Instação do layer7 no Debian Lenny
Publicado por Bruno Eleutero Silva em 19/05/2009
[ Hits: 25.914 ]
Instação do layer7 no Debian Lenny
Instalação do layer7 no Debian Lenny
Implementando o layer7 no Linux Debian Lenny com Kernel 2.6.28 e iptables 1.4.2. Depois de várias tentativas de recompilar o kernel do Debian Lenny para implementar o layer7 e sofrer muito com a famosa mensagem "KERNEL PANIC", consegui recompilá-lo de acordo com os comandos abaixo.Instalando pacotes necessários:
# aptitude install libncurses5-dev
# aptitude install kernel-package
# aptitude install zlib1g-dev
Entre no diretório source e faça download dos arquivos.
# cd /usr/src
# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.tar.bz2
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.2.tar.bz2
# wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.21.tar.gz
# wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz
# wget http://merkel.debian.org/~jurij/2.6.28-1/i386/config-2.6.28-1-686.gz
Removendo o iptables:
# aptitude purge iptables
Descompactando os pacotes:
# tar jxvf linux-2.6.28.tar.bz2
# tar jxvf iptables-1.4.2.tar.bz2
# tar zxvf netfilter-layer7-v2.21.tar.gz
# tar zxvf l7-protocols-2008-04-23.tar.gz
# uncompress config-2.6.28-1-686.gz
Criando um link para o diretório do kernel:
# ln -s /usr/src/linux-2.6.28 /usr/src/linux
Copiando as configurações de boot e aplicando os patches do layer7 no kernel:
# cd /usr/src/linux
# cp ../config-2.6.28-1-686 .config
# patch -p1 < ../netfilter-layer7-v2.21/kernel-2.6.25-2.6.28-layer7-2.21.patch
Compilando e instalando o kernel
# make oldconfig(enter para todas as questões)
# make menuconfig
Entre no diretório Networking -> Networking Options -> Network Packet Filtering Framework (netfilter) -> Core Netfilter Configuration
Marque os módulos (M) layer7 match support e (M) string match support
(M) layer7 match support #MARCAR COMO MÓDULO
(M) string match support #MARCAR COMO MÓDULO
Saia pelo exit, na última tela, escolha a opção salvar para o arquivo .config, ou seja, no último exit você será questionado se deseja salvar. Agora é simples, basta compilar.
# make-kpkg -initrd kernel_image
Foi criado um arquivo linux-image-2.6.28_2.6.28-10.00.Custom_i386.deb no diretório /usr/src, volte ao diretório e instale.
# cd /usr/src
# dpkg -i linux-image-2.6.28_2.6.28-10.00.Custom_i386.deb
Pronto, o novo kernel já esta instalado.
Aplicando os patches no iptables e instalando
Digite:# cd /usr/src/iptables-1.4.2
Copie os arquivos libxt_layer7.c libxt_layer7.man para o diretório do iptables:
# cp ../netfilter-layer7-v2.21/iptables-1.4.1.1-for-kernel-2.6.20forward/* extensions/
Instalando o iptables:
# ./configure --with-ksource=/usr/src/linux
# make
# make install
# cd /usr/src/l7-protocols-2008-04-23
# make install
Pronto, só reiniciar e usar!
# reboot
Se por acaso o Debian não carregar o módulo automaticamente, execute o seguinte comando:
# modprobe ipt_layer7
Exemplo de regras:
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
Outras dicas deste autor
Instalando VMWare Player no kernel 2.6.28
APT-GET: Resolvendo problemas com chave pública
Leitura recomendada
Habilitando VNC como módulo do X11
Base - O patinho feio do BrOffice?
Escolhendo sua distribuição Linux
chattr - Como trancar um arquivo
Configurando rede no FreeBSD 7.0
Comentários
[1] Comentário enviado por removido em 19/05/2009 - 18:03h
Ola Bruno,
Parabéns pelo artigo!!!
Eu segui um outro tutorial, aqui do VOL mesmo, para aplicar o Layer7 e consegui com sucesso; utilizando o kernel 2.6.28.
Voce também utiliza aqui o kernel 2.6.28. Não poderia ser o 2.6.26 do próprio Lenny?
Abs,
Micnet
Ola Bruno,
Parabéns pelo artigo!!!
Eu segui um outro tutorial, aqui do VOL mesmo, para aplicar o Layer7 e consegui com sucesso; utilizando o kernel 2.6.28.
Voce também utiliza aqui o kernel 2.6.28. Não poderia ser o 2.6.26 do próprio Lenny?
Abs,
Micnet
[2] Comentário enviado por brunosilva.ti em 19/05/2009 - 18:21h
Olá Micnet,
Sim pode ser qualquer versão do kernel, so utilizei a 2.6.28 por ser a mais atual no momento e foi a que testei e funcionou perfeitamente. Também teste alguns artigos do VOL mas acorreu akele problema do "KERNEL PANIC". por isso escrevi também com o kernel 2.6.28
Att,
Bruno
Olá Micnet,
Sim pode ser qualquer versão do kernel, so utilizei a 2.6.28 por ser a mais atual no momento e foi a que testei e funcionou perfeitamente. Também teste alguns artigos do VOL mas acorreu akele problema do "KERNEL PANIC". por isso escrevi também com o kernel 2.6.28
Att,
Bruno
[3] Comentário enviado por psman em 20/05/2009 - 00:52h
Escrevi algo relacionado ao tema faz um tempim:
http://www.vivaolinux.com.br/artigo/Firewall-bridge-+-iptables-+-layer7-+-ipp2p/
Escrevi algo relacionado ao tema faz um tempim:
http://www.vivaolinux.com.br/artigo/Firewall-bridge-+-iptables-+-layer7-+-ipp2p/
[4] Comentário enviado por marciomarkes em 20/05/2009 - 09:25h
Parabéns Bruno,
Esse já esta nos Favoritos e Rodando..
