Incrementando seu Firewall com o Layer 7 Filter
Neste artigo demonstro como compilar, instalar e utilizar o L7 Filter, um filtro de pacotes que se baseia no protocolo da aplicação utiliza.
[ Hits: 145.196 ]
Por: Fabiano em 26/04/2006 | Blog: http://pragasdigitais.blogspot.com
Testando e exemplos
Testando:
Crie uma regra qualquer que combine com um protocolo que você utilize nesta máquina. Por exemplo, se você possui um servidor web rodando nesta máquina, crie a seguinte regra:
# iptables -A INPUT -m layer7 --l7proto http
Agora gere algum tráfego (acessando as páginas do seu servidor) e em seguida execute o seguinte comando:
# iptables -nvxL OUTPUT -m layer7 --l7proto http
Isto vai mostrar a contagem de pacotes e bytes que casam com esta regra (pacotes que a máquina enviou via protocolo http). Eu uso essa técnica (junto com awk/grep/cut e rrdtool) para gerar gráficos de consumo de banda.
# iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
e acabe com o uso do MSN Messenger na sua rede.
OBS: Este exemplo pressupõe que você conhece um pouco de CBQ/HTB. Caso você não esteja familiarizado com a ferramenta tc, sugiro uma lida nos artigos que estão na área de referência.
Use o iptables para marcar os pacotes que coincidem com sua regra:
# iptables -A PREROUTING -t mangle -i eth0 -j MARK --set-mark 6
No caso foi colocada a marca 6. Poderia ser utilizado qualquer número (desde que seja inteiro, positivo e diferente de zero)
Depois, crie um filtro que pega tudo o que estiver com a marca definida (6, no nosso caso) e joga para a classe definida (no caso abaixo 1:1).
# tc filter add dev eth1 protocol ip parent 1:0 prio 1 handle 6 fw flowid 1:1
Crie uma regra qualquer que combine com um protocolo que você utilize nesta máquina. Por exemplo, se você possui um servidor web rodando nesta máquina, crie a seguinte regra:
# iptables -A INPUT -m layer7 --l7proto http
Agora gere algum tráfego (acessando as páginas do seu servidor) e em seguida execute o seguinte comando:
# iptables -nvxL OUTPUT -m layer7 --l7proto http
Isto vai mostrar a contagem de pacotes e bytes que casam com esta regra (pacotes que a máquina enviou via protocolo http). Eu uso essa técnica (junto com awk/grep/cut e rrdtool) para gerar gráficos de consumo de banda.
Bloqueando protocolos
# iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
e acabe com o uso do MSN Messenger na sua rede.
Limitando ("shapeando") a taxa de downloads
OBS: Este exemplo pressupõe que você conhece um pouco de CBQ/HTB. Caso você não esteja familiarizado com a ferramenta tc, sugiro uma lida nos artigos que estão na área de referência.
Use o iptables para marcar os pacotes que coincidem com sua regra:
# iptables -A PREROUTING -t mangle -i eth0 -j MARK --set-mark 6
No caso foi colocada a marca 6. Poderia ser utilizado qualquer número (desde que seja inteiro, positivo e diferente de zero)
Depois, crie um filtro que pega tudo o que estiver com a marca definida (6, no nosso caso) e joga para a classe definida (no caso abaixo 1:1).
# tc filter add dev eth1 protocol ip parent 1:0 prio 1 handle 6 fw flowid 1:1
Páginas do artigo
1. Introdução2. Arquivos necessários
3. Descompactando, compilando e instalando
4. Testando e exemplos
5. Bibliografia e leituras recomendadas
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Manual do IPtables - Comentários e sugestões de regras
Mandrake Firewall - Firewall com interface amigável
Implementando prioridade nos serviços com TOS no Iptables
Comentários
[1] Comentário enviado por davidsonbhz em 26/04/2006 - 09:30h
Ja tinha lido algo a respeito do L7 mas faltava alguma coisa em portugues pra ajudar. Muito bom!
Ja tinha lido algo a respeito do L7 mas faltava alguma coisa em portugues pra ajudar. Muito bom!
[2] Comentário enviado por herloncamargo em 26/04/2006 - 10:53h
Utilizo o Layer7 há mais de um ano. Bloqueio quase todos os protocolos, com excessão do Skype. O L7 só bloqueia versões antigas do Skype. Alguém já conseguiu bloquear as versões recentes do Skype com o L7? Se conseguiu, como?
