Iptables + Layer7
Este artigo tem o objetivo de apresentar a ferramenta Iptables, explicando um pouco sobre seu funcionamento e mostrando alguns exemplos da utilização deste firewall, bem como alguns de seus módulos. Em seguida detalharemos a importância, a instalação e mostraremos alguns exemplos de uso de um dos módulos existentes para o Iptables: o Layer7.
[ Hits: 119.651 ]
Por: Andre Oliveira em 19/11/2008
Utilização do Iptables
Agora que os conceitos principais já foram apresentados, vamos a alguns exemplos práticos. Lembrando que são necessários privilégios de superusuário para utilizar o Iptables.
Suponhamos que você queira bloquear qualquer pacote TCP destinado à porta 80 de sua máquina. Bastaria que fosse utilizado o seguinte comando:
# iptables -A OUTPUT -p tcp --dport 80 -j DROP
Na regra acima, adicionamos (-A) a regra à chain OUTPUT (pois é pra lá que vão os pacotes cuja origem é a máquina local). Em seguida a opção -p especifica o protocolo do pacote (tcp, udp, icmp etc. Neste caso, tcp). A opção --dport especifica a porta de destino do pacote (no caso, a porta 80). Finalmente, a opção -j indica a ação a ser tomada em relação a um pacote que atenda a essa regra (cujo protocolo seja o tcp, e a porta de destino seja a 80) quando este chega à chain especificada pela opção -A (neste caso, DROP, ou seja, descartar).
Vamos a mais um exemplo: queremos descartar qualquer pacote enviado à máquina local pela máquina de endereço 200.156.12.3, por exemplo. O comando neste caso seria:
# iptables -A INPUT -s 200.156.12.3 -j DROP
Nesta última regra adicionamos (-A) a regra à chain INPUT (pra onde vão os pacotes cujo destino é a máquina local). A opção -s especifica o endereço de origem do pacote que está sendo analisado.
Temos ainda as opções -d (que, ao contrário da opção -s, especifica o endereço IP de destino do pacote), --sport (que, ao contrário da opção --dport, especifica a porta de origem do pacote), -i que especifica a interface de entrada, por exemplo, eth0 (esta opção não pode ser utilizada na chain OUTPUT, obviamente) e -o que especifica a interface de saída, por exemplo, eth1 (esta opção não deve ser utilizada com a chain INPUT, obviamente).
A ação a ser tomada em relação a um determinado pacote também varia, mas em geral são utilizados (na tabela filter) os alvos (nome que se dá a essas ações) DROP (descartar), ACCEPT (aceitar) e REJECT (rejeitar). A diferença entre DROP e REJECT é que o alvo DROP apenas descarta o pacote, ao passo que o alvo REJECT pode retornar uma mensagem de erro qualquer.
Vamos agora adicionar regras às chains da tabela Nat. Queremos alterar o endereço de origem de qualquer pacote proveniente da rede 192.168.0.0 e que esteja saindo pela interface eth2, para o endereço 100.25.1.3. Utilizamos para isso a regra:
# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to 100.25.1.3
Há uma série de observações a serem feitas aqui. Primeiramente, utilizamos a opção -t para especificar a tabela Nat. Anteriormente, poderíamos ter utilizado esta opção para especificar a tabela Filter; no entanto, sempre que esta opção estiver ausente, por padrão a regra é aplicada à tabela Filter.
Em segundo lugar, o endereço IP (seja ele de origem ou destino) pode ser especificado com a máscara de rede; assim, podemos nos referir a toda uma rede, utilizando apenas uma regra. Uma terceira observação é o alvo utilizado (SNAT); isso indica que faremos "source Nat", ou seja, alteraremos o endereço de origem do pacote.
Poderíamos utilizar também o alvo DNAT ("destination nat"), para alterar o endereço de destino do pacote. Claro que, neste caso, deveríamos adicionar a regra à chain PREROUTING. Essa "associação" chain-alvo é bem lógica: se queremos alterar o endereço de origem de um pacote (SNAT), este deve ser o último passo antes do pacote ser enviado. Logo, a chain POSTROUTING é usada.
