problemas com iptables layer 7 [RESOLVIDO]

marcelodamasceno
(usa Debian)

Enviado em 12/11/2010 - 17:18h

Oi tudo bom, eu preciso de ajuda pois tenho um debian com Iptables layer7 funcionando.
Mas estou tendo problemas ao usar politicas default drop, pois ele aceita o comando nenhum erro mas ao testar ele naum está liberando o protocolo.

Ex. não funcionado

iptables -P INPUT DROP
resto do script iptables..

iptables -A INPUT -m layer7 --l7proto ssh -J ACCEPT

e se eu fizer assim funciona normalmente.

Ex.

iptables -P INPUT ACCEPT

script iptables

iptables -A INPUT -m layer7 --l7proto ssh -J DROP

Diede
(usa Debian)

Enviado em 12/11/2010 - 20:26h

O problema não paprece estar no match layer7, mas na sintaxe.
Digo, para o kernel saber que um pacote é "SSH" ele precisa "bater" alguns pacotes. Acredito que nesta ordem as regras funcionariam:

iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m layer7 --l7proto ssh -j ACCEPT

marcelodamasceno
(usa Debian)

Enviado em 13/11/2010 - 20:02h

Obrigado..
valeu a força vou testa e digo se funcionou..

marcelodamasceno
(usa Debian)

Enviado em 16/11/2010 - 09:36h

Somente com essa regra não funcionou..
testei da seguinte forma e funcionou..

iptables -A INPUT -p tcp --syn -j ACCEPT
iptables -A INPUT -m layer7 --l7proto ssh -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

A conexão foi aceita porem nenhum pacote passoou pela regra de layer 7 que aceita o ssh.

matheuskamphorst
(usa Debian)

Enviado em 16/11/2010 - 09:50h

Bah, estou com mesmo problema, meu layer 7 so dropa não aceita. se conseguir eu posto aqui, eu tentei ja estas regras

matheuskamphorst
(usa Debian)

Enviado em 16/11/2010 - 10:19h

Fiz alguns testes com as seguintes regras:
iptables -A INPUT -p tcp --syn -m layer7 --l7proto ssh -j ACCEPT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -m layer7 --l7proto ssh -j ACCEPT

Porém nenhum pacote passou por elas quando eu fiz os testes.

removido
(usa Nenhuma)

Enviado em 22/11/2010 - 02:34h

Utilizo o l7 para realizar fitros ou liberação somente na cadeia FORWARD!! Eu creio que so funcione nesta cadeia pelos teste que fiz os pacotes não casam com as regras de INPUT mesmo vindo antes de todas !!

katiele
(usa Ubuntu)

Enviado em 22/11/2010 - 10:50h

Oi ....

Eu também utilizo o layer 7 e gostaria de saber se alguém ja testou utilizando a tabela mangle?!.

removido
(usa Nenhuma)

Enviado em 22/11/2010 - 12:42h

Boa Tarde Katiele,

Postei recentemente um topico sobre esta questão !! Vamos discutir esta questão nele ok ? O nome e
Connection Tracking para Layer7