[FUG-BR] Filtro L7
Alessandro de Souza Rocha
etherlinkii em gmail.com
Quarta Outubro 3 17:37:34 BRT 2007
Em 03/10/07, Marcelo Soares da Costa<unixmafia em yahoo.com.br> escreveu:
> experimente usar fwd
>
> # regra tipica que redireciona o pacote para o squid
> ipfw add 900 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>
> Msn no squid basta bloquear uma dll , veja nos logs do squid , assim vc
> cria acl's para os lixos que usam a porta 80
>
> []'s
>
> Em Qua, 2007-10-03 às 16:06 -0300, Daniel Loureiro escreveu:
> > Marcelo Soares da Costa escreveu:
> > > Filtrar conteudo = squid
> > >
> > > snort me parece que vc procura , pode usar ainda ipfw com dumynet para
> > > controle de banda
> > >
> >
> > obrigado pela resposta Marcelo, mas o squid eu já uso para o conteúdo
> > web. Eu queria controlar o uso de aplicativos como emule, msn, etc,
> > independente da porta/ip usados. Algo como isto:
> >
> > http://l7-filter.sourceforge.net/protocols
> >
> > Poderia ser algo como:
> >
> > -> liberar msn para o 192.168.0.1
> > # ipfw add 10 allow app msn from 192.168.0.1 to any layer7
> >
> > -> banda reduzida para p2p
> > # ipfw add 20 pipe 1 app p2p any to any layer7
> >
> > Tentei eu mesmo fazer um filtro da seguinte forma: criei um programa
> > ouvindo a porta 5000 (com "IPPROTO_DIVERT") e usei o ipfw para
> > "divertar" (alguém traduza isto ;P) todo o tráfego para ele.
> >
> > # ipfw add 1 divert 5000 from any to any
> >
> > Isto funcionou bem, mas o problema é que o ipfw só repassa o cabeçalho
> > do pacote, sem os dados. Só o cabeçalho, é útil para fazer um filtro
> > L2/L3 (portas/ip/mac), mas é inútil para fazer um filtro L7 (ex.,
> > procurar pela palavra "proto-x-donkey" nos dados).
> >
> > > http://freebsd.rogness.net/snort_inline/
> >
> > O snort_inline usa o mesmo esquema que eu reproduzi. Como o ipfw só
> > repassa cabeçalhos, o máximo que ele vai fazer é filtrar por
> > ip/mac/porta, e não pelo conteúdo do pacote.
> >
> > Se alguém tiver mais alguma idéia...
> >
> > Sds,
> > Daniel Loureiro.
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
quando quero bloquear msn e liberar apenas para um ip tipo so i ip
192.168.0.2 vai ter acesso ao msn uso esta regra o resto fica tudo
bloqueado
ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.2 to not
192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 1863
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
Mais detalhes sobre a lista de discussão freebsd