Se quisermos alterar o endereço de destino de um pacote (DNAT), este deve ser o primeiro passo a ser realizado quando o pacote chega à máquina local. Logo, usamos a chain PREROUTING. Por último, observamos que a opção --to especifica qual será o novo endereço de origem/destino.
Vamos então alterar o endereço de destino de qualquer pacote que chegar à máquina local pela interface eth0, para o endereço 192.168.156.3.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.156.3
Conforme citamos na introdução, a opção de realizar roteamento vem desabilitada por padrão no kernel. Para verificarmos se a opção está ou não habilitada, podemos utilizar o comando:
# cat /proc/sys/net/ipv4/ip_forward
Se a saída for 0, esta opção está desabilitada. Se for 1, está habilitada. Para habilitar esta opção utilizamos o comando (como superusuário):
# sysctl net.ipv4.ip_forward=1
Para desabilitá-la, basta substituir o 1 por 0 no comando acima.
Para utilizarmos as chains PREROUTING, POSTROUTING E FORWARD, a opção acima deve estar habilitada.
Voltando aos exemplos do iptables, podemos listar as regras de uma determinada chain com a opção -L.
Cabe ainda uma última observação: a opção -A adiciona uma regra NO FINAL da lista de regras de uma chain. O Iptables utilizará A PRIMEIRA regra da lista que "casar" com a descrição do pacote, ignorando todas as próximas regras. Portanto, a ordem das regras em uma lista faz muita diferença. Com isso, seu sistema ficará mais eficiente se as regras mais restritivas (mais abrangentes) forem as primeiras.
O Iptables fornece opções para inserir e remover regras em qualquer posição da lista, que são facilmente encontradas no manual do Iptables. No entanto, caso você possa reiniciar o serviço de firewall, é mais prático manter um arquivo texto com sua configuração de firewall.
Assim, quando tiver que inserir uma regra um uma determinada posição, basta parar o firewall, adicionar a regra no arquivo texto e recarregar o firewall.
Existem ainda os programas iptables-save (iptables-save > <arquivo_destino>) e iptables-restore (iptables-restore < <arquivo_origem>), para gravar as regras carregadas em suas chains em um arquivo, e para carregar regras de um determinado arquivo, respectivamente. Isso é útil, pois toda vez que a máquina for reiniciada, as regras carregadas são perdidas.
Citamos ainda duas opções: a opção -F, utilizada para apagar todas as regras de uma chain e a opção -P que define a política padrão de uma chain. A política padrão diz o que deve ser feito com um pacote que não "case" com nenhuma das regras da chain. Por exemplo, para descartar todos os pacotes que não atendem nenhuma das regras da chain FORWARD, utilizamos o comando:
# iptables -P FORWARD DROP
Suponhamos que você queira bloquear qualquer pacote TCP destinado à porta 80 de sua máquina. Bastaria que fosse utilizado o seguinte comando:
# iptables -A OUTPUT -p tcp --dport 80 -j DROP
Na regra acima, adicionamos (-A) a regra à chain OUTPUT (pois é pra lá que vão os pacotes cuja origem é a máquina local). Em seguida a opção -p especifica o protocolo do pacote (tcp, udp, icmp etc. Neste caso, tcp). A opção --dport especifica a porta de destino do pacote (no caso, a porta 80). Finalmente, a opção -j indica a ação a ser tomada em relação a um pacote que atenda a essa regra (cujo protocolo seja o tcp, e a porta de destino seja a 80) quando este chega à chain especificada pela opção -A (neste caso, DROP, ou seja, descartar).
Vamos a mais um exemplo: queremos descartar qualquer pacote enviado à máquina local pela máquina de endereço 200.156.12.3, por exemplo. O comando neste caso seria:
# iptables -A INPUT -s 200.156.12.3 -j DROP
Nesta última regra adicionamos (-A) a regra à chain INPUT (pra onde vão os pacotes cujo destino é a máquina local). A opção -s especifica o endereço de origem do pacote que está sendo analisado.
Temos ainda as opções -d (que, ao contrário da opção -s, especifica o endereço IP de destino do pacote), --sport (que, ao contrário da opção --dport, especifica a porta de origem do pacote), -i que especifica a interface de entrada, por exemplo, eth0 (esta opção não pode ser utilizada na chain OUTPUT, obviamente) e -o que especifica a interface de saída, por exemplo, eth1 (esta opção não deve ser utilizada com a chain INPUT, obviamente).