Enquanto mais artigos melhor...
Abs,
Marcio
Parabéns Bruno,
Esse já esta nos Favoritos e Rodando..
Enquanto mais artigos melhor...
Abs,
Marcio
[6] Comentário enviado por oismael007 em 29/05/2009 - 13:56h
Opa.. Blz.. o meu deu certo aki.. só teve um problema... quando colocava o meu firewall para iniciar junto com o sistema ela dava msg de erro para todas as regras contida no firewall (command not foud) mais se eu executace o firewall na maum dava certo...
Naum entendi por que .. mais daew fui ateh o gerenciador de pacotes do debian e vi qeu o iptables naum estava listado como instalado..daew instalei e funciono..... mais eu jah havia instalado anteriormente na maum com o tutorial explica .. mais agóra funciona .. inclusive as regra do layer7.. valeu -- se puder me responder agradeço.. abraçosss..
Opa.. Blz.. o meu deu certo aki.. só teve um problema... quando colocava o meu firewall para iniciar junto com o sistema ela dava msg de erro para todas as regras contida no firewall (command not foud) mais se eu executace o firewall na maum dava certo...
Naum entendi por que .. mais daew fui ateh o gerenciador de pacotes do debian e vi qeu o iptables naum estava listado como instalado..daew instalei e funciono..... mais eu jah havia instalado anteriormente na maum com o tutorial explica .. mais agóra funciona .. inclusive as regra do layer7.. valeu -- se puder me responder agradeço.. abraçosss..
[7] Comentário enviado por brunosilva.ti em 29/05/2009 - 17:21h
Blz, depois que vi seu comentário testei o meu script pois ainda não tinha reiniciado o servidor. E tive o mesmo problema. Quando usei o comando:
#whereis iptables
/usr/src/iptables-1.4.2/iptables.xslt /usr/src/iptables-1.4.2/iptables.8...../usr/local/sbin/iptables
Como o binário do iptables está em /usr/local ele só iniciava quando um usuário logasse na máquina.
Solução: Reinstalar o iptables com o comando abaixo:
# ./configure --with-ksource=/usr/src/linux sbindir=/sbin libdir=/lib
ow então,
copiar o binario iptables para sbin
#mv /usr/local/sbin/iptables /sbin/
Não entendi pq vc disse que mesmo depois de logar no sistema nao funcionava. Mas espero ter ajudado.
Flw.
Blz, depois que vi seu comentário testei o meu script pois ainda não tinha reiniciado o servidor. E tive o mesmo problema. Quando usei o comando:
#whereis iptables
/usr/src/iptables-1.4.2/iptables.xslt /usr/src/iptables-1.4.2/iptables.8...../usr/local/sbin/iptables
Como o binário do iptables está em /usr/local ele só iniciava quando um usuário logasse na máquina.
Solução: Reinstalar o iptables com o comando abaixo:
# ./configure --with-ksource=/usr/src/linux sbindir=/sbin libdir=/lib
ow então,
copiar o binario iptables para sbin
#mv /usr/local/sbin/iptables /sbin/
Não entendi pq vc disse que mesmo depois de logar no sistema nao funcionava. Mas espero ter ajudado.
Flw.
[8] Comentário enviado por fellipepinheiro em 02/06/2009 - 09:39h
Meus Parabéns, Bruno
muito bom o seu tutorial. Foi de muita serventia para mim. Vou até divulgá-lo em meu blog (http://asteriskadmins.ning.com).
Seria interessante se pudéssemos colocar isso tudo, depois de instalado, em um arquivo .iso para instalações posteriores. Irira poupar bastante tempo.
abraços!! e parabéns outra vez!!
Meus Parabéns, Bruno
muito bom o seu tutorial. Foi de muita serventia para mim. Vou até divulgá-lo em meu blog (http://asteriskadmins.ning.com).
Seria interessante se pudéssemos colocar isso tudo, depois de instalado, em um arquivo .iso para instalações posteriores. Irira poupar bastante tempo.
abraços!! e parabéns outra vez!!
[9] Comentário enviado por jucaetico em 04/06/2009 - 17:22h
Cara, Show de bola esse artigo!! Parabéns! Só uma dúvida estou com problemas em algumas regras do meu firewall, por exemplo:
Regra:
iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -s 192.168.0.0/16 -j DROP
ou
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j DROP
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.
Na versão do iptables 1.3.X funciona normalmente, pelo que a mensagem nos diz é que a tabela NAT não é mais destinada pra filtragem e não justifica o uso do "DROP".
Existe uma outra forma de executar essas regras?
Valeu
Abraços
Cara, Show de bola esse artigo!! Parabéns! Só uma dúvida estou com problemas em algumas regras do meu firewall, por exemplo:
Regra:
iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -s 192.168.0.0/16 -j DROP
ou
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j DROP
The "nat" table is not intended for filtering, hence the use of DROP is deprecated and will permanently be disabled in the next iptables release. Please adjust your scripts.
