View previous topic :: View next topic |
Author |
Message |
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Fri Mar 15, 2013 3:08 am Post subject: [Iptables] Layer7 en iptables |
|
|
Buenas!
La cuestion viene asi, tengo un firewall, corriendo con iptables con politica drop, donde cerre el 443, solo se abre para los lugares que yo le digo, pero como skype usa el 443 contra otras redes (infinita cantidad de redes variables, las de los usuarios del otro lado) si cierro el 443 como hice tambien cierro a Skype.
Quisiera saber si hay algo, algo para iptables o algun firewall grafico que maneje protocolos de capa 7, no me refiero a icmp o tcp sino a protocolos tipo p2p, skype, y demas aplicaciones por demas molestas para abrir algunas y cerrar otras.
En una epoca funcionó Layer7 en iptables, pacheando de todo, pero aunque eso funciona, solo camina hasta el kernel 2.6.36, y eso fue hace como 2 años, y ademas es complicado de hacer andar en instalaciones nuevas, por el kernel, porque no puedo actualizar, vulnerabilidades, etc.
El problema de abrir libremente https es el ultrasurf, y demas saltadores de proxy, entre otras cosas. Por eso opte por cerrarlo y abrirlo solo para gmail, bancos y aplicaciones que quiero se utilicen.
Espero se entienda y les agradezco la lectura y cualquier clase de ayuda.
Saludos para todos. _________________ Sin lluvia nunca disfrutariamos del arcoiris. |
|
Back to top |
|
|
ZaPa l33t
Joined: 13 Feb 2007 Posts: 822
|
Posted: Mon Apr 01, 2013 8:55 pm Post subject: |
|
|
Hola y bienvenido al club!
Yo tambien fuí una vicima del atraso con la compatibilidad con los nuevos kernel con L7.
Pero te comento, varias alternativas:
- Puedes utilizar brazilfw. Distribución Linux pensada para realizar todo tipo de tareas de enrutado y bridge.
- Utilizar equipos Mikrotik Routerboard como bridge para que marquen el trafico L7 que tu especifiques. MK ya trae L7 funcionando, solo tienes que configurarlo.
Con estas 2 opciones, lo que se conseguiria es marcar el paquete en el bridge y en tu router/firewall tratarlo como quieras (ya que ya tendrias la marca realizada).
PD: Si vas a probar con brazilfw, no instales esta distro con L7 en un pc muy antiguo, ya que es conocido que L7 consume algo de CPU.
Un saludo. _________________ --
http://www.monovarlinux.org. Información y experiencias con linux, especialmente con Gentoo.
Last edited by ZaPa on Fri Apr 05, 2013 8:05 pm; edited 1 time in total |
|
Back to top |
|
|
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Thu Apr 04, 2013 2:46 pm Post subject: |
|
|
Zapa, gracias por la respuesta.
Estoy viendo BrazilFW pero me gusta hacer las cosas a mano, donde maneje cada linea, y no tengo nada contra ellos, pero Gentoo es donde hoy corren las cosas y deseo siga siendolo. Layer 7 parece haber quedado en el tiempo y no encuentro forma de hacerlo andar como corresponde. _________________ Sin lluvia nunca disfrutariamos del arcoiris. |
|
Back to top |
|
|
ZaPa l33t
Joined: 13 Feb 2007 Posts: 822
|
Posted: Fri Apr 05, 2013 8:06 pm Post subject: |
|
|
Hola.
Brazilfw tiene una administración web, pero tambien se puede realizar todo tipo de administración via shell. Esta distribución es un linux normal y corriente, con el kernel compatible con Layer 7.
Si esa alternativa no te es válida, utiliza entonces Mikrotik para marcar el trafico y despues en tu router/firewall lo clasificas.
Un saludo. _________________ --
http://www.monovarlinux.org. Información y experiencias con linux, especialmente con Gentoo. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|