Uso eficiente do IPCOP firewall

lgaspar

Nesse artigo abordaremos dicas e truques para um uso mais eficiente do IPCOP como solução de firewall de sua rede com uso de layer-7. Veremos como fazer para bloquear MSN, programas P2P e recursos adicionais.

[ Hits: 235.704 ]

Por: Luiz Gaspar de F. dos Santos em 16/04/2006

0 0

Denuncie Favoritos Indicar Impressora

Usando o IPCOP Firewall para bloqueios de alto nível

Quem acompanha o Viva o Linux já deve ter lido o excelente artigo de Alan Cota:

IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL

Eu já instalei este firewall em clientes pequenos e médios (de 8 a 40 máquinas) e posso atestar que sua interface de configuração é muito intuitiva, o que faz com que os próprios clientes possam administrá-lo (incrível, mas é verdade!). Se você pensar que um firewall deve contar com acompanhamento constante... e quem deve fazer este acompanhamento é você...

Bom, o fato é que sua instalação já foi esmiuçada naquele artigo, mas acredito que se deve colocar para os leitores os vários recursos (os mais úteis, pelo menos) disponíveis. Pense em bloquear, na sua rede, MSN, programas P2P (Kazaa, eMule, etc) e Skype. O que você acha disso? Interessante, não?

Por si só, o IPCOP possui funções básicas, padrão de qualquer firewall, mas no artigo a que me referi você viu a possibilidade de estender os seus recursos através dos "addons", disponibilizados em sua maioria por terceiros.

Bem, vamos ver como poderíamos fazer para efetuar os bloqueios que descrevemos acima e liberar todo o potencial do IPCOP.

No presente artigo utilizei o CD do IPCOP versão 1.4.10 (a última versão disponível) e a máquina é um AMD K6-II 500Mhz, com 256 de memória e um HD de 20 Gb, com 2 interfaces de rede (RED e GREEN). Uma máquina simples. Acredito que pode ser usada com boa performance em uma rede com até 10 clientes fazendo uso intensivo da Internet, com os serviços normais (HTTP, POP, SMTP e FTP). Aqui exemplificamos usando o serviço Velox. Além disso, você pode obter toda uma gama de informações para administrar melhor sua rede: logs, gráficos, Snort IDS, estatísticas do servidor, etc.

Lembrar que nesta rede você possui usuários "teimosos", que consomem sua largura de banda (média de 300K) com programas P2P, MSN e Skype. Você quer bloquear o uso destes programas em toda a rede (sem exceções para administrar), fazendo com que efetivamente os funcionários façam o que são pagos para fazer: produzir. Além de proteger sua rede contra muitas outras coisas: vírus, instalação de programas baixados via internet, etc. É claro que você não deve deixar nas máquinas destes usuários acesso a modens (internos ou externos).

Próxima página

Páginas do artigo

   1. Usando o IPCOP Firewall para bloqueios de alto nível
   2. O SQUID Proxy
   3. Bloqueando os "indesejáveis"
   4. Programas P2P
   5. Mais recursos

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Servidor de internet a rádio no Debian

Bloqueando programas P2P com iptables

Introdução ao Firewall Linux

Estrutura do IPTables 2: a tabela nat

Script de Firewall com redirecionamento de portas em Linux Debian

Comentários

[1] Comentário enviado por fernandoamador em 16/04/2006 - 19:39h

Ótimo artigo...

0 0

[2] Comentário enviado por removido em 17/04/2006 - 01:47h

Legal, eu axava que IPCop era somente a distribuição e não o software em sí. Muito bom, estou até pensando em implementar algumas soluções com isso agora!

Valeu e Deus te abençoe.

0 0

[3] Comentário enviado por neriberto em 17/04/2006 - 12:53h

Sensacional,... sempre usei o ipcop, 15 minutos de instalação e configuração até mesmo numa máquina 233 com 64 de ram, pra quem tem uma vida bastante corrida e preciso de algo simples e funcional este é o caminho.
Só pra adicionar o copfilter tem proxy transparente com filtragem de vírus para os protocolos http, pop e smtp e antispam.

ótimo artigo mesmo

0 0

[4] Comentário enviado por supradados em 11/11/2006 - 23:14h

Estou usando o Kubuntu 6.10 com amule 2.1.3 e uma máquina firewaal IPCOP 1.4.11 com o p2pblock e o l7 instalados e configurados, mas não consigo barrar o amule. O que pode estar acontecendo?