Na versão do iptables 1.3.X funciona normalmente, pelo que a mensagem nos diz é que a tabela NAT não é mais destinada pra filtragem e não justifica o uso do "DROP".
Existe uma outra forma de executar essas regras?
Valeu
Abraços
[10] Comentário enviado por brunosilva.ti em 04/06/2009 - 18:05h
Obrigado humano10,
Pelo que sei da tabela nat, ele serve mais para redirecionamento de pacotes, essa politicas acima vc teria q utilizar na tabela filter, pode ser assim:
iptables -A FORWARD -s 192.168.0.0/16 -i $EXTERNAL_INTERFACE -j DROP
iptales -A FORWARD -p tcp --dport 443 -j DROP
Abs
Obrigado humano10,
Pelo que sei da tabela nat, ele serve mais para redirecionamento de pacotes, essa politicas acima vc teria q utilizar na tabela filter, pode ser assim:
iptables -A FORWARD -s 192.168.0.0/16 -i $EXTERNAL_INTERFACE -j DROP
iptales -A FORWARD -p tcp --dport 443 -j DROP
Abs
[12] Comentário enviado por downloadd em 08/06/2009 - 04:16h
Cara muito bom, funcionou...muito obrigado!
Este tutorial funciona também na versão 9.04 (ubuntu server), uso esta versão aqui.
Tem um pequeno problema:
Estou usando a regra que você passou do msn, não esta funcionando aqui, pois o msn continua acessando normal.
eu verifiquei no iptables e a regra que bloquea msn não muda, não recebe nenhum byte.
iptables -L -vn -t filter
Sei que esta funcionando pois bloquiei o "ares" e a regra do iptable mostra os bytes sendo "dropados"
Tem alguma idéia?
abraços
Cara muito bom, funcionou...muito obrigado!
Este tutorial funciona também na versão 9.04 (ubuntu server), uso esta versão aqui.
Tem um pequeno problema:
Estou usando a regra que você passou do msn, não esta funcionando aqui, pois o msn continua acessando normal.
eu verifiquei no iptables e a regra que bloquea msn não muda, não recebe nenhum byte.
iptables -L -vn -t filter
Sei que esta funcionando pois bloquiei o "ares" e a regra do iptable mostra os bytes sendo "dropados"
Tem alguma idéia?
abraços
[13] Comentário enviado por brunosilva.ti em 08/06/2009 - 09:05h
Olá downloadd,
Que bom que funcionou no ubuntu server. Em relação a regra do messenger não está bloqueando nada, vc verificou se tem alguma regra acima que está liberando a porta ow libera o acesso, é a única coisa que acho que pode estar liberando, pois se chega a requisição nessa regra antes de chegar no bloqueio o msn fica liberado. Mas se vc quiser poste seu script ou mande pro meu e-mail faço questão de testar e te ajudar a resolver o problema.
Abs.
Olá downloadd,
Que bom que funcionou no ubuntu server. Em relação a regra do messenger não está bloqueando nada, vc verificou se tem alguma regra acima que está liberando a porta ow libera o acesso, é a única coisa que acho que pode estar liberando, pois se chega a requisição nessa regra antes de chegar no bloqueio o msn fica liberado. Mas se vc quiser poste seu script ou mande pro meu e-mail faço questão de testar e te ajudar a resolver o problema.
Abs.
[14] Comentário enviado por downloadd em 08/06/2009 - 22:00h
Olá Bruno,
No ubuntu server 9.04 funcionou, mas tive que reduzir a versão do kernel para 2.6.28, como mostra seu tutorial. Pra mim, isso não faz diferença nenhuma.
meu script é este, somente isto, pois no momento só quero testar o L7
iptables -F
iptables -Z
iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle
iptables -X -t nat
iptables -X -t filter
iptables -X -t mangle
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -j MASQUERADE
#iptables -A FORWARD -i eth2 -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
Note que já testei as duas regras e nenhuma deu certo.
Obrigado e abraços
Olá Bruno,
No ubuntu server 9.04 funcionou, mas tive que reduzir a versão do kernel para 2.6.28, como mostra seu tutorial. Pra mim, isso não faz diferença nenhuma.
meu script é este, somente isto, pois no momento só quero testar o L7
iptables -F
iptables -Z
iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle
iptables -X -t nat
iptables -X -t filter
iptables -X -t mangle
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -j MASQUERADE
#iptables -A FORWARD -i eth2 -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
Note que já testei as duas regras e nenhuma deu certo.
Obrigado e abraços
[15] Comentário enviado por dalveson em 09/06/2009 - 14:50h
Help galera
Uso o leny com o kernel 2.26, fiz tudo passo a passo, e tudo deu certo so que qdo reinicio, e tento entrar no kernel 2.28 da erro de Kernel panic.
alguem poderia me dar uma força
Help galera
Uso o leny com o kernel 2.26, fiz tudo passo a passo, e tudo deu certo so que qdo reinicio, e tento entrar no kernel 2.28 da erro de Kernel panic.
alguem poderia me dar uma força
[16] Comentário enviado por brunosilva.ti em 09/06/2009 - 15:07h
Olá downloadd,
tenta a seguinte regra
iptables -A FOWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -J DROP
Olá dalveson,
Tem uma dica no vol que pode te ajudar:
http://www.vivaolinux.com.br/dica/Evitando-problemas-de-Kernel-Panic
Na verdade akela parte de baixar o arquivo .config do site merkel.debian.org é justamente para evitar problemas com kernel panic.