A ação a ser tomada em relação a um determinado pacote também varia, mas em geral são utilizados (na tabela filter) os alvos (nome que se dá a essas ações) DROP (descartar), ACCEPT (aceitar) e REJECT (rejeitar). A diferença entre DROP e REJECT é que o alvo DROP apenas descarta o pacote, ao passo que o alvo REJECT pode retornar uma mensagem de erro qualquer.
Vamos agora adicionar regras às chains da tabela Nat. Queremos alterar o endereço de origem de qualquer pacote proveniente da rede 192.168.0.0 e que esteja saindo pela interface eth2, para o endereço 100.25.1.3. Utilizamos para isso a regra:
# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to 100.25.1.3
Há uma série de observações a serem feitas aqui. Primeiramente, utilizamos a opção -t para especificar a tabela Nat. Anteriormente, poderíamos ter utilizado esta opção para especificar a tabela Filter; no entanto, sempre que esta opção estiver ausente, por padrão a regra é aplicada à tabela Filter.
Em segundo lugar, o endereço IP (seja ele de origem ou destino) pode ser especificado com a máscara de rede; assim, podemos nos referir a toda uma rede, utilizando apenas uma regra. Uma terceira observação é o alvo utilizado (SNAT); isso indica que faremos "source Nat", ou seja, alteraremos o endereço de origem do pacote.
Poderíamos utilizar também o alvo DNAT ("destination nat"), para alterar o endereço de destino do pacote. Claro que, neste caso, deveríamos adicionar a regra à chain PREROUTING. Essa "associação" chain-alvo é bem lógica: se queremos alterar o endereço de origem de um pacote (SNAT), este deve ser o último passo antes do pacote ser enviado. Logo, a chain POSTROUTING é usada.
Se quisermos alterar o endereço de destino de um pacote (DNAT), este deve ser o primeiro passo a ser realizado quando o pacote chega à máquina local. Logo, usamos a chain PREROUTING. Por último, observamos que a opção --to especifica qual será o novo endereço de origem/destino.
Vamos então alterar o endereço de destino de qualquer pacote que chegar à máquina local pela interface eth0, para o endereço 192.168.156.3.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.156.3
Conforme citamos na introdução, a opção de realizar roteamento vem desabilitada por padrão no kernel. Para verificarmos se a opção está ou não habilitada, podemos utilizar o comando:
# cat /proc/sys/net/ipv4/ip_forward
Se a saída for 0, esta opção está desabilitada. Se for 1, está habilitada. Para habilitar esta opção utilizamos o comando (como superusuário):
# sysctl net.ipv4.ip_forward=1
Para desabilitá-la, basta substituir o 1 por 0 no comando acima.
Para utilizarmos as chains PREROUTING, POSTROUTING E FORWARD, a opção acima deve estar habilitada.
Voltando aos exemplos do iptables, podemos listar as regras de uma determinada chain com a opção -L.
Cabe ainda uma última observação: a opção -A adiciona uma regra NO FINAL da lista de regras de uma chain. O Iptables utilizará A PRIMEIRA regra da lista que "casar" com a descrição do pacote, ignorando todas as próximas regras. Portanto, a ordem das regras em uma lista faz muita diferença. Com isso, seu sistema ficará mais eficiente se as regras mais restritivas (mais abrangentes) forem as primeiras.
O Iptables fornece opções para inserir e remover regras em qualquer posição da lista, que são facilmente encontradas no manual do Iptables. No entanto, caso você possa reiniciar o serviço de firewall, é mais prático manter um arquivo texto com sua configuração de firewall.
Assim, quando tiver que inserir uma regra um uma determinada posição, basta parar o firewall, adicionar a regra no arquivo texto e recarregar o firewall.
Existem ainda os programas iptables-save (iptables-save > <arquivo_destino>) e iptables-restore (iptables-restore < <arquivo_origem>), para gravar as regras carregadas em suas chains em um arquivo, e para carregar regras de um determinado arquivo, respectivamente. Isso é útil, pois toda vez que a máquina for reiniciada, as regras carregadas são perdidas.
