Compilando kernel com suporte a POM (path-omatic) e Layer7 no Debian e Slackware
Esse artigo visa auxiliar os administradores de rede a implementar políticas mais efetivas de bloqueio pacotes na rede, tais como emule, msn e etc. Foca ainda configuração de diretivas de segurança tais como o PSD e o STRING, que podem auxiliar o Squid no bloqueio a tráfego HTTP.
Parte 6: Instalando os protocolos do Layer7 e exemplos de regras
Agora precisamos instalar o l7-protocols para que o layer7 saiba como trabalhar com as regras.
# tar -xzvf /usr/src/l7-protocols-2006-01-22.tar.gz -C /usr/src
# cd /usr/src/l7-protocols-2006-01-22
# make install
Após instalar os protocolos, reboote a máquina.
Exemplos de regras
Bloqueio de portscan:
# iptables -A INPUT -p tcp -m psd -j DROP
Bloqueio do messenger:
# iptables -A FORWARD -m layer7 --l7proto msnmessenger -j
Conclusões
Espero ter ajudado os amigos da comunidade com essa receitinha de bolo. Implementei esses patches no kernel da empresa onde trabalho e consegui deixar a rede bem fechada.
#1Comentário enviado por fredaum em 28/06/2006 - 16:45h
muito legal
na empresa onde trabalho fiz isso também, nos meus dois proxy, e vale lembra que é a única maneira (que eu conheço pelo menos) de bloquear o acesso do skype, é utilizando layer7, segue as regras para quem se interessar:
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypeout -j DROP
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypetoskype -j DROP
Abraços e parabéns pelo artigo.
#2Comentário enviado por rjacomel em 28/06/2006 - 17:03h
É próprio para bloqueio de softwares P2P (Kazaa, eMule, BitTorrent, etc.)
Parabéns pelo artigo.
#3Comentário enviado por PetersonPS em 28/06/2006 - 18:13h
Muito bom mesmo.
Tentei a um tempo atras aplicar o POM e não tive sucesso, através deste artigo consegui identificar onde errei.
Parabéns.
#4Comentário enviado por josevaldo em 30/06/2006 - 00:02h
Cara, o artigo tá bem explicado, porem aqui no meu slack 10.2 com kernel 2.613, não teve como habilitar as opções no kernel para que eu podesse recompilá-lo... será onde foi q eu errei.?
#5Comentário enviado por leandromoreirati em 19/07/2006 - 16:45h
Como vc aplicou os patchs esta da forma como eu descrevi no artigo?
#6Comentário enviado por balani em 01/08/2006 - 08:25h
Gostaria de parabenizar pelo artigo, está muito bom, eu gostaria de tirar uma duvida, não consegui aplicar o modulo string no meu kernel, estou usando conectiva 10 kernel 2.6.11 iptables 1.3.5, pois fiz to o procedimento de para aplicação do patch e ele não apareceu no menu da compilação. se puder me ajudar.
#7Comentário enviado por leandromoreirati em 03/08/2006 - 00:44h
Caro,
Por default o string ja vem aplicado nos kernels da família 2.6 o que acontece e que dentro do network configuration tem algumas opções que se nao ativadas alguns módulos dentre eles o string e o layer7 nao aparecem, tenta ativar todas as opções e ve se ela aparece ( nao tenho um fonte de 2.6.11 aki pra ver ) ou se achar melhor da um screen na sua tela de opções e me manda por email.
#8Comentário enviado por robertocruz em 04/01/2007 - 04:11h
Na aplicação do patch do Layer 7 sobre o kernel deu erro.
na empresa onde trabalho fiz isso também, nos meus dois proxy, e vale lembra que é a única maneira (que eu conheço pelo menos) de bloquear o acesso do skype, é utilizando layer7, segue as regras para quem se interessar:
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypeout -j DROP
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypetoskype -j DROP
Abraços e parabéns pelo artigo.