Abs
Olá downloadd,
tenta a seguinte regra
iptables -A FOWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -J DROP
Olá dalveson,
Tem uma dica no vol que pode te ajudar:
http://www.vivaolinux.com.br/dica/Evitando-problemas-de-Kernel-Panic
Na verdade akela parte de baixar o arquivo .config do site merkel.debian.org é justamente para evitar problemas com kernel panic.
Abs
[17] Comentário enviado por downloadd em 10/06/2009 - 00:20h
Olá bruno
iptables -A FORWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
Tambem não funcionou.
O restante dos outros protocolos estão funcionando muito bem.
Eu uso msn plus, será que é por isso que o modulo não reconhece o protocolo msnp?
Valeu!
Olá bruno
iptables -A FORWARD -s 172.16.2.0/24 -m layer7 --l7proto msnmessenger -j DROP
Tambem não funcionou.
O restante dos outros protocolos estão funcionando muito bem.
Eu uso msn plus, será que é por isso que o modulo não reconhece o protocolo msnp?
Valeu!
[18] Comentário enviado por brunosilva.ti em 10/06/2009 - 17:27h
Não, o msn plus só adciona algumas funções a mais no windows live messenger, é isso mesmo? então ele roda sobre o protocolo do messenger e deveria ser bloqueado. Não sei o que pode estar acontecendo com seu firewall, pois testei sua regra e funcionou normalmente.
Abs.
Não, o msn plus só adciona algumas funções a mais no windows live messenger, é isso mesmo? então ele roda sobre o protocolo do messenger e deveria ser bloqueado. Não sei o que pode estar acontecendo com seu firewall, pois testei sua regra e funcionou normalmente.
Abs.
[19] Comentário enviado por dalveson em 12/06/2009 - 11:38h
brunosilva.ti ja tentei de tudo quanto é jeito e nao consegui, terminei de baixar o ubuntu serve 9.04 com kernel 2.6.28, vou começar tudo denovo e verei onde errei.
ah, estou instalando numa maquina virtual, o virtual box da sun, tem algun problema com isso? embora eu acho que nao
qqr problema posto ak denovo.
att
brunosilva.ti ja tentei de tudo quanto é jeito e nao consegui, terminei de baixar o ubuntu serve 9.04 com kernel 2.6.28, vou começar tudo denovo e verei onde errei.
ah, estou instalando numa maquina virtual, o virtual box da sun, tem algun problema com isso? embora eu acho que nao
qqr problema posto ak denovo.
att
[20] Comentário enviado por dalveson em 15/06/2009 - 10:38h
galera fiz tudo passo a passo, desta vez nao deu erro de kernel panic, porem acho que o modulo layer7 nao esta funcionando, como posso fazer para verificar se o modulo esta ou nao funcionando?
tentei da seguitnte maneira e nao deu certo:
modprobe ipt_layer7
fatal: module ipt_layer7 not found
so lembrando que estou usando ubuntu serve 9.04
att
galera fiz tudo passo a passo, desta vez nao deu erro de kernel panic, porem acho que o modulo layer7 nao esta funcionando, como posso fazer para verificar se o modulo esta ou nao funcionando?
tentei da seguitnte maneira e nao deu certo:
modprobe ipt_layer7
fatal: module ipt_layer7 not found
so lembrando que estou usando ubuntu serve 9.04
att
[21] Comentário enviado por dalveson em 15/06/2009 - 12:04h
pessoal qdo verifico dentro de
/lib/modules/2.6.28.11-generickernel/net/ipv4/netfilter/
e procuro o ipt_layer7.ko, nao encontro ele, nao entendi o que aconteceu de errado, é como se o modulo nao estivese sido instalado
pessoal qdo verifico dentro de
/lib/modules/2.6.28.11-generickernel/net/ipv4/netfilter/
e procuro o ipt_layer7.ko, nao encontro ele, nao entendi o que aconteceu de errado, é como se o modulo nao estivese sido instalado
[22] Comentário enviado por andrefreire em 18/06/2009 - 10:47h
Excelente sua dica ! Testada e aprovada ! Agora uma questão, ja que temos um kernel novo podemos leva-lo e intala-lo em outras máquinas com o Lenny sem a necessidade de compila-lo novamente ? No caso do iptables podemos gerar um pacote com o checkinstall e usá-lo também em outras máquinas ? Se isso for possivel só teremos que instalar os pacotes DEB do kernel e do IPTABLES e ja estaria tudo pronto ! Aguardo sua resposta !
Excelente sua dica ! Testada e aprovada ! Agora uma questão, ja que temos um kernel novo podemos leva-lo e intala-lo em outras máquinas com o Lenny sem a necessidade de compila-lo novamente ? No caso do iptables podemos gerar um pacote com o checkinstall e usá-lo também em outras máquinas ? Se isso for possivel só teremos que instalar os pacotes DEB do kernel e do IPTABLES e ja estaria tudo pronto ! Aguardo sua resposta !
[23] Comentário enviado por brunosilva.ti em 18/06/2009 - 15:18h
Obrigado,
Sim, vc pode utilizar o .deb para instalar em outras máquinas funciona perfeitamente!
Abs.
Obrigado,
Sim, vc pode utilizar o .deb para instalar em outras máquinas funciona perfeitamente!
Abs.