0 0

[5] Comentário enviado por wailton em 22/11/2006 - 11:35h

Realmente o IPCOP é muito bom, aqui no meu trabalho (governo) temos ele rodando num athlon xp 1800+ 3GB de ram HD 40, temos 60 redes, num total de quase 300 micros conetados. A partir de janeiro/2007 estaremos conectando mais 520 micros nessa rede, não sei como o IPCOP vai se comportar, mas se ele continuar se comportando bem, iremos continuar com ele, caso contrário teremos que buscar outra alternativa.

0 0

[6] Comentário enviado por leomarsa em 24/01/2007 - 12:32h

A ferramenta é ótimo cara, estou trabalhando com a versão 1.4.13 com os addons (backouttrafic, timelimit, Qos). Rodando num pequeno provedor de internet wireless, só estou com dificuldade em configurar o backouttrafic para deixar o msn passar, gostaria se possível uma ajuda daqueles que já conseguiram fazer passar.
Se alguém puder me ajudar com essa regra agradeço.

Obrigado;

Leomar Soares
msn: leomarsa@hotmail.com

0 0

[7] Comentário enviado por fabianoac em 25/02/2007 - 04:33h

Ola, estou implementando o ipcop em uma lan house, gostaria de saber como faço pra bloquear para os usuários não abrirem sites pornográficos e outros sites que eu não quero que sejam visitados?

Pelo squid tem como fazer isso? onde eu edito? como faço? espero que possam me ajudar.

msn: fabiano_do_mal@hotmail.com

0 0

[8] Comentário enviado por fabianoac em 13/03/2007 - 11:28h

Ola, alguem poderia me dar uma dica, estou tentando instalar o ipcop 1.4.15 em um pIII 750mhz, com 1x256mb + 1x128mb de memoria ram, hd ide 40gb 7200rpm NOVO, na hora de criar as partições congela a imagem, ai trava a maquina. Alguma dica de como resolver isso?

0 0

[9] Comentário enviado por antonioandrade em 31/03/2007 - 10:32h

olá,

Tenho o ipcop e estou com um serio problema, meu proxy está funcionando 100% para maquinas clientes, mas meu outlook NÃO, já tentei configurar diversa coisas para funcionar o outlook nas maquinas clientes e nada, alguem tem alguma LUZ ........... por favor...........

Grato

0 0

[10] Comentário enviado por thiagolamosa em 13/04/2007 - 17:06h

Olá,
Valeu pelo tópico, mas estou tendo problemas.
Ao rodar o arquivo rc.local com as alterações sugeridas. O IPCop "box" me responde:
"iptables v1.2.11: invalid target name DROP"
O que poderia estar acontecendo?

0 0

[11] Comentário enviado por fsflorencio em 03/08/2007 - 18:04h

Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?

0 0

[12] Comentário enviado por paulorcotta em 22/08/2007 - 20:09h

Ola pessoal,
Instalei o IPcop 1.4.16 ele esta rodando blz.

Mas nao consigo instalar o Layer-7, será que alguem poderia me ajudar.

Muito obrigado
email: osantosade@yahoo.com.br

0 0

[13] Comentário enviado por fernandosf em 24/08/2007 - 09:06h

ALGUEM SE HABILITA?

Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?

0 0

[14] Comentário enviado por lpjlpfarias em 17/09/2007 - 12:14h

DEPOIS DE TUDO BLOQUEADO, EXECUTE ESSE SCRIPTZINHO MIXURUCA PARA LIBERAR O IP DESEJADO. DESCULPEM, É BEM SIMPLES ESSE SCRIPT, MAS DÁ PRA TER UMA IDÉIA.
NÃO SOU ESPECIALISTA, MAS DOU MEUS PULOS.

#!bin/bash

$DIR="caminho da diretório"
$PROTO="protocolo"

while true; do

echo
echo " Insira o ip a ser liberado. Para sair digite q ou Q"
echo

read IP

echo

if [ $IP = "q" ]; then
exit 0
fi

if [ $IP = "Q" ]; then
exit 0
fi
/sbin/iptables -t mangle -A POSTROUTING -v -s $IP -m layer7 --l7dir $DIR --l7proto $PROTO -j ACCEPT

done

0 0

[15] Comentário enviado por rmsi em 23/09/2007 - 20:39h

Sou novato.. fiz a instalação do IPCOP 1.4.16 e Layer7 1.4.8 fiz passo a passo, coloquei as regras em rc.local e mandei rodar, quero trancar o messenger e skype.

retorna
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

alguem pode me ajudar.

0 0

[16] Comentário enviado por gildomar em 14/11/2007 - 17:17h

Boa Tarde,

Meu nome é Gildomar. Preciso da ajuda de alguém.

Eu consegui fazer funcionar o bloqueio do msn pelo Layer7 pela instrução desse tutorial. Porém tive um problema com um usuário:

Ele conseguiu entrar no msn sem eu permitir via IP. Ai eu fui peguei o IP que ta usando e bloqueei através de regras la no rc.local com DROP, e mesmo assim ele tá conseguindo acessar o msn. Pode ser uma falha do Layer7 no IPCop?

Aguardo retorno. Obrigado desde já

0 0

[17] Comentário enviado por fasali em 18/03/2008 - 16:51h

Boa tarde a todos,

Gostaria de saber se é possível adicionar mais um range de ip (outra placa de rede) na interface verde.

Grato,

Fabiano S. Lisboa

0 0

[18] Comentário enviado por Oribio em 14/11/2008 - 14:27h

Pessoal, como eu removo um kernel antigo no meu IPCop?
Qual o comando nativo do IPCop, no ubunto sei q é apt-get...
Abração.

0 0

[19] Comentário enviado por emanoel.almeida em 27/12/2008 - 04:21h

Estou com Problema ao tentar rodar o layer7-filter no ipcop 1.4.21. instalo tudo direitinho não da nenhum erro. só um aviso. O pacote que instalei foi esse (layer7_ipcop_1.4.8.tar.gz)
Mas na hora de rodar o script de firewall(rc.local) retorna o seguinte erro pra cada regra que eu colocar usando o l7

iptables: No chain/target/match by that name

alguem sabe me dizer como resolvo isso?

Abraço.

0 0

[20] Comentário enviado por emanoel.almeida em 28/12/2008 - 18:06h

Bem pessoal, enfim, depois de noites acordados recompilando kernel em distros convencionais, achei a solução do meu problema:

Esse arquivo que baixei funcionou legal no ipcop 1.4.10, mas convenhamos ja está muito antigo. Queria para o ipcop 1.4.21 que
hoje é a versão mais recente. O procedimento padrão seria recompilar o kernel numa versão do slackware compativel com o ipcop
(ou seja com o mesmo kernel) e adcionar o os patchs do layer7 a ele. Dai Futucando no google achei um site que disponibilizou o link
com o kernel compativel com ipcop 1.4.21.

Kernel 2.4.36
( http://de.embcop.org/?page_id=40)

Salvei o kernel zipado na diretório /tmp

descompactei o kernel:
#cd /tmp
#tar xjf ipcop-1.4.21-kernel-2.4.36.6.tar.bz2 -C /

E depois o ultimo comando
#touch /var/run/need-depmod-2.4.36
#reboot

Pronto Pessoal, zerinho o layer7 ja está instalado no ipcop1 1.4.21 agora é só baixar as definições mais atuais no site:
( http://sourceforge.net/project/showfiles.php?group_id=80085 )

Criar uma pasta chamada l7-protocols no diretório /etc
#mkdir /etc/l7-protocols

Extrair o conteudo do pacote para dentro da pasta recentemente criada (/etc/l7-protocols) de modo que a estrutura de pastas fiquem
da seguinte maneira:
( /etc/l7-protocols/protocols )

Pronto o layer 7 ja está funcionando no seu pc. agora você ja poderá aplicar regras usando o layer7 como:
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP

OBS: como ja citado no artigo: a pasta dos protocolos poderá ficar em qualquer lugar, desde que nas regras aplicadas, você informe
o local correto de onde se encontram os protocolos( No parametro --l7dir ).

Bem Pessoal, espero ter ajudado ou ajudar a quem estiver passando por esse problema. No meu funcionou perfeitamente.
Obrigado aTodos.