Utilizo o Layer7 há mais de um ano. Bloqueio quase todos os protocolos, com excessão do Skype. O L7 só bloqueia versões antigas do Skype. Alguém já conseguiu bloquear as versões recentes do Skype com o L7? Se conseguiu, como?
[3] Comentário enviado por balani em 26/04/2006 - 11:56h
Alguem sabe me dizer se há uma maneira mais facil e eficiente de bloquear o orkut?
Alguem sabe me dizer se há uma maneira mais facil e eficiente de bloquear o orkut?
[4] Comentário enviado por rjacomel em 26/04/2006 - 16:26h
Já havia implementado o Layer7 e recomendo...
Já havia implementado o Layer7 e recomendo...
[5] Comentário enviado por patrickbrandao em 26/04/2006 - 16:55h
Olá Fabiano,
eu trabalho muito com iptables, e preciso de uma solução:
o l7, modulo string, entre outros, sao capazes de detectar o pacote que contem uma palavra/frase/expressao regular, porem preciso que, apos identificar um pacote, a conexao TCP inteira fique na regra, ou seja:
iptables -A FORWARD -m string --string 'X-Owner' -j ACCEPT
Apenas o primeiro pacote que contem o cabecalho X-Owner sera positivo nessa regra, os demais pacotes da conexao nao, preciso que os demais pacotes entrem na regra, ou sejam lembrados de alguma maneira, para que eu possa dar tratamento diferenciado a eles.
Se voce conhece ou tem alguma sugestao, agradeço!
abraços
Olá Fabiano,
eu trabalho muito com iptables, e preciso de uma solução:
o l7, modulo string, entre outros, sao capazes de detectar o pacote que contem uma palavra/frase/expressao regular, porem preciso que, apos identificar um pacote, a conexao TCP inteira fique na regra, ou seja:
iptables -A FORWARD -m string --string 'X-Owner' -j ACCEPT
Apenas o primeiro pacote que contem o cabecalho X-Owner sera positivo nessa regra, os demais pacotes da conexao nao, preciso que os demais pacotes entrem na regra, ou sejam lembrados de alguma maneira, para que eu possa dar tratamento diferenciado a eles.
Se voce conhece ou tem alguma sugestao, agradeço!
abraços
[6] Comentário enviado por leandromoreirati em 26/04/2006 - 18:16h
Cara vc so cometeu um pecado, avisar que o layer7 no kernel da família 2.6 so roda mas versões 2.6.13 a 2.6.15. Eu testei as versoes ora kernel antigo (old kernel e deram muito pau) quando apliquei no 2.6.14 resolveu o meu problema. Apliquei em 2 firewalls de produção uma rodando Debian e outro Slackware.
Cara vc so cometeu um pecado, avisar que o layer7 no kernel da família 2.6 so roda mas versões 2.6.13 a 2.6.15. Eu testei as versoes ora kernel antigo (old kernel e deram muito pau) quando apliquei no 2.6.14 resolveu o meu problema. Apliquei em 2 firewalls de produção uma rodando Debian e outro Slackware.
[7] Comentário enviado por leandromoreirati em 26/04/2006 - 18:36h
Eu tenho tido mto problema com o string estou usando o iptables 1.3.5, será que pode ser a versao do iptables que eu to compilando? Olha so o que acontece quando eu aplico uma regra:
# iptables -A INPUT -m string --string "X-Owner" -j DROP
iptables v1.3.5: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information
ele me pede esse " --algo" e nao faço a mínima idéia do que seja. Algume pode me dar uma ideia.
Eu tenho tido mto problema com o string estou usando o iptables 1.3.5, será que pode ser a versao do iptables que eu to compilando? Olha so o que acontece quando eu aplico uma regra:
# iptables -A INPUT -m string --string "X-Owner" -j DROP
iptables v1.3.5: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information
ele me pede esse " --algo" e nao faço a mínima idéia do que seja. Algume pode me dar uma ideia.
[8] Comentário enviado por paulinholinux em 26/04/2006 - 23:06h
Cara ....
