Pular para o conteúdo

Uso eficiente do IPCOP firewall

Nesse artigo abordaremos dicas e truques para um uso mais eficiente do IPCOP como solução de firewall de sua rede com uso de layer-7. Veremos como fazer para bloquear MSN, programas P2P e recursos adicionais.
Luiz Gaspar de F. dos Santos lgaspar

Por Luiz Gaspar de F. dos Santos em 16/04/2006

Hits: 238.459 Categoria: Linux Subcategoria: Firewall
  • Indicar
  • Impressora
  • Denunciar

Parte 2: O SQUID Proxy

Uma vez tendo feito a instalação básica na nossa máquina firewall, a primeira providência é fazer com os usuários passem a trabalhar por meio do proxy SQUID e de preferência em modo transparente (sem precisar configurar no browser do usuário). Após habilitar as máquinas da rede para receberem seus números IP via DHCP, do próprio IPCOP, começamos nossa brincadeira.


O que devemos instalar primeiro seriam os MODS Advanced Proxy e URL Filter. Desta forma, através do SQUID e algumas regras, obteremos muitas vantagens: proxy transparente, definição das máquinas da rede que podem ou não acessar a internet, uso de sub-redes mais racional, limites de transferência de arquivos, tipos de browsers para acesso e até diversas formas de autenticação do usuário. Com o URL Filter e o SQUIDGuard podemos usar listas que podem ser atualizadas automaticamente, o que vai limitar em muito o raio de ação dos nossos "funcionários"... Além disso, temos a possibilidade de construir nossas próprias listas de bloqueio: por URL, por domínio, etc... Podemos também criar um backup das nossas configurações de filtros.


O fato de podermos contar com o SQUID para fazer este trabalho complexo não elimina a necessidade de efetuarmos alguns bloqueios. Os que descreveremos a seguir utilizarão os recursos do IPTABLES e NetFILTER, junto com a técnica do L7-filter, a implementar no Kernel do nosso "box" IPCOP, como fazem determinados firewalls no mercado, a um custo de aquisição e administrativo muito maior que o nosso.

Páginas do artigo

   1. Usando o IPCOP Firewall para bloqueios de alto nível
   2. O SQUID Proxy
   3. Bloqueando os "indesejáveis"
   4. Programas P2P
   5. Mais recursos

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Dominando o Iptables (parte 2)

IPTABLES - Conceitos e aplicação

Implementando prioridade nos serviços com TOS no Iptables

Script de Firewall com redirecionamento de portas em Linux Debian

Construindo um Firewall / Proxy com o Fedora Core 4

Comentários

#1 Comentário enviado por fernandoamador em 16/04/2006 - 19:39h
Ótimo artigo...
#2 Comentário enviado por removido em 17/04/2006 - 01:47h
Legal, eu axava que IPCop era somente a distribuição e não o software em sí. Muito bom, estou até pensando em implementar algumas soluções com isso agora!

Valeu e Deus te abençoe.
#3 Comentário enviado por neriberto em 17/04/2006 - 12:53h
Sensacional,... sempre usei o ipcop, 15 minutos de instalação e configuração até mesmo numa máquina 233 com 64 de ram, pra quem tem uma vida bastante corrida e preciso de algo simples e funcional este é o caminho.
Só pra adicionar o copfilter tem proxy transparente com filtragem de vírus para os protocolos http, pop e smtp e antispam.

ótimo artigo mesmo
#4 Comentário enviado por supradados em 11/11/2006 - 23:14h
Estou usando o Kubuntu 6.10 com amule 2.1.3 e uma máquina firewaal IPCOP 1.4.11 com o p2pblock e o l7 instalados e configurados, mas não consigo barrar o amule. O que pode estar acontecendo?
#5 Comentário enviado por wailton em 22/11/2006 - 11:35h
Realmente o IPCOP é muito bom, aqui no meu trabalho (governo) temos ele rodando num athlon xp 1800+ 3GB de ram HD 40, temos 60 redes, num total de quase 300 micros conetados. A partir de janeiro/2007 estaremos conectando mais 520 micros nessa rede, não sei como o IPCOP vai se comportar, mas se ele continuar se comportando bem, iremos continuar com ele, caso contrário teremos que buscar outra alternativa.
#6 Comentário enviado por leomarsa em 24/01/2007 - 12:32h
A ferramenta é ótimo cara, estou trabalhando com a versão 1.4.13 com os addons (backouttrafic, timelimit, Qos). Rodando num pequeno provedor de internet wireless, só estou com dificuldade em configurar o backouttrafic para deixar o msn passar, gostaria se possível uma ajuda daqueles que já conseguiram fazer passar.
Se alguém puder me ajudar com essa regra agradeço.

