[FUG-BR] Filtro L7

Alessandro de Souza Rocha etherlinkii em gmail.com
Quarta Outubro 3 15:37:41 BRT 2007


Em 03/10/07, Marcelo Soares da Costa<unixmafia em yahoo.com.br> escreveu:
> Filtrar conteudo = squid
>
> snort me parece que vc procura , pode usar ainda ipfw com dumynet para
> controle de banda
>
> http://freebsd.rogness.net/snort_inline/
>
> []'s
>
> Em Qua, 2007-10-03 às 14:29 -0300, Daniel Loureiro escreveu:
> > Bom dia,
> >
> > sou iniciante no FreeBSD, e gostaria de fazer filtragem na camada 7.
> > Ex.: dar uma certa banda para emails, bloquear msn para alguns ips,
> > fazer gráficos por protocolo, etc. No linux eu uso o iptables +
> > filter-l7, mas no freeBSD eu não achei nada parecido.
> >
> > Eu sei que é possível fazer isso na camada 3, usando portas e ips que
> > estes programas usam, mas acho isso muito "gambiarrado" e frágil.
> > Afinal, se eu faço shaping em uma porta, o usuário pode usar outra.
> >
> > Perguntando ao Google, ele me mostrou uma mensagem antiga dos
> > desenvolvedores do ipfw dizendo que não implementariam layer 7 pois
> > seria algo baseado em expressões regulares, o que, além de ser lento,
> > poderia dar falsos-positivos ou falsos-negativos.
> >
> > Porém, eu já trabalhei com o filter-l7 do linux e sei que funciona muito
> > bem. Além disso, dado o poder atual dos processadores, esta métdo não
> > interfere na velocidade de transmissão.
> >
> > Entre as hipóteses que pesquisei:
> > * netgraph: achei muito complexo, praticamente precisa ter que programá-lo.
> > * ipfw + divert: não dá, o ipfw pega só o cabeçalho do protocolo, assim,
> > não tem o que eu filtrar.
> > * snort_inline: usa o mecanismo acima, e portanto em nível L2/L3;
> > * hackear o ipfw: complexo, mas parece mais simples que usar o netgraph;
> > * ipfw + pipes: é possível usar pipes para enviar tráfego para meu
> > programa ? o ipfw envia os dados para o pipe ou só o cabeçalho ?
> >
> > Enfim, alguém já teve uma experiência deste tipo, ou tem alguma idéia ?
> >
> > Sds,
> > Daniel Loureiro.
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
questao do FreeBSD con filtro L7 tem como sim ipfw_ng so que tem um
e-mail do patrick dizendo que e tipo programacao e muito complicado.

-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117


Mais detalhes sobre a lista de discussão freebsd