Citamos ainda duas opções: a opção -F, utilizada para apagar todas as regras de uma chain e a opção -P que define a política padrão de uma chain. A política padrão diz o que deve ser feito com um pacote que não "case" com nenhuma das regras da chain. Por exemplo, para descartar todos os pacotes que não atendem nenhuma das regras da chain FORWARD, utilizamos o comando:
# iptables -P FORWARD DROP
Páginas do artigo
1. Introdução 2. Utilização do Iptables
3. Módulos
4. Instalando o Layer 7
5. Utilização do Layer 7
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
IPtables - Trabalhando com Módulos
Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente
Migrando do ipchains para o iptables
Squid/IPtables - Bloqueando Facebook e personalizando IP de acesso irrestrito (definitivo)
Comentários
[1] Comentário enviado por brunocontin em 19/11/2008 - 16:42h
Muito bom, mais teria como eu colocar o Layer 7 no meu Kernel atual? Já que ele está numa versão acima do que você descreveu.
Muito bom, mais teria como eu colocar o Layer 7 no meu Kernel atual? Já que ele está numa versão acima do que você descreveu.
[2] Comentário enviado por renato_pacheco em 19/11/2008 - 17:02h
Excelente artigo! Tinha um professor meu q ele não conseguia bloquear o skype pelo Windows Server 2003. Eu acho q ele vai t q mudar pra um server Linux agora. Huiahiuahuiaha!!
Excelente artigo! Tinha um professor meu q ele não conseguia bloquear o skype pelo Windows Server 2003. Eu acho q ele vai t q mudar pra um server Linux agora. Huiahiuahuiaha!!
[3] Comentário enviado por aolb em 19/11/2008 - 18:57h
renato_pacheco valeu pela força... espero que o tutorial possa ajudar!
brunocontin foi excelente sua pergunta, pois aproveito para colocar um link que não pus no tutorial. Este link é uma lista de compatibilidade do Layer 7 com as versões do kernel. Note que eu fiz o tutorial com a última versão que comprovadamente compila e funciona. De qualquer forma, segue o link para que você (e os demais que tenham a mesma dúvida) verifique de acordo com a sua versão.
Link: http://l7-filter.sourceforge.net/kernelcompat
Abraços a todos.
renato_pacheco valeu pela força... espero que o tutorial possa ajudar!
brunocontin foi excelente sua pergunta, pois aproveito para colocar um link que não pus no tutorial. Este link é uma lista de compatibilidade do Layer 7 com as versões do kernel. Note que eu fiz o tutorial com a última versão que comprovadamente compila e funciona. De qualquer forma, segue o link para que você (e os demais que tenham a mesma dúvida) verifique de acordo com a sua versão.
Link: http://l7-filter.sourceforge.net/kernelcompat
Abraços a todos.
[4] Comentário enviado por macvitor em 20/11/2008 - 15:37h
Parabéns, pelo artigo. Eu havia escrito um, mas já faz tempo, está ultrapassado.
Parabéns, pelo artigo. Eu havia escrito um, mas já faz tempo, está ultrapassado.
[5] Comentário enviado por jpaulo_farias em 25/11/2008 - 15:45h
Parabens pelo artigo, eu ja tenho o layer 7 funcionando normal esta bloqueando perfeitamente, so que eu estou tendo um problema, espero que vc pode me ajudar.
Aqui em baixo esta as minhas regras que eu to usando, eu to bloqueando geral na o MSN e o SKYPE e to liberando pra alguns ips e esta funcionando normal so que esta bloqueando os aplicativos do telnet smtp e ftp, e ja fiz de tudo e nao consigo libera telnet e o ftp o telnet, ja o smtp funcionou depois que eu adicionei essa linha $IPT -A FORWARD -m layer7 --l7proto smtp -j ACCEPT, eu tentei fazer a mesma coisa com o ftp e o telnet + nao funcionou.
Isso acontece quando eu blqoueio o skype, ai para de funciona o telnet e o ftp, vc pode me ajudar. se abaixo comandos do layer 7 que eu estou usando.