Obrigado;

Leomar Soares
msn: leomarsa@hotmail.com
#7 Comentário enviado por fabianoac em 25/02/2007 - 04:33h
Ola, estou implementando o ipcop em uma lan house, gostaria de saber como faço pra bloquear para os usuários não abrirem sites pornográficos e outros sites que eu não quero que sejam visitados?

Pelo squid tem como fazer isso? onde eu edito? como faço? espero que possam me ajudar.

msn: fabiano_do_mal@hotmail.com
#8 Comentário enviado por fabianoac em 13/03/2007 - 11:28h
Ola, alguem poderia me dar uma dica, estou tentando instalar o ipcop 1.4.15 em um pIII 750mhz, com 1x256mb + 1x128mb de memoria ram, hd ide 40gb 7200rpm NOVO, na hora de criar as partições congela a imagem, ai trava a maquina. Alguma dica de como resolver isso?
#9 Comentário enviado por antonioandrade em 31/03/2007 - 10:32h
olá,

Tenho o ipcop e estou com um serio problema, meu proxy está funcionando 100% para maquinas clientes, mas meu outlook NÃO, já tentei configurar diversa coisas para funcionar o outlook nas maquinas clientes e nada, alguem tem alguma LUZ ........... por favor...........

Grato
#10 Comentário enviado por thiagolamosa em 13/04/2007 - 17:06h
Olá,
Valeu pelo tópico, mas estou tendo problemas.
Ao rodar o arquivo rc.local com as alterações sugeridas. O IPCop "box" me responde:
"iptables v1.2.11: invalid target name DROP"
O que poderia estar acontecendo?
#11 Comentário enviado por fsflorencio em 03/08/2007 - 18:04h
Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?
#12 Comentário enviado por paulorcotta em 22/08/2007 - 20:09h
Ola pessoal,
Instalei o IPcop 1.4.16 ele esta rodando blz.

Mas nao consigo instalar o Layer-7, será que alguem poderia me ajudar.

Muito obrigado
email: osantosade@yahoo.com.br
#13 Comentário enviado por fernandosf em 24/08/2007 - 09:06h
ALGUEM SE HABILITA?

Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?
#14 Comentário enviado por lpjlpfarias em 17/09/2007 - 12:14h
DEPOIS DE TUDO BLOQUEADO, EXECUTE ESSE SCRIPTZINHO MIXURUCA PARA LIBERAR O IP DESEJADO. DESCULPEM, É BEM SIMPLES ESSE SCRIPT, MAS DÁ PRA TER UMA IDÉIA.
NÃO SOU ESPECIALISTA, MAS DOU MEUS PULOS.

#!bin/bash

$DIR="caminho da diretório"
$PROTO="protocolo"

while true; do

echo
echo " Insira o ip a ser liberado. Para sair digite q ou Q"
echo


read IP

echo

if [ $IP = "q" ]; then
exit 0
fi

if [ $IP = "Q" ]; then
exit 0
fi
/sbin/iptables -t mangle -A POSTROUTING -v -s $IP -m layer7 --l7dir $DIR --l7proto $PROTO -j ACCEPT

done
#15 Comentário enviado por rmsi em 23/09/2007 - 20:39h
Sou novato.. fiz a instalação do IPCOP 1.4.16 e Layer7 1.4.8 fiz passo a passo, coloquei as regras em rc.local e mandei rodar, quero trancar o messenger e skype.

retorna
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

alguem pode me ajudar.
#16 Comentário enviado por gildomar em 14/11/2007 - 17:17h
Boa Tarde,

Meu nome é Gildomar. Preciso da ajuda de alguém.

