Integrando Layer7 + IPP2P ao Iptables
O artigo ensina como integrar o Layer7 e o IPP2P junto ao Iptables. Todos os procedimentos foram feitos na distribuição Linux Debian Lenny, mas o artigo está bem claro, o que permite sua implementação em outras distribuições.
Introdução
O artigo não se destina a ensinar como configurar o iptables e sim implementar dois módulos ao iptables que possibilitam fazer alguns dos bloqueios mais complicados via ip/porta.
O iptables é o firewall nativo das distribuições Linux, com ele podemos criar nossas regras baseadas em ip/porta/mac/domínio, entre outras opções, só que muitos softwares como p2p são quase impossíveis de se fazer o bloqueio total devido a usarem várias portas para conexão e ficarem mudando constantemente. A solução seria fechar todo o FORWARD e redirecionar o acesso à porta 80 para um servidor proxy e então filtrar o acesso a web, esta é a forma mais eficaz de ter todo um controle de tudo que está trafegando na rede, mas existem outras soluções não tanto eficazes, que atendem a algumas situações como bloqueio de MSN, p2p, Skype entre outros serviços.
Será abordado neste artigo a integração e configuração do Layer7 e IPP2P.
E bye bye MSN!
Agora que já foram apresentadas as funcionalidades de cada software, vamos à integração dos mesmos.
O iptables é o firewall nativo das distribuições Linux, com ele podemos criar nossas regras baseadas em ip/porta/mac/domínio, entre outras opções, só que muitos softwares como p2p são quase impossíveis de se fazer o bloqueio total devido a usarem várias portas para conexão e ficarem mudando constantemente. A solução seria fechar todo o FORWARD e redirecionar o acesso à porta 80 para um servidor proxy e então filtrar o acesso a web, esta é a forma mais eficaz de ter todo um controle de tudo que está trafegando na rede, mas existem outras soluções não tanto eficazes, que atendem a algumas situações como bloqueio de MSN, p2p, Skype entre outros serviços.
Será abordado neste artigo a integração e configuração do Layer7 e IPP2P.
Layer7
O Layer7 é um módulo que implementado ao iptables permite que o mesmo consiga subir até a camada de aplicação e fazer seus filtros baseados no payload do pacote (carga útil do pacote). Com isso o iptables passa a trabalhar semelhante a um Snort, abrindo o pacote e identificando o payload. Sendo assim não é necessário criar as regras do iptables indicando ip/porta. Um exemplo para bloquear o MSN com o Layer7 seria:
iptables -t filter -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
E bye bye MSN!
IPP2P
O ipp2p é um módulo que acrescentado ao iptables permite fazer bloqueios de programas P2P. Ele utiliza um método de verificação diferente do Layer7, que procura pelo payload do pacote, já o ipp2p analisa o tráfego do pacote e o classifica como p2p, fazendo assim um bloqueio mais geral de P2P. Um exemplo de bloqueio do Kazaa com ipp2p seria:
iptables -t filter -A FORWARD -m ipp2p --kazaa -j DROP
Agora que já foram apresentadas as funcionalidades de cada software, vamos à integração dos mesmos.
Cara, já são 2 da madruga e estou mais pescando que nunca, acredito que nessa regra para bloqueio do msn:
iptables -t filter -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
Nem precisa do "-t filter". Poderia ser:
iptables -A FORWARD -m layer7 --l7-proto msnmessenger -j DROP
Lendo as referências que você deixou, segue uma dica. Pode-se deixar o acesso a um endereço IP ou mais. Vai saber o patrão que se tem. :)
iptables -A FORWARD -s <ENDEREÇO IP> -m layer7 --l7-proto msnmessenger -j ACCEPT
iptables -A FORWARD -s <ENDEREÇO IP> -m layer7 --l7-proto msn-filetransfer -j ACCEPT
1º regra liberando o acesso do msn no IP especificado.
2º regra para habilitar o protocolo msnslp e msnftp usado para transferência de arquivos pelo MSN.
Abraços.