#===========================================
#echo "Liberando Messeger e o Skype por IP ............................. OK"
#===========================================
$IPT -t filter -A FORWARD -s 10.46.22.248/32 -m layer7 --l7proto msnmessenger -j ACCEPT
$IPT -t filter -A FORWARD -d 10.46.22.248/32 -m layer7 --l7proto msnmessenger -j ACCEPT
$IPT -t filter -A FORWARD -s 10.46.22.250/32 -m layer7 --l7proto skypeout -j ACCEPT
$IPT -t filter -A FORWARD -d 10.46.22.250/32 -m layer7 --l7proto skypeout -j ACCEPT
#============================================
echo "Libera os programa no Layer 7 ...................... OK"
#============================================
#
$IPT -A FORWARD -m layer7 --l7proto smtp -j ACCEPT
$IPT -A FORWARD -m layer7 --l7proto telnet -j ACCEPT
#===========================================
#echo "Bloqueando P2p/Messenger e Skype ...................... OK"
#============================================
$IPT -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
$IPT -A FORWARD -m layer7 --l7proto skypeout -j DROP
$IPT -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
Grato,
Joao Paulo
Parabens pelo artigo, eu ja tenho o layer 7 funcionando normal esta bloqueando perfeitamente, so que eu estou tendo um problema, espero que vc pode me ajudar.
Aqui em baixo esta as minhas regras que eu to usando, eu to bloqueando geral na o MSN e o SKYPE e to liberando pra alguns ips e esta funcionando normal so que esta bloqueando os aplicativos do telnet smtp e ftp, e ja fiz de tudo e nao consigo libera telnet e o ftp o telnet, ja o smtp funcionou depois que eu adicionei essa linha $IPT -A FORWARD -m layer7 --l7proto smtp -j ACCEPT, eu tentei fazer a mesma coisa com o ftp e o telnet + nao funcionou.
Isso acontece quando eu blqoueio o skype, ai para de funciona o telnet e o ftp, vc pode me ajudar. se abaixo comandos do layer 7 que eu estou usando.
#===========================================
#echo "Liberando Messeger e o Skype por IP ............................. OK"
#===========================================
$IPT -t filter -A FORWARD -s 10.46.22.248/32 -m layer7 --l7proto msnmessenger -j ACCEPT
$IPT -t filter -A FORWARD -d 10.46.22.248/32 -m layer7 --l7proto msnmessenger -j ACCEPT
$IPT -t filter -A FORWARD -s 10.46.22.250/32 -m layer7 --l7proto skypeout -j ACCEPT
$IPT -t filter -A FORWARD -d 10.46.22.250/32 -m layer7 --l7proto skypeout -j ACCEPT
#============================================
echo "Libera os programa no Layer 7 ...................... OK"
#============================================
#
$IPT -A FORWARD -m layer7 --l7proto smtp -j ACCEPT
$IPT -A FORWARD -m layer7 --l7proto telnet -j ACCEPT
#===========================================
#echo "Bloqueando P2p/Messenger e Skype ...................... OK"
#============================================
$IPT -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
$IPT -A FORWARD -m layer7 --l7proto skypeout -j DROP
$IPT -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
Grato,
Joao Paulo
[6] Comentário enviado por relofi em 25/11/2008 - 17:01h
Olá segui o tuto e não deu erro algum, porém qdo executo o comando da esse erro:
/usr/src/iptables-1.4.1.1# iptables -A INPUT -m layer7 --l7proto fasttrack -j DROP
iptables: Invalid argument
porque será? alguém tem alguma idéia?Carreguei o mod: ipt_layer7
Olá segui o tuto e não deu erro algum, porém qdo executo o comando da esse erro:
/usr/src/iptables-1.4.1.1# iptables -A INPUT -m layer7 --l7proto fasttrack -j DROP
iptables: Invalid argument
porque será? alguém tem alguma idéia?Carreguei o mod: ipt_layer7
[7] Comentário enviado por carbony em 03/12/2008 - 09:10h
valeu pelo tutorial,
um duvida,
consegui rodar as regras iptable e layer7, bloqueou msn,emule, etc etc.
so que no prompt do root , ficando aparecendo essa mensagem na tela
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
alguem saberia me dizer se isso e um error , e como eu resolveria?
ate que ponto atrapalha meu sistema?
valeu!!!
valeu pelo tutorial,
um duvida,
consegui rodar as regras iptable e layer7, bloqueou msn,emule, etc etc.
so que no prompt do root , ficando aparecendo essa mensagem na tela
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
kernel: layer7: couldn't get conntrack.
alguem saberia me dizer se isso e um error , e como eu resolveria?
ate que ponto atrapalha meu sistema?
valeu!!!
