http://www.zago.eti.br/firewall/regras-por-string.txt FAQ e dicas sobre o uso de regras por string no iptables. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** L7-filter HOWTO http://l7-filter.sourceforge.net/HOWTO ******************************************************** FILTROS http://www.lowth.com/howto/iptables-treasures.php Em ingles, tem dicas e exemplos de configuração do iptables pra aplicar filtros por "string", "tempo", por faixa de IP e redirecionamentos e etc..., http://www.netfilter.org/documentation/FAQ/netfilter-faq-1.html#ss1.5 What is this patch-o-matic all about and how do I use it? http://www.slackwarenaveia.org/modules.php?name=Sections&op=printpage&artid=281 Tutorial sobre instalação do módulo iptables-p2p para iptables, para bloqueio de tráfego de aplicações p2p, como edonkey. O tutorial é pro Slack, não informa pra qual versão. ******************************************************** ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Dúvidas sobre o novo Kernel 2.6 Data:  Tue, 3 Aug 2004 17:30:32 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Leonardo Pinto wrote: >Então o iptables incorporou nele o >ip_nat_h323/ip_conntrack_h323, como assim??? Sempre esteve no iptables. Mas ele continua fora do kernel. Se você quer, pegue os drivers que vêm no iptables, incorpore ao kernel usando o patch-o-matic e recompile. >Pois realmente não achei esses caras no CL10... - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************** De:  William da Rocha Lima Para:  Lista Linux Br Cc:  honeypot-br@yahoogrupos.com.br Assunto:  (linux-br) Implemente e Configure o seu Linux com IPTABLES - Revisão 1.2 Data:  Sat, 12 Jul 2003 01:05:20 -0300 Implemente e Configure o seu Linux com IPTABLES - Revisão 1.2 Srs. Usuários, Neste artigo você saberá a importância do firewall, softwares de firewall para Linux, firewalls conforme o kernel, Regras de firewall, Políticas do IPtables, exemplos do firewall, redirecionamento correto de portas, para você que tenha algum problema com redirecionamento como de smtp e ele fica com relay aberto. Usando String match para bloquear kazaa lite e deseja evitar que worms com código arbitrários que usam o comando cmd.exe, Ruleset semi pronto para usar. Ler Artigo: http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=21 ******************************************************** De:  Rubens luiz Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Modulo Suporte a Strting para iptables - onde baixar ? Data:  Tue, 7 Oct 2003 02:04:51 -0300 (ART) No propio site da netfilter.org tem, ele é o patch o matic POM para os intimos, ele requer recompilação de kernel.... cpr.linux@br.inter.net escreveu: > Ola a todos..... > > Alguem saberia onde posso baixar o modulo que dá > suporte a filtrar pacotes > que contem determinada string com iptables ? > > ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Wendell Almeida Silva Assunto:  Re: (linux-br)Problemas ao utilizar o módulo string noiptables Data:  Mon, 5 Jul 2004 20:44:03 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Wendell Almeida Silva wrote: >Salve! > >Estou querendo utilizar a seguinte regra no iptables-1.2.7a-26694cl do >Conectiva 9: >iptables -A INPUT -m string --string "X-Kazaa" -j DROP. > >No entanto ela não é aceita retornando a seguinte mensagem: >iptables v1.2.7a: Couldn't load match >`string':/usr/lib/iptables/libipt_string.so: cannot open shared object > file: No such file or directory > >Como eu posso corrigir esse problema? Recompile o seu kernel e o seu iptables aplicando o patch-o-matic do módulo string. O kernel padrão do CL9 não vem com ele: # rpm -qlp iptables-1.2.7a-26694cl.i386.rpm | grep libipt_string [nada] - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************** De:  "Anselmo de A. Guimarães" Para:  Guerreiro - Linux Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)patch-o-matic iptables. Data:  Wed, 24 Nov 2004 15:37:04 -0500 Guerreiro, http://www.guiadohardware.net/artigos/300/ http://www.linuxsecurity.com/feature_stories/feature_story-148.html http://www.fifi.org/doc/iptables-dev/html/netfilter-extensions-HOWTO-2.html Saudações, Anselmo Guimarães Ola > > Lista. > > Alguem da lista que ja tenho instalado este patch no cl10, poderia me > dar uma orientação de como fazer isto? > > Obrigado. > Devair ******************************************************** De: scsantos at unigranrio com br Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)bloqueio por horário no firewall Data: Thu, 03 Feb 2005 07:32:08 -0200 Bom, nunca precisei da regra mas leio o seguinte rejeitar todos pacotes de estabelecimento de conexão tcp porta 80 de destino (navegação na internet) entre 04:00 e 06:30 as sexta-feiras. Certo ? Na verdade acho que este exemplo é sem lógica, esta regra deveria estar no forward. no caso do masquerade. Se estiver errado me corrijam por favor. iptables -A INPUT -p tcp -d 80 -m time \ --timestart 04:00 --timestop 06:30 --days Fri \ --syn -j REJECT Um fraterno abraço e um próspero 2005!!! Silvio Cesar L. dos Santos Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO (o_ //\ - Software Livre - V_/_ conhecimento ao alcance de todos Rafael Nery escreveu: > scsantos at unigranrio com br escreveu: > >> Segue, >> >> iptables -A INPUT -p tcp -d 80 -m time \ >> --timestart 04:00 --timestop 06:30 --days Fri \ >> --syn -j REJECT >> >> Este material tirei do meu bookmark, e o site é o seguinte: >> http://www.lowth.com/howto/iptables-treasures.php >> >> Um fraterno abraço e um próspero 2005!!! >> >> Silvio Cesar L. dos Santos >> Divisão de Tecnologia da Informação >> Universidade do Grande Rio - UNIGRANRIO >> >> (o_ >> //\ - Software Livre - >> V_/_ conhecimento ao alcance de todos >> >> > Obrigado... mas me ajuda entender... vc está rejeitando entrada para > porta 80 das 4 as 6:30 da manhã sexta feira? > ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Rafael Nery Cc: Linux-BR (E-mail) Assunto: Re: (linux-br)bloqueio por horário no firewall Data: Wed, 2 Feb 2005 10:30:56 -0300 Olá, > Existe alguma forma de fazer bloqueio de acessos pelo firewall por > horário.. eu sei que pelo squid tem como mas gostaria de saber pleo fw. > rafael. Bota na crontab. :-) Se não me engano no POM tem um patch pra isso. Abraço! Alejandro Flores ******************************************************** De: Djames Suhanko Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)ajuda com log Data: Sun, 26 Jun 2005 14:09:00 -0300 Olá ! Experimente a layer7 do iptables: http://www.pczone.com.br/site/index.php?option=com_content&task=view&id=151&Itemid=27 Em Dom 26 Jun 2005 12:55, Marcus Vincius Gonçalves escreveu: > ...Não consegui ainda, eliminar a baixa de músicas pelo limewire/kazaa... -- Djames Suhanko - LinuxUser 158.760 ******************************************************** De: Faria Responder A: Faria Para: Rafael Nery Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Aplicando Patches Netfilter no Kernel 2.6 Data: Mon, 15 Aug 2005 10:56:42 -0300 Rafael, cd /usr/src/redhat/SOURCE tar xvfj patch-o-matic-20030107.tar.bz2 cd patch-o-matic-20030107 KERNEL_DIR=/usr/src/linux-2.4.29 sh runme extra/string.patch obs : cheque se o patch foi aplicado com sucesso. Essa versão do path-o-matic , roda somente no kernel de versao 2.4 Tenho que descobrir como fazer isso no kernel versao 2.6 Espero ter ajudado, Rodrigo Faria Tavares e-mail : rodrigofariat@yahoo.com.br Analista de Suporte Linux > Olá! > Desculpe eu entrar no seu assunto... mas eu nunca consegui aplicar um > path.. > vc poderia me dizer como vc fez... como vc fez essa aplicação do path que > está funcionando. > Obrigado, > Rafael. ******************************************************** De: Alejandro Flores Para: Valcir Borges Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Modulo string no iptables Data: Thu, 18 Aug 2005 09:07:56 -0300 Olá, > Olá grupo, boa tarde! > Uso a distro Red Hat 9 com iptables e preciso implementar o uso do > módulo string, porém quando vou inserir a regra, tipo: #iptables -A > INPUT -m string --string "STRING A SER ANALIZADA" -j DROP, ele retorna > um erro avisando que o módulo libipt_string.so não existe no caminho > /lib/iptables/, e de fato não existe mesmo. > Como faço para implementar esse módulo e fazer o kernel reconhecer ele > ? (só copiar não resolveu) O Módulo string não faz parte por padrão do netfilter/iptables. O Netfilter/IPTABLES se divide em duas partes. O netfilter é o código que fica no Kernel, e o iptables é a ferramenta utilizada para manipular as regras, e aplica-las junto ao netfilter. Quando você vai utilizar um recurso extra no iptables como o móduglo string match, você precisa aplicar um patch tanto no código fonte do kernel, quanto no código fonte do iptables. Depois recompilar e só então você poderá utilizar. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ De: Felipe Martins Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Modulo string no iptables Data: Thu, 18 Aug 2005 11:00:02 -0300 Faça o seguinte, entre em sua compilação do kernel e habilite o libipt_string.so como modulo volte ao console e recompile os modulos com: # make modules && make modules_install Depois digite o comando : # modprobe libipt_string Lembre-se de olhar primeiramente o /lib/iptables, para verificar se realmente o modulo compilado foi para lá ... Se depois do modprobe o modulo levantar normalmente, então tudo funcionou a contento. Não esqueca de incluir este modulo em suas configurações de modulo no /etc/modules.conf Se possível compile o kernel com os módulos mais usados como Builtin. Espero ter ajudado. -- Felipe Martins Mundivox Communications Tecnologia e Projetos fmartins@mundivox.com Tel.: +55 +21 +3820 8839 Cel.: +55 +21 +9823 8602 Fax.: +55 +21 +3820 8844 www.mundivox.com ******************************************************** De: Everton Lima Horst Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Barrando Kazaa Data: Tue, 20 Sep 2005 16:39:17 -0300 olá amigo, bom, voce pode estar bloqueando ele, atraves do P-O-M (Patch-o-Matic), funciona perfeito pois eu uso, mas tem um detalhe, ele bloqueia aqui, apenas o Kazaa e o Shareaza.. LimeWire, Edonkey, Bit-torrent e outros, nao bloqueia.. mas se o forte na tua rede é o Kazaa, manda ver !! Abaixo as regras do Iptables, para o P-O-M iptables -A FORWARD -m string --string "X-Kazaa-Username:" -j DROP iptables -A FORWARD -m string --string "X-Kazaa-Network:" -j DROP iptables -A FORWARD -m string --string "X-Kazaa-IP:" -j DROP iptables -A FORWARD -m string --string "X-Kazaa-SupernodeIP:" -j DROP iptables -A FORWARD -m p2p -j DROP a parte ruim da coisa, é compilar o P-O-M, mas se tive uma maquina boa, e ler com calma o README, consegue beleza.. eu tentei e nao tive mt sucesso, ai um amigo e eu fussamos e instalamos, baixamos o seguinte pacote, em um RH9 http://ftp.netfilter.org/pub/patch-o-matic-ng/patch-o-matic-ng-20040621.tar. bz2 Dica.. Estou estudando o Layer7, conheço pessoas q usam e ja vi o desempenho do negocio, funciona super bem... vale a pena pesquisar... http://l7-filter.sourceforge.net/ Um forte abraço Everton --------- Bage-RS > Abaixo segue a regra que estou usando aki para tentar bloquear o kazaa, > so que não esta funcionando, alguem conhece alguma regra eficiente que > possa barrar o kazaa pelo iptables > iptables -A FORWARD -d 213.248.112.0/24 -j REJECT > iptables -A FORWARD -p TCP --dport 1214 -j REJECT > > Desde ja agradeço ******************************************************** De: Adriano Frare Responder a: alfrare@e-alinux.com Para: Andre Luiz da Silva Cc: linux-br Assunto: Re: (linux-br) Bate-Papo do Gmail Data: Thu, 28 Sep 2006 00:34:11 -0300 Eu utilizo esta função. for ipaddr in $( host chatenabled.mail.google.com | awk '( / has address / ) { print $NF } ' ) do $IPTABLES -A FORWARD -d $ipaddr -j DROP done Adriano ******************************************************** ********************************************************