Nossa esse artigo veio em hora certinha ....
eu mandei a pouco uma duvida pra lista de discução do fedora sobr como implementar o L7, pois nao estava conseguindo. Agora só uma coisa, eu tenho rodando um servidor gateway com fedora3 (estou para migrando-o pra fedora 5 este final de semana), será qe vc sabe se tenho mesmo qe compilar o kernel? nao exite nenhum pacote .rpm qe aplique isso ao kernel?
se eu precisar mesmo compilar o kernel, vc me indicaria um bom tutorial pra o meu caso (compilação de kernel no fedora core, pois sempre qe me arrisco a compilar o kernel da pau)
Muito obrigado e parabéns pelo artigo.
Té mais
Paulinholinux
<<-_->>
Cara ....
Nossa esse artigo veio em hora certinha ....
eu mandei a pouco uma duvida pra lista de discução do fedora sobr como implementar o L7, pois nao estava conseguindo. Agora só uma coisa, eu tenho rodando um servidor gateway com fedora3 (estou para migrando-o pra fedora 5 este final de semana), será qe vc sabe se tenho mesmo qe compilar o kernel? nao exite nenhum pacote .rpm qe aplique isso ao kernel?
se eu precisar mesmo compilar o kernel, vc me indicaria um bom tutorial pra o meu caso (compilação de kernel no fedora core, pois sempre qe me arrisco a compilar o kernel da pau)
Muito obrigado e parabéns pelo artigo.
Té mais
Paulinholinux
<<-_->>
[9] Comentário enviado por fpires em 30/04/2006 - 10:42h
Danger Will Robinson !!
Encontrei um erro no Tutorial:
Onde está escrito
----Inicio ------
Entre no diretório /usr/src/iptables-1.X.XX e execute o seguinte comando:
# patch -p1 < ../netfilter-layer7-vX.X.X/iptables-layer7-X.X.X.patch
Compile o iptables com o comando:
---- Fim ------
Deveria estar escrito:
----- Inicio ------
Entre no diretório /usr/src/iptables-1.X.XX e execute o seguinte comando:
# patch -p1 < ../netfilter-layer7-vX.X.X/iptables-layer7-X.X.X.patch
e execute o seguinte comando: chmod +x extensions/.layer7-test
Compile o iptables com o comando:
---- Fim ------
Caso contrário o iptables vai compilar SEM o suporte ao Layer 7.
Tem como editar isso no artigo?
Danger Will Robinson !!
Encontrei um erro no Tutorial:
Onde está escrito
----Inicio ------
Entre no diretório /usr/src/iptables-1.X.XX e execute o seguinte comando:
# patch -p1 < ../netfilter-layer7-vX.X.X/iptables-layer7-X.X.X.patch
Compile o iptables com o comando:
---- Fim ------
Deveria estar escrito:
----- Inicio ------
Entre no diretório /usr/src/iptables-1.X.XX e execute o seguinte comando:
# patch -p1 < ../netfilter-layer7-vX.X.X/iptables-layer7-X.X.X.patch
e execute o seguinte comando: chmod +x extensions/.layer7-test
Compile o iptables com o comando:
---- Fim ------
Caso contrário o iptables vai compilar SEM o suporte ao Layer 7.
Tem como editar isso no artigo?
[10] Comentário enviado por fpires em 30/04/2006 - 10:54h
Paulinho, até onde eu sei é necessário compilar o kernel e o iptables sim. Nunca ouvi falar de nenhuma distro que venha com suporte nativo ao projeto.
Paulinho, até onde eu sei é necessário compilar o kernel e o iptables sim. Nunca ouvi falar de nenhuma distro que venha com suporte nativo ao projeto.
[11] Comentário enviado por agk em 04/05/2006 - 13:54h
Ótimo artigo, excelente para ampliar as funcionalidades do IPTABLES.
Só tenho uma dúvida, tem como bloquear os Web Messengers da vida com isso?
Ótimo artigo, excelente para ampliar as funcionalidades do IPTABLES.
Só tenho uma dúvida, tem como bloquear os Web Messengers da vida com isso?
[12] Comentário enviado por fpires em 10/05/2006 - 21:35h
Não, Web Messengers rodam em cima do protocolo HTTP e devem ser bloqueados com o squid ou outro proxy.
Não, Web Messengers rodam em cima do protocolo HTTP e devem ser bloqueados com o squid ou outro proxy.
[13] Comentário enviado por agk em 15/05/2006 - 22:13h
Com squid é praticamente impossível bloquear os WEB Messengers, são tantos e a cada dia surgem mais e mais. Pensei que talvez com iptables mais alguns módulos fosse possível ler o conteúdo dos pacotes e bloqueá-los.
