[FUG-BR] RES: Filtro L7

Sábado Novembro 24 12:04:09 BRST 2007

Acho que para tráfego criptografado nem aqueles patchs do linux resolvem... 
alguém confirma?

Welkson

----- Original Message ----- 
From: "Thiago Damas" <tdamas em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Saturday, November 24, 2007 11:01 AM
Subject: Re: [FUG-BR] RES: Filtro L7

  Esses trafegos obfuscados e criptografados, nao...

On Nov 24, 2007 11:40 AM, Lucas Mocellin <lucasmocellin em gmail.com> wrote:
> Olá,
>
> então Eduardo, na verdade eu queria primeiro saber quem está usando e
> quanto de banda está consumindo, para depois TALVEZ fazer um traffic
> shapping ou bloquear, mas o principal é descobrir quanto de banda ta
> consumindo.
>
> Tenho uma situação parecida, um link de 18MB no talo..
>
> o seu script já não serve a minha ocasião, acho que o interessante
> seria pela cmaada 7 mesmo, ouvi falar que torrent usa um protocolo
> diferente que não é tão difícil de reconhecer.
>
> Você já conseguiu filtrar a camada 7 thiago??
>
> Obrigado
>
> Lucas.
>
> Em 23/11/07, Augusto Jobim Badaraco<ajobim em comnet.com.br> escreveu:
>
> > Olá, sobre o mesmo assunto, alguém já verificou alguma coisa sobre o
> > ng_pf ?
> >
> >
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> > nome de Thiago Damas
> > Enviada em: sexta-feira, 23 de novembro de 2007 11:33
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Filtro L7
> >
> >  Ja fiz programa pra escutar com divert, e ele pega o pacote inteiro.
> > Da pra fazer camada 7 sim, mas como roda no modo usuario, usa mais
> > recursos do que se fosse no modo kernel (ipfw divert -> modo usuario
> > -> volta pro kernel)
> >  Na epoca minha rede estava em +- 18Mbps e nao dava conta.
> >
> > On Oct 3, 2007 5:06 PM, Daniel Loureiro <daniel em termasa.com.br> wrote:
> > > Marcelo Soares da Costa escreveu:
> > >  > Filtrar conteudo = squid
> > >  >
> > >  > snort me parece que vc procura , pode usar ainda ipfw com dumynet
> > para
> > >  > controle de banda
> > >  >
> > >
> > > obrigado pela resposta Marcelo, mas o squid eu já uso para o conteúdo
> > > web. Eu queria controlar o uso de aplicativos como emule, msn, etc,
> > > independente da porta/ip usados. Algo como isto:
> > >
> > > http://l7-filter.sourceforge.net/protocols
> > >
> > > Poderia ser algo como:
> > >
> > > -> liberar msn para o 192.168.0.1
> > > # ipfw add 10 allow app msn from 192.168.0.1 to any layer7
> > >
> > > -> banda reduzida para p2p
> > > # ipfw add 20 pipe 1 app p2p any to any layer7
> > >
> > > Tentei eu mesmo fazer um filtro da seguinte forma: criei um programa
> > > ouvindo a porta 5000 (com "IPPROTO_DIVERT") e usei o ipfw para
> > > "divertar" (alguém traduza isto ;P) todo o tráfego para ele.
> > >
> > > # ipfw add 1 divert 5000 from any to any
> > >
> > > Isto funcionou bem, mas o problema é que o ipfw só repassa o cabeçalho
> > > do pacote, sem os dados. Só o cabeçalho, é útil para fazer um filtro
> > > L2/L3 (portas/ip/mac), mas é inútil para fazer um filtro L7 (ex.,
> > > procurar pela palavra "proto-x-donkey" nos dados).
> > >
> > >  > http://freebsd.rogness.net/snort_inline/
> > >
> > > O snort_inline usa o mesmo esquema que eu reproduzi. Como o ipfw só
> > > repassa cabeçalhos, o máximo que ele vai fazer é filtrar por
> > > ip/mac/porta, e não pelo conteúdo do pacote.
> > >
> > > Se alguém tiver mais alguma idéia...
> > >
> > > Sds,
> > > Daniel Loureiro.
> > >
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> > __________ Informação do NOD32 IMON 2681 (20071123) __________
> >
> > Esta mensagem foi verificada pelo NOD32 sistema antivírus
> > http://www.eset.com.br
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd