[FUG-BR] Filtro L7

[Marcelo Soares da Costa]

experimente usar fwd

# regra tipica que redireciona o pacote para o squid
ipfw add 900 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80

Msn no squid basta bloquear uma dll , veja nos logs do squid , assim vc
cria acl's para os lixos que usam a porta 80

[]'s

Em Qua, 2007-10-03 às 16:06 -0300, Daniel Loureiro escreveu:
> Marcelo Soares da Costa escreveu:
>  > Filtrar conteudo = squid
>  >
>  > snort me parece que vc procura , pode usar ainda ipfw com dumynet para
>  > controle de banda
>  >
> 
> obrigado pela resposta Marcelo, mas o squid eu já uso para o conteúdo 
> web. Eu queria controlar o uso de aplicativos como emule, msn, etc, 
> independente da porta/ip usados. Algo como isto:
> 
> http://l7-filter.sourceforge.net/protocols
> 
> Poderia ser algo como:
> 
> -> liberar msn para o 192.168.0.1
> # ipfw add 10 allow app msn from 192.168.0.1 to any layer7
> 
> -> banda reduzida para p2p
> # ipfw add 20 pipe 1 app p2p any to any layer7
> 
> Tentei eu mesmo fazer um filtro da seguinte forma: criei um programa 
> ouvindo a porta 5000 (com "IPPROTO_DIVERT") e usei o ipfw para 
> "divertar" (alguém traduza isto ;P) todo o tráfego para ele.
> 
> # ipfw add 1 divert 5000 from any to any
> 
> Isto funcionou bem, mas o problema é que o ipfw só repassa o cabeçalho 
> do pacote, sem os dados. Só o cabeçalho, é útil para fazer um filtro 
> L2/L3 (portas/ip/mac), mas é inútil para fazer um filtro L7 (ex., 
> procurar pela palavra "proto-x-donkey" nos dados).
> 
>  > http://freebsd.rogness.net/snort_inline/
> 
> O snort_inline usa o mesmo esquema que eu reproduzi. Como o ipfw só 
> repassa cabeçalhos, o máximo que ele vai fazer é filtrar por 
> ip/mac/porta, e não pelo conteúdo do pacote.
> 
> Se alguém tiver mais alguma idéia...
> 
> Sds,
> Daniel Loureiro.
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd