foi esse (layer7_ipcop_1.4.8.tar.gz)
Mas na hora de rodar o script de firewall(rc.local) retorna o seguinte erro pra cada regra que eu colocar usando o l7

iptables: No chain/target/match by that name


alguem sabe me dizer como resolvo isso?

Abraço.

[20] Comentário enviado por emanoel.almeida em 28/12/2008 - 18:06h

Bem pessoal, enfim, depois de noites acordados recompilando kernel em distros convencionais, achei a solução do meu problema:

Esse arquivo que baixei funcionou legal no ipcop 1.4.10, mas convenhamos ja está muito antigo. Queria para o ipcop 1.4.21 que
hoje é a versão mais recente. O procedimento padrão seria recompilar o kernel numa versão do slackware compativel com o ipcop
(ou seja com o mesmo kernel) e adcionar o os patchs do layer7 a ele. Dai Futucando no google achei um site que disponibilizou o link
com o kernel compativel com ipcop 1.4.21.

Kernel 2.4.36
( http://de.embcop.org/?page_id=40)

Salvei o kernel zipado na diretório /tmp

descompactei o kernel:
#cd /tmp
#tar xjf ipcop-1.4.21-kernel-2.4.36.6.tar.bz2 -C /

E depois o ultimo comando
#touch /var/run/need-depmod-2.4.36
#reboot

Pronto Pessoal, zerinho o layer7 ja está instalado no ipcop1 1.4.21 agora é só baixar as definições mais atuais no site:
( http://sourceforge.net/project/showfiles.php?group_id=80085 )

Criar uma pasta chamada l7-protocols no diretório /etc
#mkdir /etc/l7-protocols

Extrair o conteudo do pacote para dentro da pasta recentemente criada (/etc/l7-protocols) de modo que a estrutura de pastas fiquem
da seguinte maneira:
( /etc/l7-protocols/protocols )

Pronto o layer 7 ja está funcionando no seu pc. agora você ja poderá aplicar regras usando o layer7 como:
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP

OBS: como ja citado no artigo: a pasta dos protocolos poderá ficar em qualquer lugar, desde que nas regras aplicadas, você informe
o local correto de onde se encontram os protocolos( No parametro --l7dir ).

Bem Pessoal, espero ter ajudado ou ajudar a quem estiver passando por esse problema. No meu funcionou perfeitamente.
Obrigado aTodos.









[21] Comentário enviado por infoideia em 07/02/2009 - 09:32h

Eu configurei o ipcop com o layer 7 e funcionou perfeito ele bloqueia todos os msn
só q eu estou precisando liberar só um ip para acessar o msn sem desbloquear os outros

eu coloquei desse jeito o codigo mais não funcionaou

/sbin/iptables -t mangle -A POSTROUTING -v -s 192.168.0.100 -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j ACCEPT

alguem tem uma solução ??/

obrigado a Todos

[22] Comentário enviado por joserubenildo em 12/03/2009 - 09:40h

olá
Estou tentando colocar o Ipcop em uma maquina virtual instalada em um 2000 server com duas placas de rede.
Deixei ele com 64 MB mas nao consigo configurar.
Mode com ip Fixo 10.0.0.138
Placa de rede eth1 no modem
placa de rede eth0 na HUB
Do IPCop consigo pingar na internet. mas nao consigo ver a rede interna.

Alguem sabe onde estou errando.

sem mais



[23] Comentário enviado por lordhazy em 05/05/2009 - 13:16h

Utilizo o IPCOP em minha rede, tenho as interfaces Green, Red e Orange. O firewall/proxy está perfeito.
Coloquei um Access Point na interface orange para que eu consiga ter acesso livre sem restrições nos
notebooks. Tentei fazer algumas regras para liberar no BOT mas nada até agora, alguém poderia me ajudar
dando alguma dica ou exemplificando alguma regra? Agradeço muito a quem me der essa força.
Abraço a todos.

[24] Comentário enviado por rogerbeste em 11/08/2009 - 11:32h

Sou novato em linux, instali um ipcop 1.4.20 em meu servidor de internet e atualizei para 1.4.21, estou tentando instalar o proxi avançado na versão 21 e nã cnssigo, você pode me ajudar e me dizer como eu faço isso, com eu disse sou muito amado em linux e gostari muito de receber uma ajuda detalhada.
Os arquivos que encontro são (.tar.tar) nesse endereço, http://www.advproxy.net/download.html,
e os que pedem no campo de atualização do ipcop é (.tgz.gpg), por gentileza espero que possa me ajudar.
no campo e atualizações eu tenho umas informações refeente a Kernel e squid, pra que serve?
desde já agradeço.
Roger.

[25] Comentário enviado por rogerbeste em 11/08/2009 - 12:01h

Como eu faço para instalar o advanced proxy n ipcop 1.4.21, Sou novato e estou aprendendo trabalhar com o linux, eu instalei a vrsão 1.4.20 e atualizei para a versão 1.4.21 mas agora não cnsigo instalar o advanced proxy nesta versão, você descrever pra mim o passo a passo por favor.
desde já agraeço.

[26] Comentário enviado por andriopj em 08/09/2009 - 01:13h

ja ouvi falar mto bem do ipcop... mas, tenho algumas duvidas...
aqui uso o fedora como servidor, nele possuo os seguintes servicos rodando: Proxy/nat, firewall, dhcp server, controle de banda(cbq), controle de acesso(ipXmac), dns cache e webcache.
ja sei que o ipcop pode rodar: Proxy/nat, firewall, dhcp server e creio q o controle de acesso(ipXmac).
porem, gostaria de saber, se teria como instalar o: controle de banda(cbq), webcache e dnscache?

[27] Comentário enviado por alexander.santos em 15/09/2009 - 15:08h

ae gente, to precisando saber como instalar um driver (no Windows é assim que se chama!) de uma placa de rede no ipcop.
motivo: tava tudo configurado e funcionando, mas uma placa de rede apresenta problemas, perdendo muitos pacotes. constatei que era ela testando em outra máquina.
o que eu quero é: instalar uma nova placa de rede e, fazer funcionar, instalando o driver da placa de rede. qual o comando? o que devo fazer?
valeu!

[28] Comentário enviado por anonimous_ em 27/11/2009 - 14:04h

Olá pessoal!
Um cliente possui IPCOP, e estou com problema para liberar o acesso ao msn. Que regras preciso adicionar no firewall para liberar?
A principio no forward tem la para a porta 1368 e 443, e no proxy avançado tmb colokei as 2 portas.
O proxy é autenticado. Qual a diferença nos tipos de usuário que posso criar?
Preciso de ajuda urgente!
NUnca trabalhei com o IPCOP.
Vlw galera!

[29] Comentário enviado por Miltox em 08/03/2010 - 09:13h

Olá a todos...

Estou rodando o IPcop 1.4.21 e estou precisando do atualizar o Kernel p/ 2.4.36 ( http://de.embcop.org/?page_id=40) porem o link já descrito acima esta offline, Então alguem teria outro link ou mesmo o arquivo para me enviar por email ?


Grato
Milton Azevedo.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts