Iptables + Layer7

melphos
(usa Debian)

Enviado em 23/10/2005 - 18:42h

Dando continuidade ao tópico antigo, iptables header/protocol, ai vai o link do projeto.
Estou homologando esta módulo, e assim que for tendo os resultados, posto aqui.
http://sourceforge.net/projects/l7-filter/

melphos
(usa Debian)

Enviado em 10/11/2005 - 10:10h

Então ... já estou na faze final dos teste.
Senti um pequena perda de performance no início dos teste, mas agora descobri o que era.
Estava colocando as regras do L7 muito genéricas, e assim ele analisava muita coisa que não deveria, causando um consumo maior na CPU.
Agora com regras mais específicas, está funcionando corretamente, não causando perda considerável na CPU.

Um abraço,
Ivan Santos

nixius
(usa Debian)

Enviado em 30/11/2005 - 13:20h

E ai grande...
Como andam seus testes?

melphos
(usa Debian)

Enviado em 30/11/2005 - 19:59h

Não andam mais, eheheh .. já está em produção.
A ferramenta é muito boa, como disse, há uma pequena perda de performance, mas nada que uma especificação mais detalhada de suas regras filtre o acesso indevido.

[]'s
Ivan

nixius
(usa Debian)

Enviado em 01/12/2005 - 11:27h

Não vai postar aqui pra galera?

melphos
(usa Debian)

Enviado em 01/12/2005 - 16:18h

Então ...
Podemos filtar as regras de várias maneiras.
Uma regra que pode causa um tráfego enorme, pode ser:
IPTABLES -A FORWARD -m layer7 --l7proto msnmessenger -d $LANNET -j DROP

Isso com certeza derrubaria o seu firewall.

Agora uma regra mais específica como por exemplo:
IPTABLES -A FORWARD -p tcp -m tcp -s <ip_da_rede> -i eth0 -o eth2 --dport 80 -m layer7 --l7proto msnmessenger -j DROP

esta regra causaria menos impacto em sua rede.

[]'s
Ivan

Ps: Estou fazendo um pequeno artigo, vou postar aqui na comunidade netfilter em breve.

nixius
(usa Debian)

Enviado em 02/12/2005 - 23:42h

Beleza...
Vou aguardar!!!
Obrigado