Com squid é possível sim, quando se tem uma rede pequena com poucos usuários, mas imagine 3 mil usuários, onde cerca de 500 acessam todos os dias o dia todo, são milhões de linhas de log's para conferir em busca do malditos web messengers. E como disse, quanto mais se bloqueia, mais Web msn surgem.
Estou pensando seriamente em começar a punir os usuários aos invés de bloquear os sites. :-)
Com squid é praticamente impossível bloquear os WEB Messengers, são tantos e a cada dia surgem mais e mais. Pensei que talvez com iptables mais alguns módulos fosse possível ler o conteúdo dos pacotes e bloqueá-los.
Com squid é possível sim, quando se tem uma rede pequena com poucos usuários, mas imagine 3 mil usuários, onde cerca de 500 acessam todos os dias o dia todo, são milhões de linhas de log's para conferir em busca do malditos web messengers. E como disse, quanto mais se bloqueia, mais Web msn surgem.
Estou pensando seriamente em começar a punir os usuários aos invés de bloquear os sites. :-)
[14] Comentário enviado por tuxlinuxbr2 em 03/10/2006 - 16:53h
consegui bloquear o MSN o squid asssim:
# ACLS
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl MSN_DOM dstdomain loginnet.passport.com
acl MSN_DOM dstdomain webmessenger.msn.com
#Liberacao individual MSN
acl liberal src "/etc/squid/listas/libera_msn"
#Regra Bloqueio MSN
http_access deny horacom MSN !liberal
http_access deny horacom msnmessenger !liberal
http_access deny horacom MSN_DOM !liberal
esse "liberal" voce cria um arquivo com os IP's que voce deseja que possam usar o MSN.
abraços,
consegui bloquear o MSN o squid asssim:
# ACLS
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl MSN_DOM dstdomain loginnet.passport.com
acl MSN_DOM dstdomain webmessenger.msn.com
#Liberacao individual MSN
acl liberal src "/etc/squid/listas/libera_msn"
#Regra Bloqueio MSN
http_access deny horacom MSN !liberal
http_access deny horacom msnmessenger !liberal
http_access deny horacom MSN_DOM !liberal
esse "liberal" voce cria um arquivo com os IP's que voce deseja que possam usar o MSN.
abraços,
[15] Comentário enviado por pedrohc em 19/03/2007 - 15:01h
Ola se eu ja tiver o iptables instalado... eh somente instalar o L7?
no make e make install?
ou precisa de mais alguma configuraçao?
Ola se eu ja tiver o iptables instalado... eh somente instalar o L7?
no make e make install?
ou precisa de mais alguma configuraçao?
[16] Comentário enviado por fpires em 19/03/2007 - 16:57h
Não, mesmo assim vc precisa do iptables, porque precisa aplicar um patch nele. Agora, há uma versão nova do L7 que não precisa de patch no kernel nem no iptables. Assim que tiver um tempo, vou preparar um tuto sobre ele.
Não, mesmo assim vc precisa do iptables, porque precisa aplicar um patch nele. Agora, há uma versão nova do L7 que não precisa de patch no kernel nem no iptables. Assim que tiver um tempo, vou preparar um tuto sobre ele.
[17] Comentário enviado por claudio.-.rodrig em 24/04/2008 - 16:19h
Olá amigo,
Estou precisando implementar o Layer7 urgente, possuo o kernel-2.6.15-26-server, distruição ubuntu, versão iptables 1.3.3.
Eu preciso recompilar o kernel, mesmo tendo o 2.6?
Abraços,
Claudio R
Olá amigo,
Estou precisando implementar o Layer7 urgente, possuo o kernel-2.6.15-26-server, distruição ubuntu, versão iptables 1.3.3.
Eu preciso recompilar o kernel, mesmo tendo o 2.6?
Abraços,
Claudio R
[18] Comentário enviado por fpires em 25/04/2008 - 03:03h
Para essa versão do L7 sim, vc precisa recompilar o Kernel, porque o L7 não está incluso na ávore principal do Kernel, mas existe uma versão dele (que pretendo fazer um tutorial sobre elea) que roda em userspace e não precisa de recompilar o kernel (apenas compilar o programa). De uma olhadinha na página do projeto.