[24] Comentário enviado por dalveson em 19/06/2009 - 11:21h
bem pessoal, ja que uma das soluçoes bem praticas e faceis seria reutilizar o novo kernel, teria como algeum postar esse arquivo para download, assim facilitando a vida daqueles que por incrivel que parece, ja tentaram 7 vezes, seguindo a risca o tutorial e ainda nao conseguiram, eu agradeceria muito
att.
bem pessoal, ja que uma das soluçoes bem praticas e faceis seria reutilizar o novo kernel, teria como algeum postar esse arquivo para download, assim facilitando a vida daqueles que por incrivel que parece, ja tentaram 7 vezes, seguindo a risca o tutorial e ainda nao conseguiram, eu agradeceria muito
att.
[25] Comentário enviado por dalveson em 19/06/2009 - 16:47h
galera segue o erro que esta acontecendo:
kernel panic-not syncing: VFS: unable to mount root fs on unknown-block (0,0)
pelo que entendi ele nao encontrando o HD "sata", ja pesquisei no google e nao encontrei a solução alguem pode me da essa força
att
galera segue o erro que esta acontecendo:
kernel panic-not syncing: VFS: unable to mount root fs on unknown-block (0,0)
pelo que entendi ele nao encontrando o HD "sata", ja pesquisei no google e nao encontrei a solução alguem pode me da essa força
att
[26] Comentário enviado por brunosilva.ti em 19/06/2009 - 17:31h
Segue o link do kernel compilado com o layer7, basta instalá-lo e depois instalar o iptables de acordo com a dica.
http://www.4shared.com/file/112930423/54321518/linux-image-2628_2628-1000Custom_i386.html
att.
Segue o link do kernel compilado com o layer7, basta instalá-lo e depois instalar o iptables de acordo com a dica.
http://www.4shared.com/file/112930423/54321518/linux-image-2628_2628-1000Custom_i386.html
att.
[27] Comentário enviado por dalveson em 19/06/2009 - 17:37h
karakas velho, pow vlw ae vou baixar agora, mais axo q so tenho como testa na segunda, testarei e se funcionar perfeitamente venho ak e aviso
mais uma vez vle pela iniciativa
att
karakas velho, pow vlw ae vou baixar agora, mais axo q so tenho como testa na segunda, testarei e se funcionar perfeitamente venho ak e aviso
mais uma vez vle pela iniciativa
att
[28] Comentário enviado por andrefreire em 21/06/2009 - 10:01h
Eu tenho aqui o iptables pronto com o pacote .DEB criado se alquém precisar é só pedir que mando até por email !
Eu tenho aqui o iptables pronto com o pacote .DEB criado se alquém precisar é só pedir que mando até por email !
[29] Comentário enviado por dalveson em 22/06/2009 - 14:30h
brunosilva.ti to passando para dizer que testei e funcionou perfeitamente a sua imagem do kernel com suporte a layer7, acabei de testar e tudo esta ok, vlw pela força em hospeda-la para que pudesemos fazer download.
abraços
brunosilva.ti to passando para dizer que testei e funcionou perfeitamente a sua imagem do kernel com suporte a layer7, acabei de testar e tudo esta ok, vlw pela força em hospeda-la para que pudesemos fazer download.
abraços
[30] Comentário enviado por dalveson em 22/06/2009 - 16:14h
galera to precisando de uma dica, gostaria de saber como posso bloquear pelo layer7 e abrir ecessao ao mesmo tempo, tipo:
bloquear o torrent para todos exceto para um ip
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP !192.168.0.xxx
abraços.
galera to precisando de uma dica, gostaria de saber como posso bloquear pelo layer7 e abrir ecessao ao mesmo tempo, tipo:
bloquear o torrent para todos exceto para um ip
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP !192.168.0.xxx
abraços.
[31] Comentário enviado por brunosilva.ti em 22/06/2009 - 20:55h
Vc pode utilizar da seguinte forma:
iptables -A FORWARD -s 192.168.0.xxx -m layer7 --l7proto bittorrent -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Desta forma quando chegar pacotes do xxx, se for outro ip da rede ele passa para próxima regra que é bloquear. E qualquer outro ip que vc for liberar vc tem que colocar acima da regra de bloqueio pq o iptables verifica linha por linha.
Abs
Vc pode utilizar da seguinte forma:
iptables -A FORWARD -s 192.168.0.xxx -m layer7 --l7proto bittorrent -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Desta forma quando chegar pacotes do xxx, se for outro ip da rede ele passa para próxima regra que é bloquear. E qualquer outro ip que vc for liberar vc tem que colocar acima da regra de bloqueio pq o iptables verifica linha por linha.
Abs
[33] Comentário enviado por edersonschmitz em 23/06/2009 - 11:30h
Parabens pelo artigo Deus o abençõe
Parabens pelo artigo Deus o abençõe
[34] Comentário enviado por jucaetico em 24/06/2009 - 17:02h
Galera, eu não recomendaria ativar a opção "Layer 7 debugging output" sei que não está escrito no artigo mas ela fica abaixo da opção "layer7 match support " pois essa opção gera muito logs de debugs que aparecem a toda hora no syslog. Abraços
Galera, eu não recomendaria ativar a opção "Layer 7 debugging output" sei que não está escrito no artigo mas ela fica abaixo da opção "layer7 match support " pois essa opção gera muito logs de debugs que aparecem a toda hora no syslog. Abraços
[35] Comentário enviado por vzanchettin em 07/08/2009 - 15:35h
Perfeito é so copiar e colar muito bom!!!!
