Nesse artigo abordaremos dicas e truques para um uso mais eficiente do IPCOP como solução de firewall de sua rede com uso de layer-7. Veremos como fazer para bloquear MSN, programas P2P e recursos adicionais.
e instalar (detalhes na página), usando o WinSCP e Putty, conforme
explicado aqui mesmo no Viva o Linux no artigo de referência
no início deste. Aconselho reiniciar o firewall. A partir deste
momento você já pode contar com uma série de padrões de bloqueio via
instruções usando o IPTABLES.
o local correto é /etc/l7-protocols/protocols/ no IPCOP "box".
Em /etc/rc.d/rc.local você deve acrescentar o seguinte:
# Skype and MSN blocked
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msn-filetransfer -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypetoskype -j DROP
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto skypeout -j DROP
Repare que as regras apresentadas só serão válidas a partir do
instante em que você digitar (rodar) /etc/rc.d/rc.local após
atualizar o arquivo. Além disso, coloque também na sua
Custom Blacklist o seguinte domínio: passport.com. Isso vai
eliminar o uso do Web Messenger (messenger via browser).
Atenção também quanto ao Skype. Peguei e usei os arquivos
presentes na página de referência dos protocolos (vide acima) e não
os colocados pela instalação default.
Se houver alguma máquina logada no MSN ou Skype, experimente fazer
o logoff e tente conectar novamente... Testei aqui com o Skype versão
2.0.0.43 (Beta), MSN Messenger 7.5 e o Miranda IM configurado para
atuar na rede MSN.
Bom , para voltar ao estado anterior, você pode simplesmente comentar
as linhas do arquivo com "#," salvar, rodar novamente, além de também
rodar (executar) os arquivos rc.firewall e rc.firewall.local com os
parâmetros restart e reload, respectivamente (estão no mesmo diretório).
Tudo voltará ao normal.
[2] Comentário enviado por removido em 17/04/2006 - 01:47h
Legal, eu axava que IPCop era somente a distribuição e não o software em sí. Muito bom, estou até pensando em implementar algumas soluções com isso agora!
[3] Comentário enviado por neriberto em 17/04/2006 - 12:53h
Sensacional,... sempre usei o ipcop, 15 minutos de instalação e configuração até mesmo numa máquina 233 com 64 de ram, pra quem tem uma vida bastante corrida e preciso de algo simples e funcional este é o caminho.
Só pra adicionar o copfilter tem proxy transparente com filtragem de vírus para os protocolos http, pop e smtp e antispam.
[4] Comentário enviado por supradados em 11/11/2006 - 23:14h
Estou usando o Kubuntu 6.10 com amule 2.1.3 e uma máquina firewaal IPCOP 1.4.11 com o p2pblock e o l7 instalados e configurados, mas não consigo barrar o amule. O que pode estar acontecendo?
[5] Comentário enviado por wailton em 22/11/2006 - 11:35h
Realmente o IPCOP é muito bom, aqui no meu trabalho (governo) temos ele rodando num athlon xp 1800+ 3GB de ram HD 40, temos 60 redes, num total de quase 300 micros conetados. A partir de janeiro/2007 estaremos conectando mais 520 micros nessa rede, não sei como o IPCOP vai se comportar, mas se ele continuar se comportando bem, iremos continuar com ele, caso contrário teremos que buscar outra alternativa.
[6] Comentário enviado por leomarsa em 24/01/2007 - 12:32h
A ferramenta é ótimo cara, estou trabalhando com a versão 1.4.13 com os addons (backouttrafic, timelimit, Qos). Rodando num pequeno provedor de internet wireless, só estou com dificuldade em configurar o backouttrafic para deixar o msn passar, gostaria se possível uma ajuda daqueles que já conseguiram fazer passar.
Se alguém puder me ajudar com essa regra agradeço.
[7] Comentário enviado por fabianoac em 25/02/2007 - 04:33h
Ola, estou implementando o ipcop em uma lan house, gostaria de saber como faço pra bloquear para os usuários não abrirem sites pornográficos e outros sites que eu não quero que sejam visitados?
Pelo squid tem como fazer isso? onde eu edito? como faço? espero que possam me ajudar.
[8] Comentário enviado por fabianoac em 13/03/2007 - 11:28h
Ola, alguem poderia me dar uma dica, estou tentando instalar o ipcop 1.4.15 em um pIII 750mhz, com 1x256mb + 1x128mb de memoria ram, hd ide 40gb 7200rpm NOVO, na hora de criar as partições congela a imagem, ai trava a maquina. Alguma dica de como resolver isso?