Eu consegui fazer funcionar o bloqueio do msn pelo Layer7 pela instrução desse tutorial. Porém tive um problema com um usuário:

Ele conseguiu entrar no msn sem eu permitir via IP. Ai eu fui peguei o IP que ta usando e bloqueei através de regras la no rc.local com DROP, e mesmo assim ele tá conseguindo acessar o msn. Pode ser uma falha do Layer7 no IPCop?

Aguardo retorno. Obrigado desde já
#17 Comentário enviado por fasali em 18/03/2008 - 16:51h
Boa tarde a todos,

Gostaria de saber se é possível adicionar mais um range de ip (outra placa de rede) na interface verde.

Grato,

Fabiano S. Lisboa
#18 Comentário enviado por Oribio em 14/11/2008 - 14:27h
Pessoal, como eu removo um kernel antigo no meu IPCop?
Qual o comando nativo do IPCop, no ubunto sei q é apt-get...
Abração.
#19 Comentário enviado por emanoel.almeida em 27/12/2008 - 04:21h
Estou com Problema ao tentar rodar o layer7-filter no ipcop 1.4.21. instalo tudo direitinho não da nenhum erro. só um aviso. O pacote que instalei foi esse (layer7_ipcop_1.4.8.tar.gz)
Mas na hora de rodar o script de firewall(rc.local) retorna o seguinte erro pra cada regra que eu colocar usando o l7

iptables: No chain/target/match by that name


alguem sabe me dizer como resolvo isso?

Abraço.
#20 Comentário enviado por emanoel.almeida em 28/12/2008 - 18:06h
Bem pessoal, enfim, depois de noites acordados recompilando kernel em distros convencionais, achei a solução do meu problema:

Esse arquivo que baixei funcionou legal no ipcop 1.4.10, mas convenhamos ja está muito antigo. Queria para o ipcop 1.4.21 que
hoje é a versão mais recente. O procedimento padrão seria recompilar o kernel numa versão do slackware compativel com o ipcop
(ou seja com o mesmo kernel) e adcionar o os patchs do layer7 a ele. Dai Futucando no google achei um site que disponibilizou o link
com o kernel compativel com ipcop 1.4.21.

Kernel 2.4.36
( http://de.embcop.org/?page_id=40)

Salvei o kernel zipado na diretório /tmp

descompactei o kernel:
#cd /tmp
#tar xjf ipcop-1.4.21-kernel-2.4.36.6.tar.bz2 -C /

E depois o ultimo comando
#touch /var/run/need-depmod-2.4.36
#reboot

Pronto Pessoal, zerinho o layer7 ja está instalado no ipcop1 1.4.21 agora é só baixar as definições mais atuais no site:
( http://sourceforge.net/project/showfiles.php?group_id=80085 )

Criar uma pasta chamada l7-protocols no diretório /etc
#mkdir /etc/l7-protocols

Extrair o conteudo do pacote para dentro da pasta recentemente criada (/etc/l7-protocols) de modo que a estrutura de pastas fiquem
da seguinte maneira:
( /etc/l7-protocols/protocols )

Pronto o layer 7 ja está funcionando no seu pc. agora você ja poderá aplicar regras usando o layer7 como:
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP

OBS: como ja citado no artigo: a pasta dos protocolos poderá ficar em qualquer lugar, desde que nas regras aplicadas, você informe
o local correto de onde se encontram os protocolos( No parametro --l7dir ).

Bem Pessoal, espero ter ajudado ou ajudar a quem estiver passando por esse problema. No meu funcionou perfeitamente.
Obrigado aTodos.








#21 Comentário enviado por infoideia em 07/02/2009 - 09:32h
Eu configurei o ipcop com o layer 7 e funcionou perfeito ele bloqueia todos os msn
só q eu estou precisando liberar só um ip para acessar o msn sem desbloquear os outros

eu coloquei desse jeito o codigo mais não funcionaou

/sbin/iptables -t mangle -A POSTROUTING -v -s 192.168.0.100 -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j ACCEPT

alguem tem uma solução ??/

obrigado a Todos
#22 Comentário enviado por joserubenildo em 12/03/2009 - 09:40h
olá
Estou tentando colocar o Ipcop em uma maquina virtual instalada em um 2000 server com duas placas de rede.
Deixei ele com 64 MB mas nao consigo configurar.
Mode com ip Fixo 10.0.0.138
Placa de rede eth1 no modem
placa de rede eth0 na HUB
Do IPCop consigo pingar na internet. mas nao consigo ver a rede interna.