Para essa versão do L7 sim, vc precisa recompilar o Kernel, porque o L7 não está incluso na ávore principal do Kernel, mas existe uma versão dele (que pretendo fazer um tutorial sobre elea) que roda em userspace e não precisa de recompilar o kernel (apenas compilar o programa). De uma olhadinha na página do projeto.
[19] Comentário enviado por jardineti em 16/09/2008 - 11:06h
Olá meu servidor funcionou perfeitamente, só gostaria de saber como desabilitar os logs que ficam aparecendo na tela.
Obrigado.
Olá meu servidor funcionou perfeitamente, só gostaria de saber como desabilitar os logs que ficam aparecendo na tela.
Obrigado.
[20] Comentário enviado por Hellfire em 30/10/2008 - 18:26h
pessoal, estou tendo problemas com a compilação do iptables.
eu apliquei o patch do l7 ao iptables
dei um # make configure : executou sem problemas;
mas quando dou um # make ou # make install, aparece seguinte erro:
Making install in extensions
make[1]: Entering directory `/usr/src/iptables-1.4.2/extensions'
CC libxt_esp.oo
libxt_esp.c: In function `parse_esp_spi':
libxt_esp.c:37: error: `ERANGE' undeclared (first use in this function)
libxt_esp.c:37: error: (Each undeclared identifier is reported only once
libxt_esp.c:37: error: for each function it appears in.)
make[1]: ** [libxt_esp.oo] Erro 1
make[1]: Leaving directory `/usr/src/iptables-1.4.2/extensions'
make: ** [install-recursive] Erro 1
não faço ideia de como resolver isso, alguém pode me ajudar?
pessoal, estou tendo problemas com a compilação do iptables.
eu apliquei o patch do l7 ao iptables
dei um # make configure : executou sem problemas;
mas quando dou um # make ou # make install, aparece seguinte erro:
Making install in extensions
make[1]: Entering directory `/usr/src/iptables-1.4.2/extensions'
CC libxt_esp.oo
libxt_esp.c: In function `parse_esp_spi':
libxt_esp.c:37: error: `ERANGE' undeclared (first use in this function)
libxt_esp.c:37: error: (Each undeclared identifier is reported only once
libxt_esp.c:37: error: for each function it appears in.)
make[1]: ** [libxt_esp.oo] Erro 1
make[1]: Leaving directory `/usr/src/iptables-1.4.2/extensions'
make: ** [install-recursive] Erro 1
não faço ideia de como resolver isso, alguém pode me ajudar?
[21] Comentário enviado por blade_ander em 27/12/2010 - 11:09h
Pessoal,
Se tiverem problemas e o módulo não subir, vai a dica, no caso usando Debian 5.06 lenny.
Alterando configuração do modulo L7:
# cp /lib/modules/2.6.26/kernel/net/netfilter/xt_layer7.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko
Editando arquivo de módulos:
vim /lib/modules/2.6.26-2-686/modules.dep
Adicone a linha abaixo no final do arquivo:
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko: /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack.ko /lib/modules/2.6.26/kernel/net/netfilter/x_tables.ko
Reinicie o servidor.
Subir o modulo: modprobe xt_layer7
Pessoal,
Se tiverem problemas e o módulo não subir, vai a dica, no caso usando Debian 5.06 lenny.
Alterando configuração do modulo L7:
# cp /lib/modules/2.6.26/kernel/net/netfilter/xt_layer7.ko
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko
Editando arquivo de módulos:
vim /lib/modules/2.6.26-2-686/modules.dep
Adicone a linha abaixo no final do arquivo:
/lib/modules/2.6.26-2-686/kernel/net/ipv4/netfilter/xt_layer7.ko: /lib/modules/2.6.26-2-686/kernel/net/netfilter/nf_conntrack.ko /lib/modules/2.6.26/kernel/net/netfilter/x_tables.ko
Reinicie o servidor.
Subir o modulo: modprobe xt_layer7
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.610 pts -
Fábio Berbert de Paula
2° lugar - 50.704 pts -
Buckminster
3° lugar - 17.394 pts -
Mauricio Ferrari
4° lugar - 15.373 pts -
Alberto Federman Neto.
5° lugar - 14.137 pts -
Diego Mendes Rodrigues
6° lugar - 13.420 pts -
Daniel Lara Souza
7° lugar - 12.774 pts -
edps
8° lugar - 10.803 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.639 pts -
Andre (pinduvoz)
10° lugar - 10.492 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