[9] Comentário enviado por antonioandrade em 31/03/2007 - 10:32h
olá,
Tenho o ipcop e estou com um serio problema, meu proxy está funcionando 100% para maquinas clientes, mas meu outlook NÃO, já tentei configurar diversa coisas para funcionar o outlook nas maquinas clientes e nada, alguem tem alguma LUZ ........... por favor...........
[10] Comentário enviado por thiagolamosa em 13/04/2007 - 17:06h
Olá,
Valeu pelo tópico, mas estou tendo problemas.
Ao rodar o arquivo rc.local com as alterações sugeridas. O IPCop "box" me responde:
"iptables v1.2.11: invalid target name DROP"
O que poderia estar acontecendo?
[11] Comentário enviado por fsflorencio em 03/08/2007 - 18:04h
Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?
[13] Comentário enviado por fernandosf em 24/08/2007 - 09:06h
ALGUEM SE HABILITA?
Instalei na minha empresa, está funcionando redondinho. O bloqueio de MSN / SKIPE funcionou. Mas gostaria que alguem me ajudasse, no script sugerido é bloqueado tudo.
Gostaria de liberar algumas maquinas.
como faço?
[14] Comentário enviado por lpjlpfarias em 17/09/2007 - 12:14h
DEPOIS DE TUDO BLOQUEADO, EXECUTE ESSE SCRIPTZINHO MIXURUCA PARA LIBERAR O IP DESEJADO. DESCULPEM, É BEM SIMPLES ESSE SCRIPT, MAS DÁ PRA TER UMA IDÉIA.
NÃO SOU ESPECIALISTA, MAS DOU MEUS PULOS.
#!bin/bash
$DIR="caminho da diretório"
$PROTO="protocolo"
while true; do
echo
echo " Insira o ip a ser liberado. Para sair digite q ou Q"
echo
read IP
echo
if [ $IP = "q" ]; then
exit 0
fi
if [ $IP = "Q" ]; then
exit 0
fi
/sbin/iptables -t mangle -A POSTROUTING -v -s $IP -m layer7 --l7dir $DIR --l7proto $PROTO -j ACCEPT
[15] Comentário enviado por rmsi em 23/09/2007 - 20:39h
Sou novato.. fiz a instalação do IPCOP 1.4.16 e Layer7 1.4.8 fiz passo a passo, coloquei as regras em rc.local e mandei rodar, quero trancar o messenger e skype.
retorna
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
[16] Comentário enviado por gildomar em 14/11/2007 - 17:17h
Boa Tarde,
Meu nome é Gildomar. Preciso da ajuda de alguém.
Eu consegui fazer funcionar o bloqueio do msn pelo Layer7 pela instrução desse tutorial. Porém tive um problema com um usuário:
Ele conseguiu entrar no msn sem eu permitir via IP. Ai eu fui peguei o IP que ta usando e bloqueei através de regras la no rc.local com DROP, e mesmo assim ele tá conseguindo acessar o msn. Pode ser uma falha do Layer7 no IPCop?
[19] Comentário enviado por emanoel.almeida em 27/12/2008 - 04:21h
Estou com Problema ao tentar rodar o layer7-filter no ipcop 1.4.21. instalo tudo direitinho não da nenhum erro. só um aviso. O pacote que instalei foi esse (layer7_ipcop_1.4.8.tar.gz)
Mas na hora de rodar o script de firewall(rc.local) retorna o seguinte erro pra cada regra que eu colocar usando o l7
[20] Comentário enviado por emanoel.almeida em 28/12/2008 - 18:06h
Bem pessoal, enfim, depois de noites acordados recompilando kernel em distros convencionais, achei a solução do meu problema:
Esse arquivo que baixei funcionou legal no ipcop 1.4.10, mas convenhamos ja está muito antigo. Queria para o ipcop 1.4.21 que
hoje é a versão mais recente. O procedimento padrão seria recompilar o kernel numa versão do slackware compativel com o ipcop
(ou seja com o mesmo kernel) e adcionar o os patchs do layer7 a ele. Dai Futucando no google achei um site que disponibilizou o link
com o kernel compativel com ipcop 1.4.21.
Criar uma pasta chamada l7-protocols no diretório /etc
#mkdir /etc/l7-protocols
Extrair o conteudo do pacote para dentro da pasta recentemente criada (/etc/l7-protocols) de modo que a estrutura de pastas fiquem
da seguinte maneira:
( /etc/l7-protocols/protocols )
Pronto o layer 7 ja está funcionando no seu pc. agora você ja poderá aplicar regras usando o layer7 como:
/sbin/iptables -t mangle -A POSTROUTING -m layer7 --l7dir /etc/l7-protocols/protocols --l7proto msnmessenger -j DROP
OBS: como ja citado no artigo: a pasta dos protocolos poderá ficar em qualquer lugar, desde que nas regras aplicadas, você informe
o local correto de onde se encontram os protocolos( No parametro --l7dir ).