[8] Comentário enviado por carbony em 03/12/2008 - 18:12h
ola tenho uma duvida
instalei o layer7 e ipp2p,
o layer7 bloqueia os p2p, bittorrent,kazza, emule, ou e somente pra msn?
como instalei os dois , to conseguindo bloquear o msn e o p2p, gostaria de saber qual e comando para liberar determinado ip no ipp2p, sendo que no layer7 usei a dica acima do nosso companheiro.
outra duvida, o log do ipp2p consegui ver no /var/log/iptables e do layer7 aonde consigo ver o log dele?
valeu!!!
minha regra pra gerar log, gostaria de saber se esta certa
# gerar log ipp2p e msn
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j LOG --log-level 1 --log-pre$
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j LOG --log-prefix "msn : "
ola tenho uma duvida
instalei o layer7 e ipp2p,
o layer7 bloqueia os p2p, bittorrent,kazza, emule, ou e somente pra msn?
como instalei os dois , to conseguindo bloquear o msn e o p2p, gostaria de saber qual e comando para liberar determinado ip no ipp2p, sendo que no layer7 usei a dica acima do nosso companheiro.
outra duvida, o log do ipp2p consegui ver no /var/log/iptables e do layer7 aonde consigo ver o log dele?
valeu!!!
minha regra pra gerar log, gostaria de saber se esta certa
# gerar log ipp2p e msn
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j LOG --log-level 1 --log-pre$
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j LOG --log-prefix "msn : "
[9] Comentário enviado por jucaetico em 19/03/2009 - 18:31h
Amigos, Segui a risca esse tutorial e muitos outros desse mesmo assunto, quando reinicio a maquina para carregar o novo kernel recebo a seguinte mensagem: "Begin: Waiting for root file system". e fica nisso o kernel antigo carrega normal!! Obs: Meu HD é SATA. Obrigado!
Amigos, Segui a risca esse tutorial e muitos outros desse mesmo assunto, quando reinicio a maquina para carregar o novo kernel recebo a seguinte mensagem: "Begin: Waiting for root file system". e fica nisso o kernel antigo carrega normal!! Obs: Meu HD é SATA. Obrigado!
[10] Comentário enviado por jucaetico em 20/03/2009 - 15:51h
Galera, descobri que o problema está relacionado ao tipo da placa mãe, no meu caso o meu HD sata é reconhecido como IDE na BIOS. Então após recompilar o "kernel" o mesmo não é encontrado como sda1 e nem como ide, não sei explicar o porque. O que fiz foi utilizar um outro tipo de placa mãe que reconhece o meu HD como SATA na BIOS e funcionou blz! Obrigado,
Galera, descobri que o problema está relacionado ao tipo da placa mãe, no meu caso o meu HD sata é reconhecido como IDE na BIOS. Então após recompilar o "kernel" o mesmo não é encontrado como sda1 e nem como ide, não sei explicar o porque. O que fiz foi utilizar um outro tipo de placa mãe que reconhece o meu HD como SATA na BIOS e funcionou blz! Obrigado,
[11] Comentário enviado por danne em 21/08/2009 - 20:29h
Segui o tutorial utilizando as seguintes versões: Ubuntu Server 9.04, Kernel 2.6.28, Iptables 1.4.4, Layer7 2.22, protocolos 28/05/2009. Rodou numa boa.
Segui o tutorial utilizando as seguintes versões: Ubuntu Server 9.04, Kernel 2.6.28, Iptables 1.4.4, Layer7 2.22, protocolos 28/05/2009. Rodou numa boa.
[12] Comentário enviado por hugo.andrade em 18/09/2009 - 15:41h
Otimo tutorial...
Acabei de instala-lo aqui na minha empresa:
Debian(Net-inst)
Kernel 2.6.28
Iptables 1.4.1.1
Layer7 2.21
Seguindo a risca esse tutotial e não deu problema algum durante a instalação.
