iptables layer7 problem

[boba23]

Hi,

ich nutze ein aktuelles trunk build svn 4061.
Wollte iptables mit layer7 support testen, hab auch denke ich alles in menuconfig drin was benötigt wird.
Module ist auch auf der shell da und ich kann es manuell laden:

$ lsmod | grep layer7
ipt_layer7 12892 0
ip_conntrack 46260 1 ipt_layer7
x_tables 13427 1 ipt_layer7

jedoch krieg ich bei:

iptables -m layer7

iptables v1.4.1.1: Couldn't load match `layer7':File not found

ipp2p scheint zu funktionieren, jedoch scheint dies nicht in der lage zu sein bittorrent traffic zu filtern, hab ich getestet aber bt clients funktionierten immer noch ....

boba

 

[RalfFriedl]

Du brauchst außer dem Kernel-Modul noch die entsprechende Datei für das iptables-Programm, um die Regel zu erstellen.

Suche mal im Verzeichnis source/iptables* nach einer Datei *layer7.so.

 

[cando]

Lies Dir die Beschreibung durch.

http://l7-filter.sourceforge.net/HOWTO-kernel

Falls Du danach immer noch auf Layer7 filtern willst, dann musst Du die libxt_layer7.so erstellen oder die Pattern Datei hinterlegen und addressieren, wie beschrieben.

Die Layer7 Filterei ist unzuverlässig und kann zu Crashes oder zu falschen Ergebnissen führen. Besser ist es auf niedrigeren Protokollschichten zu filtern (Layer3 - auf IP Ebene mit IP Adressen und Ports).

 

[boba23]

Klar prinzipiell stimm ich dir zu. Aber kennst du en zuverlässigen weg bittorrent auf layer3 zu filtern? Wohlgemerkt ohne eine default policy von DENY. Die kommt aus anderen Gründen nicht in Frage. Also kann ich nur ausgewählte Ports sperren. Was ich gelesen hab sind die BT clients aber mittlerweile so flexibel, dass sie nicht an feste ports gebunden sind oder?

boba

 

[Silent-Tears]

So wie ich das sehe, hat das recht wenig noch mit Freetz zu tun. Aber dennoch: Schau dich in einschlägigen Foren um, wie du dein Netz absicherst mit iptables.
Default DENY ist aber ein wirklich sinniger Weg, ehrlich gesagt. Wenn du dasn icht willst: Dein Problem.

 

[cando]

Kommt drauf an, gegen wen Du kämpfst, was der drauf hat und welche Mittel Du zur Verfügung hast.

Auf den PC's kann man mit Policies + Firewallregeln als Administrator die User einschränken - bis hin zum Lock-Down des PC's auf Ausführrechte nur für freigegebene Programme.

Bedenke auch die ganzen Tunnelprotokolle (insbesondere die ipv6: Teredo / SixxS...), die Du mit deiner Firewall gar nicht abfängst - die sind für Torrents ideal.

Torrents verschlüsseln mittlerweile auch den Headertraffic, so dass Du auf dem Router nur statistische Methoden anwenden kannst, da Du die Daten Inhalte des Verkehrs nicht lesen kannst - da nutzt Dir der v7 Filter auch nichts.