Perfeito é so copiar e colar muito bom!!!!
[36] Comentário enviado por silent-man em 16/09/2009 - 08:39h
Rápido e prático.
Só acrescentando...
Fiz estes mesmos passos no debian etch 4.0 e funcionou normalmente. Lógico que foi um "experimento" em uma máquina virtual.
Rápido e prático.
Só acrescentando...
Fiz estes mesmos passos no debian etch 4.0 e funcionou normalmente. Lógico que foi um "experimento" em uma máquina virtual.
[37] Comentário enviado por carbony em 24/09/2009 - 10:53h
ola, excelente tutorial, esta de parabensss, funcionou aqui comigo de primeira, bloqueou os p2p os msn tudo, liberei os do chefe ( e os meus tambem heheheh).
So que tem um porem, o windows live messenger , consigo acessar pelo login.live.com, pelo hotmail.com, porque dentro tem um messeger live web, alguem conseguiu bloquear esse danado, sem bloquear o hotmail.com e login.live.com?
valeu.
Parabensss pelo tuto.
ola, excelente tutorial, esta de parabensss, funcionou aqui comigo de primeira, bloqueou os p2p os msn tudo, liberei os do chefe ( e os meus tambem heheheh).
So que tem um porem, o windows live messenger , consigo acessar pelo login.live.com, pelo hotmail.com, porque dentro tem um messeger live web, alguem conseguiu bloquear esse danado, sem bloquear o hotmail.com e login.live.com?
valeu.
Parabensss pelo tuto.
[38] Comentário enviado por kepas em 03/11/2009 - 15:56h
Olá pessoal...
segui passo a passo o tutorial, porem o sistema não inicializa.
já segui todos as dicas citadas a cima.
Obrigado!!
Olá pessoal...
segui passo a passo o tutorial, porem o sistema não inicializa.
já segui todos as dicas citadas a cima.
Obrigado!!
[39] Comentário enviado por brunosilva.ti em 03/11/2009 - 18:57h
Olá kepas,
Qual o erro na hora do boot? Está utilizando linux X86 ou 64 ( Para verificar use o comando # uname -i) ?
Tente fazer o seguinte, instalar com a versão atualizada do layer7, substituindo os seguintes comandos:
# wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.21.tar.gz
# wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz
por:
# wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.22.tar.gz
# wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2009-05-28.tar.gz
Olá kepas,
Qual o erro na hora do boot? Está utilizando linux X86 ou 64 ( Para verificar use o comando # uname -i) ?
Tente fazer o seguinte, instalar com a versão atualizada do layer7, substituindo os seguintes comandos:
# wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.21.tar.gz
# wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz
por:
# wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.22.tar.gz
# wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2009-05-28.tar.gz
[40] Comentário enviado por kepas em 05/11/2009 - 13:29h
Opaaaa...
agora deu certo brunosilva.ti, muito Obrigado pela ajuda amigo!
Parabéns pelo tuto.
Opaaaa...
agora deu certo brunosilva.ti, muito Obrigado pela ajuda amigo!
Parabéns pelo tuto.
[41] Comentário enviado por minibiga em 26/11/2009 - 12:21h
Olá Pessoal, alguem conseguiu bloquear o limewire com o layer7? nao estou conseguindo
Olá Pessoal, alguem conseguiu bloquear o limewire com o layer7? nao estou conseguindo
[42] Comentário enviado por brunosilva.ti em 01/12/2009 - 15:52h
Olá,
Já tentou utilizar as seguintes regras:
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Segue o link de protocolos suportados pelo layer7:
http://l7-filter.sourceforge.net/protocols
Talvez o layer7 não consiga bloquear o novo limewire, então vai ter que procurar por layer7 + ipp2p.
Olá,
Já tentou utilizar as seguintes regras:
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP
Segue o link de protocolos suportados pelo layer7:
http://l7-filter.sourceforge.net/protocols
Talvez o layer7 não consiga bloquear o novo limewire, então vai ter que procurar por layer7 + ipp2p.
[43] Comentário enviado por consultor.inf em 15/12/2009 - 15:53h
Segui o seu tutorial e instalei tudo sem problemas.
Aparentimente todos os modulos estão rodando.
Crio as regras normalmente, visualizo com
#iptables -n -L
O estranho que que não bloqueiam nada.
Já testei varias regras e nada...
O que sera que esta acontecendo?
Segui o seu tutorial e instalei tudo sem problemas.
Aparentimente todos os modulos estão rodando.
Crio as regras normalmente, visualizo com
#iptables -n -L
O estranho que que não bloqueiam nada.
Já testei varias regras e nada...
O que sera que esta acontecendo?
[44] Comentário enviado por brunosilva.ti em 16/12/2009 - 08:25h
Olá consultor.inf,
Envie suas regras de firewall e informando quantas interfaces de rede está utilizando e suas funções ex:
eth0 - Rede Interna
eth1 - Internet
ou se preferir me envie um email (brunosilva.ti@gmail.com).
Olá consultor.inf,
Envie suas regras de firewall e informando quantas interfaces de rede está utilizando e suas funções ex:
eth0 - Rede Interna
eth1 - Internet
ou se preferir me envie um email (brunosilva.ti@gmail.com).
[45] Comentário enviado por diter em 24/12/2009 - 11:47h
Oi Bruno, perfeito post, estou começando a testar, muito obrigado pela ajuda, aproveito e estou seguindo a dica de pegar o .deb para aplicar em outras instalações, porém surgiu a seguinte dúvida:
Como faço para instalar o Iptables já que não tenho o caminho /usr/src/linux, se partir direto do .deb, passei direto pelas etapas de criar o link para o /usr/src/linux posso usar só comando ./configure no lugar do ./configure --with-ksource=/usr/src/linux?
Aguardo.
Feliz natal e um prospero ano novo a todos!
Oi Bruno, perfeito post, estou começando a testar, muito obrigado pela ajuda, aproveito e estou seguindo a dica de pegar o .deb para aplicar em outras instalações, porém surgiu a seguinte dúvida:
Como faço para instalar o Iptables já que não tenho o caminho /usr/src/linux, se partir direto do .deb, passei direto pelas etapas de criar o link para o /usr/src/linux posso usar só comando ./configure no lugar do ./configure --with-ksource=/usr/src/linux?
Aguardo.
Feliz natal e um prospero ano novo a todos!
[46] Comentário enviado por andrefreire em 26/12/2009 - 18:29h
Boa noite !
O Layer7 só ta funcionando quando uso a politica padrão do Chain Forward como ACCEPT se eu mudar ela pra drop bloqueio tudo menos MSN ! Alguém pode ajudar ?
Boa noite !
O Layer7 só ta funcionando quando uso a politica padrão do Chain Forward como ACCEPT se eu mudar ela pra drop bloqueio tudo menos MSN ! Alguém pode ajudar ?
[47] Comentário enviado por kepas em 29/04/2010 - 02:23h
Olá pessoal!
estou com o seguinte problema, quando aplico a regra: iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
me retorna o seguinte erro: iptables v1.4.2: Couldn't load match `layer7':/usr/local/libexec/xtables/libipt_layer7.so: cannot open shared object file: No such file or directory
me ajundem!!!
Olá pessoal!
estou com o seguinte problema, quando aplico a regra: iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
me retorna o seguinte erro: iptables v1.4.2: Couldn't load match `layer7':/usr/local/libexec/xtables/libipt_layer7.so: cannot open shared object file: No such file or directory
me ajundem!!!
[48] Comentário enviado por brunosilva.ti em 11/05/2010 - 14:16h
Olá kepas,
Primeiro verifique se não esqueceu de executar os comandos abaixo, após a instalação do iptables:
# cd /usr/src/l7-protocols-2008-04-23
# make install
Se já executou e o erro continua, é porque o patch do layer7 está atualizado para a verção do iptables 1.4.3, então faça o seguinte:
Remova a pasta e o binário do iptables:
# cd /usr/src
# rm -rf iptables-1.4.2*
# rm -f /usr/local/sbin/iptables
Baixe o iptables 1.4.3 e descompacte o arquivo:
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.3.tar.bz2
# tar jxvf iptables-1.4.3.tar.bz2
Compile e instale o iptables
# cd iptables-1.4.3
# cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/* extensions/
# ./configure --with-ksource=/usr/src/linux
# make
# make install
# cd /usr/src/l7-protocols-2009-05-28
# make install
Reinicie o servidor e teste novamente.
Olá kepas,
Primeiro verifique se não esqueceu de executar os comandos abaixo, após a instalação do iptables:
# cd /usr/src/l7-protocols-2008-04-23
# make install
Se já executou e o erro continua, é porque o patch do layer7 está atualizado para a verção do iptables 1.4.3, então faça o seguinte:
Remova a pasta e o binário do iptables:
# cd /usr/src
# rm -rf iptables-1.4.2*
# rm -f /usr/local/sbin/iptables
Baixe o iptables 1.4.3 e descompacte o arquivo:
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.3.tar.bz2
# tar jxvf iptables-1.4.3.tar.bz2
Compile e instale o iptables
# cd iptables-1.4.3
# cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/* extensions/
# ./configure --with-ksource=/usr/src/linux
# make
# make install
# cd /usr/src/l7-protocols-2009-05-28
# make install
Reinicie o servidor e teste novamente.
[49] Comentário enviado por iltoncesar em 09/06/2010 - 17:42h
Ola pessoal, aqui não funcionou 100% o bittorrent consegui bloquear, mas por incrivel q parece o utorrent funciona normalz, fiz um teste instalei os dois p2p, peguei um arquivo do thepiratebay e mandei baixar pelo bittorrent ficou 30min e nada de baixar, coloquei o msm arquivo no utorrent e no msm instante começou a baixar...... alguem sabe o motivo????
Ola pessoal, aqui não funcionou 100% o bittorrent consegui bloquear, mas por incrivel q parece o utorrent funciona normalz, fiz um teste instalei os dois p2p, peguei um arquivo do thepiratebay e mandei baixar pelo bittorrent ficou 30min e nada de baixar, coloquei o msm arquivo no utorrent e no msm instante começou a baixar...... alguem sabe o motivo????
[50] Comentário enviado por consultor.inf em 03/11/2010 - 11:09h
Muito bom seu artigo.
Instalei e aparentemente ocorreu tudo bem, fis um teste bloqueando msn e funcionou.
O problema e quando tento bloquear videos ele não bloqueia. Estou usando a seguite regra
# iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP
Sera o que pode estar acontecendo?
Obrigado
Muito bom seu artigo.