0 0

[21] Comentário enviado por infoideia em 07/02/2009 - 09:32h

Eu configurei o ipcop com o layer 7 e funcionou perfeito ele bloqueia todos os msn
só q eu estou precisando liberar só um ip para acessar o msn sem desbloquear os outros

eu coloquei desse jeito o codigo mais não funcionaou

/sbin/iptables -t mangle -A POSTROUTING -v -s 192.168.0.100 -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j ACCEPT

alguem tem uma solução ??/

obrigado a Todos

0 0

[22] Comentário enviado por joserubenildo em 12/03/2009 - 09:40h

olá
Estou tentando colocar o Ipcop em uma maquina virtual instalada em um 2000 server com duas placas de rede.
Deixei ele com 64 MB mas nao consigo configurar.
Mode com ip Fixo 10.0.0.138
Placa de rede eth1 no modem
placa de rede eth0 na HUB
Do IPCop consigo pingar na internet. mas nao consigo ver a rede interna.

Alguem sabe onde estou errando.

sem mais

0 0

[23] Comentário enviado por lordhazy em 05/05/2009 - 13:16h

Utilizo o IPCOP em minha rede, tenho as interfaces Green, Red e Orange. O firewall/proxy está perfeito.
Coloquei um Access Point na interface orange para que eu consiga ter acesso livre sem restrições nos
notebooks. Tentei fazer algumas regras para liberar no BOT mas nada até agora, alguém poderia me ajudar
dando alguma dica ou exemplificando alguma regra? Agradeço muito a quem me der essa força.
Abraço a todos.

0 0

[24] Comentário enviado por rogerbeste em 11/08/2009 - 11:32h

Sou novato em linux, instali um ipcop 1.4.20 em meu servidor de internet e atualizei para 1.4.21, estou tentando instalar o proxi avançado na versão 21 e nã cnssigo, você pode me ajudar e me dizer como eu faço isso, com eu disse sou muito amado em linux e gostari muito de receber uma ajuda detalhada.
Os arquivos que encontro são (.tar.tar) nesse endereço, http://www.advproxy.net/download.html,
e os que pedem no campo de atualização do ipcop é (.tgz.gpg), por gentileza espero que possa me ajudar.
no campo e atualizações eu tenho umas informações refeente a Kernel e squid, pra que serve?
desde já agradeço.
Roger.

0 0

[25] Comentário enviado por rogerbeste em 11/08/2009 - 12:01h

Como eu faço para instalar o advanced proxy n ipcop 1.4.21, Sou novato e estou aprendendo trabalhar com o linux, eu instalei a vrsão 1.4.20 e atualizei para a versão 1.4.21 mas agora não cnsigo instalar o advanced proxy nesta versão, você descrever pra mim o passo a passo por favor.
desde já agraeço.

0 0

[26] Comentário enviado por andriopj em 08/09/2009 - 01:13h

ja ouvi falar mto bem do ipcop... mas, tenho algumas duvidas...
aqui uso o fedora como servidor, nele possuo os seguintes servicos rodando: Proxy/nat, firewall, dhcp server, controle de banda(cbq), controle de acesso(ipXmac), dns cache e webcache.
ja sei que o ipcop pode rodar: Proxy/nat, firewall, dhcp server e creio q o controle de acesso(ipXmac).
porem, gostaria de saber, se teria como instalar o: controle de banda(cbq), webcache e dnscache?

0 0

[27] Comentário enviado por alexander.santos em 15/09/2009 - 15:08h

ae gente, to precisando saber como instalar um driver (no Windows é assim que se chama!) de uma placa de rede no ipcop.
motivo: tava tudo configurado e funcionando, mas uma placa de rede apresenta problemas, perdendo muitos pacotes. constatei que era ela testando em outra máquina.
o que eu quero é: instalar uma nova placa de rede e, fazer funcionar, instalando o driver da placa de rede. qual o comando? o que devo fazer?
valeu!

0 0

[28] Comentário enviado por anonimous_ em 27/11/2009 - 14:04h

Olá pessoal!
Um cliente possui IPCOP, e estou com problema para liberar o acesso ao msn. Que regras preciso adicionar no firewall para liberar?
A principio no forward tem la para a porta 1368 e 443, e no proxy avançado tmb colokei as 2 portas.
O proxy é autenticado. Qual a diferença nos tipos de usuário que posso criar?
Preciso de ajuda urgente!
NUnca trabalhei com o IPCOP.
Vlw galera!

0 0

[29] Comentário enviado por Miltox em 08/03/2010 - 09:13h

Olá a todos...

Estou rodando o IPcop 1.4.21 e estou precisando do atualizar o Kernel p/ 2.4.36 ( http://de.embcop.org/?page_id=40) porem o link já descrito acima esta offline, Então alguem teria outro link ou mesmo o arquivo para me enviar por email ?

Grato
Milton Azevedo.

0 0