[FUG-BR] Filtro L7

[Daniel Loureiro]

Marcelo Soares da Costa escreveu:
 > Filtrar conteudo = squid
 >
 > snort me parece que vc procura , pode usar ainda ipfw com dumynet para
 > controle de banda
 >

obrigado pela resposta Marcelo, mas o squid eu já uso para o conteúdo 
web. Eu queria controlar o uso de aplicativos como emule, msn, etc, 
independente da porta/ip usados. Algo como isto:

http://l7-filter.sourceforge.net/protocols

Poderia ser algo como:

-> liberar msn para o 192.168.0.1
# ipfw add 10 allow app msn from 192.168.0.1 to any layer7

-> banda reduzida para p2p
# ipfw add 20 pipe 1 app p2p any to any layer7

Tentei eu mesmo fazer um filtro da seguinte forma: criei um programa 
ouvindo a porta 5000 (com "IPPROTO_DIVERT") e usei o ipfw para 
"divertar" (alguém traduza isto ;P) todo o tráfego para ele.

# ipfw add 1 divert 5000 from any to any

Isto funcionou bem, mas o problema é que o ipfw só repassa o cabeçalho 
do pacote, sem os dados. Só o cabeçalho, é útil para fazer um filtro 
L2/L3 (portas/ip/mac), mas é inútil para fazer um filtro L7 (ex., 
procurar pela palavra "proto-x-donkey" nos dados).

 > http://freebsd.rogness.net/snort_inline/

O snort_inline usa o mesmo esquema que eu reproduzi. Como o ipfw só 
repassa cabeçalhos, o máximo que ele vai fazer é filtrar por 
ip/mac/porta, e não pelo conteúdo do pacote.

Se alguém tiver mais alguma idéia...

Sds,
Daniel Loureiro.

-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : daniel.vcf
Tipo  : text/x-vcard
Tam   : 195 bytes
Descr.: não disponível
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20071003/8612ebd4/attachment.vcf