Instalei e aparentemente ocorreu tudo bem, fis um teste bloqueando msn e funcionou.
O problema e quando tento bloquear videos ele não bloqueia. Estou usando a seguite regra
# iptables -t mangle -A POSTROUTING -m layer7 --l7proto httpvideo -j DROP
Sera o que pode estar acontecendo?
Obrigado
[51] Comentário enviado por weltonpba em 28/12/2010 - 17:49h
Fiz tudo, não deu nenhum erro, ainda fiz como vc explicou para o kepas, com as novas versões instalou numa boa mas soh fica em Loading please wait...
e agora o que eu faço ?
Fiz tudo, não deu nenhum erro, ainda fiz como vc explicou para o kepas, com as novas versões instalou numa boa mas soh fica em Loading please wait...
e agora o que eu faço ?
[52] Comentário enviado por mrjeday em 02/02/2011 - 11:09h
Olá Bruno, aqui compilei tudo direitinho. Tive que adaptar para meu kernel, já que não uso o mesmo que você. Porém ao reiniciar ele não reconhece o layer7. Tens alguma idéia?
Linux servidor 2.6.26-2-686 #1 SMP Thu Nov 25 01:53:57 UTC 2010 i686 GNU/Linux
iptables v1.4.2
ao digitar o comando abaixo, retorna o seguinte erro:
#modprobe ipt_layer7
FATAL: Module ipt_layer7 not found.
Minhas regra para compartilhamento de conexão por NAT também só estão iniciando manualmente depois de feito todo o processo.
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
E não mais automaticamente.
Se você ou alguém tiver alguma idéia agradeço.
Olá Bruno, aqui compilei tudo direitinho. Tive que adaptar para meu kernel, já que não uso o mesmo que você. Porém ao reiniciar ele não reconhece o layer7. Tens alguma idéia?
Linux servidor 2.6.26-2-686 #1 SMP Thu Nov 25 01:53:57 UTC 2010 i686 GNU/Linux
iptables v1.4.2
ao digitar o comando abaixo, retorna o seguinte erro:
#modprobe ipt_layer7
FATAL: Module ipt_layer7 not found.
Minhas regra para compartilhamento de conexão por NAT também só estão iniciando manualmente depois de feito todo o processo.
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
E não mais automaticamente.
Se você ou alguém tiver alguma idéia agradeço.
[53] Comentário enviado por __FERNANDO__ em 02/03/2011 - 20:20h
Pessoal, por favor.
Eu fiz o procedimento, mas não achei essa linha:
(M) layer7 match support #MARCAR COMO MÓDULO
É algum problema ?
Pois não tinha essa opção para selecionar em: Networking -> Networking Options -> Network Packet Filtering Framework (netfilter) -> Core Netfilter Configuration
O que pode ser?
Pessoal, por favor.
Eu fiz o procedimento, mas não achei essa linha:
(M) layer7 match support #MARCAR COMO MÓDULO
É algum problema ?
Pois não tinha essa opção para selecionar em: Networking -> Networking Options -> Network Packet Filtering Framework (netfilter) -> Core Netfilter Configuration
O que pode ser?
[54] Comentário enviado por __FERNANDO__ em 03/03/2011 - 09:32h
Consegui...obrigado!
Refiz o processo e deu certo. Devo ter pulado algo.
Consegui...obrigado!
Refiz o processo e deu certo. Devo ter pulado algo.
[55] Comentário enviado por blowsky&lo em 19/08/2011 - 14:40h
Bruno, não consegui baixar o config-2.6.28-1-686.gz, e quando executo o comando make menuconfig ele me retorna um erro:
HOSTCC scripts/basic/fixdep
HOSTCC scripts/basic/docproc
HOSTCC scripts/basic/hash
HOSTCC scripts/kconfig/conf.o
HOSTCC scripts/kconfig/kxgettext.o
*** Unable to find the ncurses libraries or the
*** required header files.
*** 'make menuconfig' requires the ncurses libraries.
***
*** Install ncurses (ncurses-devel) and try again.
***
make[1]: ** [scripts/kconfig/dochecklxdialog] Erro 1
make: ** [menuconfig] Erro 2
Poderia me ajudar??
Bruno, não consegui baixar o config-2.6.28-1-686.gz, e quando executo o comando make menuconfig ele me retorna um erro:
HOSTCC scripts/basic/fixdep
HOSTCC scripts/basic/docproc
HOSTCC scripts/basic/hash
HOSTCC scripts/kconfig/conf.o
HOSTCC scripts/kconfig/kxgettext.o
*** Unable to find the ncurses libraries or the
*** required header files.
*** 'make menuconfig' requires the ncurses libraries.
***
*** Install ncurses (ncurses-devel) and try again.
***
make[1]: ** [scripts/kconfig/dochecklxdialog] Erro 1
make: ** [menuconfig] Erro 2
Poderia me ajudar??
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.088 pts -
Fábio Berbert de Paula
2° lugar - 48.473 pts -
Buckminster
3° lugar - 18.390 pts -
Mauricio Ferrari
4° lugar - 14.585 pts -
Alberto Federman Neto.
5° lugar - 13.312 pts -
Diego Mendes Rodrigues
6° lugar - 12.662 pts -
Daniel Lara Souza
7° lugar - 12.520 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.866 pts -
Andre (pinduvoz)
9° lugar - 10.691 pts -
edps
10° lugar - 10.304 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
