Valcir Borges wrote: > Juliano, obrigado mais uma vez pelas dicas, Denada!
> Dê uma olhada em http://l7-filter.sourceforge.net é uma das únicas formas > que encontrei, com eficiência, para bloquear P2P, msn, skype, etc, por ele > atuar na camada 7. Ah, esse... Dê uma olhada no readme dele: http://l7-filter.sourceforge.net/README There are currently two versions of l7-filter: * Kernel version. This version is old and well tested, but it is complicated to install and seems to cause SMP systems to crash. It can only use fairly simple regular expressions. (...) * Userspace version. This version is in the early stages of development, but it is relatively easy to install and cannot crash your system. It can use full grep-style GNU regular expressions. It will probably become the prefered version in the near future, but is not yet mature enough for use in critical systems. (...) Esse l7-filter já deu muita dor-de-cabeça para várias distros, tanto que foi banido do Fedora, justamente por ser implementado da forma errada. Agora parece que eles estão refazendo a coisa da forma correta, em userspace. Talvez deva esperar a versão userspace amadurecer. >> Poderia dar exemplos? Exemplo de um driver de interface de rede que exija >> patch diretamente no núcleo do kernel? > > Não exigiu patch diretamente no núcleo, mas compilou somente nesse kernel > baixado do próprio site do centos, parece ser incompatível com alguns > arquivos dentro da árvore de um fonte baixado do site oficial. Um exemplo > são os drivers de lan Attansic que acompanha placas Asus P5GC. Alguns drivers precisam de versões específicas do kernel. Já instalei uma interface skynet2 gigabit (sk98lin), e a única coisa que precisei foi aquilo que eu disse: kernel-headers e kernel-devel. Mesma coisa com os drivers da nVidia e do VirtualBox. > Se tiver outra alternativa para fazer o que o layer7 faz e que acompanha o > netfilter favor me informar. Open source, a única alternativa que tem, que eu conheço, é essa mesma. Note que o iptables tem um target "string" que serve para fazer uma inspeção simples de conteúdo em L7. Havia um projeto que colecionava regras comuns para essa finalidade (não estou achando agora). Para bloquear MSN, você não precisa de L7, basta bloquear o bloco de IPs dos servidores MSN da Microsoft (deve ser fácil achar no Google). Se o cliente não consegue fazer login, ele não consegue fazer mais nada. A menos que você gerencie a rede tipo de uma universidade, onde você não tem muito controle sobre os usuários, eu recomendo tomar outra postura, por experiência própria: use meios políticos. Bloquear P2P é uma briga de gato e rato. Você vai gastar muito tempo e dinheiro tentando bloquear, enquanto os desenvolvedores de P2P continuam ganhando dinheiro contornando os bloqueios. Se for uma empresa, é melhor apenas detectar o tráfego P2P (que dá para fazer com Wireshark mais um monitoramento dos computadores dos suspeitos) e então dar suspensão ou demissão por justa causa para aqueles que forem pegos. Depois do terceiro ou quarto funcionário demitido, o povo se toca que o administrador não é burro, e pára de usar P2P. -- Juliano F. Ravasi ·· http://juliano.info/ 5105 46CC B2B7 F0CD 5F47 E740 72CA 54F4 DF37 9E96 "A candle loses nothing by lighting another candle." -- Erin Majors * NOTE: Don't try to reach me through this address, use "contact@" instead. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