Bem Pessoal, espero ter ajudado ou ajudar a quem estiver passando por esse problema. No meu funcionou perfeitamente.
Obrigado aTodos.
[21] Comentário enviado por infoideia em 07/02/2009 - 09:32h
Eu configurei o ipcop com o layer 7 e funcionou perfeito ele bloqueia todos os msn
só q eu estou precisando liberar só um ip para acessar o msn sem desbloquear os outros
eu coloquei desse jeito o codigo mais não funcionaou
[22] Comentário enviado por joserubenildo em 12/03/2009 - 09:40h
olá
Estou tentando colocar o Ipcop em uma maquina virtual instalada em um 2000 server com duas placas de rede.
Deixei ele com 64 MB mas nao consigo configurar.
Mode com ip Fixo 10.0.0.138
Placa de rede eth1 no modem
placa de rede eth0 na HUB
Do IPCop consigo pingar na internet. mas nao consigo ver a rede interna.
[23] Comentário enviado por lordhazy em 05/05/2009 - 13:16h
Utilizo o IPCOP em minha rede, tenho as interfaces Green, Red e Orange. O firewall/proxy está perfeito.
Coloquei um Access Point na interface orange para que eu consiga ter acesso livre sem restrições nos
notebooks. Tentei fazer algumas regras para liberar no BOT mas nada até agora, alguém poderia me ajudar
dando alguma dica ou exemplificando alguma regra? Agradeço muito a quem me der essa força.
Abraço a todos.
[24] Comentário enviado por rogerbeste em 11/08/2009 - 11:32h
Sou novato em linux, instali um ipcop 1.4.20 em meu servidor de internet e atualizei para 1.4.21, estou tentando instalar o proxi avançado na versão 21 e nã cnssigo, você pode me ajudar e me dizer como eu faço isso, com eu disse sou muito amado em linux e gostari muito de receber uma ajuda detalhada.
Os arquivos que encontro são (.tar.tar) nesse endereço, http://www.advproxy.net/download.html,
e os que pedem no campo de atualização do ipcop é (.tgz.gpg), por gentileza espero que possa me ajudar.
no campo e atualizações eu tenho umas informações refeente a Kernel e squid, pra que serve?
desde já agradeço.
Roger.
[25] Comentário enviado por rogerbeste em 11/08/2009 - 12:01h
Como eu faço para instalar o advanced proxy n ipcop 1.4.21, Sou novato e estou aprendendo trabalhar com o linux, eu instalei a vrsão 1.4.20 e atualizei para a versão 1.4.21 mas agora não cnsigo instalar o advanced proxy nesta versão, você descrever pra mim o passo a passo por favor.
desde já agraeço.
[26] Comentário enviado por andriopj em 08/09/2009 - 01:13h
ja ouvi falar mto bem do ipcop... mas, tenho algumas duvidas...
aqui uso o fedora como servidor, nele possuo os seguintes servicos rodando: Proxy/nat, firewall, dhcp server, controle de banda(cbq), controle de acesso(ipXmac), dns cache e webcache.
ja sei que o ipcop pode rodar: Proxy/nat, firewall, dhcp server e creio q o controle de acesso(ipXmac).
porem, gostaria de saber, se teria como instalar o: controle de banda(cbq), webcache e dnscache?
[27] Comentário enviado por alexander.santos em 15/09/2009 - 15:08h
ae gente, to precisando saber como instalar um driver (no Windows é assim que se chama!) de uma placa de rede no ipcop.
motivo: tava tudo configurado e funcionando, mas uma placa de rede apresenta problemas, perdendo muitos pacotes. constatei que era ela testando em outra máquina.
o que eu quero é: instalar uma nova placa de rede e, fazer funcionar, instalando o driver da placa de rede. qual o comando? o que devo fazer?
valeu!
[28] Comentário enviado por anonimous_ em 27/11/2009 - 14:04h
Olá pessoal!
Um cliente possui IPCOP, e estou com problema para liberar o acesso ao msn. Que regras preciso adicionar no firewall para liberar?
A principio no forward tem la para a porta 1368 e 443, e no proxy avançado tmb colokei as 2 portas.
O proxy é autenticado. Qual a diferença nos tipos de usuário que posso criar?
Preciso de ajuda urgente!
NUnca trabalhei com o IPCOP.
Vlw galera!
[29] Comentário enviado por Miltox em 08/03/2010 - 09:13h
Olá a todos...
Estou rodando o IPcop 1.4.21 e estou precisando do atualizar o Kernel p/ 2.4.36 ( http://de.embcop.org/?page_id=40) porem o link já descrito acima esta offline, Então alguem teria outro link ou mesmo o arquivo para me enviar por email ?