Alguem sabe onde estou errando.

sem mais


#23 Comentário enviado por lordhazy em 05/05/2009 - 13:16h
Utilizo o IPCOP em minha rede, tenho as interfaces Green, Red e Orange. O firewall/proxy está perfeito.
Coloquei um Access Point na interface orange para que eu consiga ter acesso livre sem restrições nos
notebooks. Tentei fazer algumas regras para liberar no BOT mas nada até agora, alguém poderia me ajudar
dando alguma dica ou exemplificando alguma regra? Agradeço muito a quem me der essa força.
Abraço a todos.
#24 Comentário enviado por rogerbeste em 11/08/2009 - 11:32h
Sou novato em linux, instali um ipcop 1.4.20 em meu servidor de internet e atualizei para 1.4.21, estou tentando instalar o proxi avançado na versão 21 e nã cnssigo, você pode me ajudar e me dizer como eu faço isso, com eu disse sou muito amado em linux e gostari muito de receber uma ajuda detalhada.
Os arquivos que encontro são (.tar.tar) nesse endereço, http://www.advproxy.net/download.html,
e os que pedem no campo de atualização do ipcop é (.tgz.gpg), por gentileza espero que possa me ajudar.
no campo e atualizações eu tenho umas informações refeente a Kernel e squid, pra que serve?
desde já agradeço.
Roger.
#25 Comentário enviado por rogerbeste em 11/08/2009 - 12:01h
Como eu faço para instalar o advanced proxy n ipcop 1.4.21, Sou novato e estou aprendendo trabalhar com o linux, eu instalei a vrsão 1.4.20 e atualizei para a versão 1.4.21 mas agora não cnsigo instalar o advanced proxy nesta versão, você descrever pra mim o passo a passo por favor.
desde já agraeço.
#26 Comentário enviado por andriopj em 08/09/2009 - 01:13h
ja ouvi falar mto bem do ipcop... mas, tenho algumas duvidas...
aqui uso o fedora como servidor, nele possuo os seguintes servicos rodando: Proxy/nat, firewall, dhcp server, controle de banda(cbq), controle de acesso(ipXmac), dns cache e webcache.
ja sei que o ipcop pode rodar: Proxy/nat, firewall, dhcp server e creio q o controle de acesso(ipXmac).
porem, gostaria de saber, se teria como instalar o: controle de banda(cbq), webcache e dnscache?
#27 Comentário enviado por alexander.santos em 15/09/2009 - 15:08h
ae gente, to precisando saber como instalar um driver (no Windows é assim que se chama!) de uma placa de rede no ipcop.
motivo: tava tudo configurado e funcionando, mas uma placa de rede apresenta problemas, perdendo muitos pacotes. constatei que era ela testando em outra máquina.
o que eu quero é: instalar uma nova placa de rede e, fazer funcionar, instalando o driver da placa de rede. qual o comando? o que devo fazer?
valeu!
#28 Comentário enviado por anonimous_ em 27/11/2009 - 14:04h
Olá pessoal!
Um cliente possui IPCOP, e estou com problema para liberar o acesso ao msn. Que regras preciso adicionar no firewall para liberar?
A principio no forward tem la para a porta 1368 e 443, e no proxy avançado tmb colokei as 2 portas.
O proxy é autenticado. Qual a diferença nos tipos de usuário que posso criar?
Preciso de ajuda urgente!
NUnca trabalhei com o IPCOP.
Vlw galera!
#29 Comentário enviado por Miltox em 08/03/2010 - 09:13h
Olá a todos...

Estou rodando o IPcop 1.4.21 e estou precisando do atualizar o Kernel p/ 2.4.36 ( http://de.embcop.org/?page_id=40) porem o link já descrito acima esta offline, Então alguem teria outro link ou mesmo o arquivo para me enviar por email ?


Grato
Milton Azevedo.

Contribuir com comentário

Entre na sua conta para comentar.