Parabens pelo otimo tutorial!!!
Otimo tutorial...
Acabei de instala-lo aqui na minha empresa:
Debian(Net-inst)
Kernel 2.6.28
Iptables 1.4.1.1
Layer7 2.21
Seguindo a risca esse tutotial e não deu problema algum durante a instalação.
Parabens pelo otimo tutorial!!!
[13] Comentário enviado por blade_ander em 27/12/2010 - 11:10h
Pessoal,
Se tiverem problemas e o módulo não subir, vai a dica, no caso usando Debian 5.06 lenny.
Alterando configuração do modulo L7:
# cp /lib/modules/2.6.26/kernel/net/netfilter/xt_layer7.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko
Editando arquivo de módulos:
vim /lib/modules/2.6.26-2-686/modules.dep
Adicone a linha abaixo no final do arquivo:
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko: /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack.ko /lib/modules/2.6.26/kernel/net/netfilter/x_tables.ko
Reinicie o servidor.
Subir o modulo: modprobe xt_layer7
Pessoal,
Se tiverem problemas e o módulo não subir, vai a dica, no caso usando Debian 5.06 lenny.
Alterando configuração do modulo L7:
# cp /lib/modules/2.6.26/kernel/net/netfilter/xt_layer7.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko
Editando arquivo de módulos:
vim /lib/modules/2.6.26-2-686/modules.dep
Adicone a linha abaixo no final do arquivo:
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko: /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack.ko /lib/modules/2.6.26/kernel/net/netfilter/x_tables.ko
Reinicie o servidor.
Subir o modulo: modprobe xt_layer7
[14] Comentário enviado por Xelito em 20/05/2011 - 18:41h
Pra mim da erro ao executar o comando:
make-kpkg -initrd kernel_image
Aparece a seguinte mensagem:
Unknown option: i
Unknown option: n
Unknown option: i
Unknown option: t
Unknown option: r
Unknown option: d
Ou seja ele nao esta mais reconhecendo o comando initrd
como faço para tentar resolver isso?
Alguem pode me ajudar?
Pra mim da erro ao executar o comando:
make-kpkg -initrd kernel_image
Aparece a seguinte mensagem:
Unknown option: i
Unknown option: n
Unknown option: i
Unknown option: t
Unknown option: r
Unknown option: d
Ou seja ele nao esta mais reconhecendo o comando initrd
como faço para tentar resolver isso?
Alguem pode me ajudar?
[15] Comentário enviado por rick_G em 09/10/2011 - 22:16h
Olá,
não estou conseguindo aplicar o modulo do Debian squeeze,
Alguem pode me ajudar?
Olá,
não estou conseguindo aplicar o modulo do Debian squeeze,
Alguem pode me ajudar?
[16] Comentário enviado por fred.aug em 17/11/2011 - 14:49h
Xelito,
digite o comando desta forma:
make-kpkg --initrd kernel_image
Xelito,
digite o comando desta forma:
make-kpkg --initrd kernel_image
[17] Comentário enviado por smallboy em 26/11/2014 - 12:25h
Possuo um server web cujo nele há instalado diversos tipos de serviços. Kernel dele é 2.6.18 eu consigo instalar o layer 7 no CentOS ?
More one question, Quero bloquear downloads Torrent, p2p principalmente torrent que consome maior parte da banda.
Possuo um server web cujo nele há instalado diversos tipos de serviços. Kernel dele é 2.6.18 eu consigo instalar o layer 7 no CentOS ?
More one question, Quero bloquear downloads Torrent, p2p principalmente torrent que consome maior parte da banda.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.926 pts -
Fábio Berbert de Paula
2° lugar - 51.272 pts -
Buckminster
3° lugar - 17.665 pts -
Mauricio Ferrari
4° lugar - 15.450 pts -
Alberto Federman Neto.
5° lugar - 14.086 pts -
Diego Mendes Rodrigues
6° lugar - 13.688 pts -
Daniel Lara Souza
7° lugar - 13.094 pts -
Andre (pinduvoz)
8° lugar - 10.449 pts -
edps
9° lugar - 10.658 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.561 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
