Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

filtri layer 7......non vanno! :(

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Mer Gen 28, 2009 11:53 am    Oggetto: filtri layer 7......non vanno! :( Rispondi citando

ho installato il firewall zeroshell virtualizzato da vmware. Ho configurato tutto ciò che mi occorre (2 schede di rete, server dns, dhcp ecc)
dal menu firewall riesco a bloccare tutto il traffico da ETH00 (rete interna) a ETH01 (rete esterna) impostando nel seguente modo:
http://img441.imageshack.us/my.php?image=immaginebz1.jpg
se però nelle regole del firewall aggiungo un layer 7 filter, questi ultimi non mi funzionano (ad esempio skype to skype ed altri) dove è che sbajo?
in quest ultimo caso le impostazioni sono le seguenti:
http://img136.imageshack.us/my.php?image=layer71bs8.jpg

date le regole degli l7 filter, come mostrato dalla foto sopra, il traffico passa tutto (compreso skype o ciò che vorrei bloccare) dove è che sbaglio? devo aggiungere qualche impostazione? grazie della disponibilità...
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Gen 28, 2009 7:22 pm    Oggetto: Rispondi citando

Quando usi i filtri L7 ti sconsiglio di usare nella stessa regola altri vincoli, perche' tali filtri usano il connection tracking. D'altra parte, bloccare Skype non e' un'operazione semplice neanche usando i Layer 7.
Quello che invece puoi fare è classificare il traffico Skype usando gli L7, ma invece di bloccare tale traffico usa il traffic shaping per farlo fluire su di una Classe QoS con banda massima di pochi kbit/s. Cosi' facendo Skype non tenterà di superare il firewall perche' tanto la connessione avviene subito, ma la qualità dell'audio sarà scadente.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Gio Gen 29, 2009 11:48 am    Oggetto: Rispondi citando

fulvio ha scritto:
Quando usi i filtri L7 ti sconsiglio di usare nella stessa regola altri vincoli, perche' tali filtri usano il connection tracking. D'altra parte, bloccare Skype non e' un'operazione semplice neanche usando i Layer 7.
Quello che invece puoi fare è classificare il traffico Skype usando gli L7, ma invece di bloccare tale traffico usa il traffic shaping per farlo fluire su di una Classe QoS con banda massima di pochi kbit/s. Cosi' facendo Skype non tenterà di superare il firewall perche' tanto la connessione avviene subito, ma la qualità dell'audio sarà scadente.

Ciao
Fulvio


Grazie della risposta Fulvio!
mi hai consigliato di non usare altri vincoli nella stessa regola se integro anche i layer7.... chevincoli dovrei togliere per far funzionare al maglio la regola (o regole in generale)?

Per il fatto della QeS mi sto documentando e sto riuscendo ad impostare le regole giuste! (aggoirnamento: minima banda massima impostabile: 1kb/s e con tale banda, la conversazione seppur non ottimamente, funziona lostesso)

1 ultima domanda.... se volessi bloccare solo determinati siti scelti da me, potrei usare i layer7? in tal caso con quale regola?

scusa le tante domande ma come avrei potuto constatare, sono 1 neofita di firewall!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Gen 29, 2009 8:00 pm    Oggetto: Rispondi citando

Prova a diminuire la banda assegnata a Skype a 0.5kbit/s.
Per bloccare i siti forse è preferibile abilitare il proxy trasparente e mettere le pagine che non vuoi siano raggiungibili nella blacklist.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Ven Gen 30, 2009 12:56 pm    Oggetto: Rispondi citando

meno di 1kb/s non mi fa impostare...se provo un valore + basso (tipo 0,5) mi dà errore d immissione.
questo sia se modifico sul class manager e sia se modifico la classe sull'interface manager.
sbaglio qualcosa?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 31, 2009 8:45 am    Oggetto: Rispondi citando

No non sei tu a sbagliare, ma io che ricordavo male. Quando scrissi l'interfaccia del QoS, una risoluzione minima di 1Kbit/s mi sembro' sufficiente.
Ma possibile che Skype con cosi' poca banda funziona bene? Sei sicurro che il traffico venga classificato correttamente? noti almeno una diminuzione della qualità dell'audio?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Sab Gen 31, 2009 10:54 am    Oggetto: Rispondi citando

la qualità dell'audio non è al top....ma il servizio và!
che la banda è limitata, sono sicuro inquanto c'è un controllo su skype che indica il carico sulla rete.

Esempio: faccio 1 chiamata ad un computer esterno, questo vede il traffico d skype in wodnload di 1kb/s (o meno) e in upload di 4-5 kb/s
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 31, 2009 2:28 pm    Oggetto: Rispondi citando

Perche' il traffico in upload di Skype e' maggiore di 1 kbit/s? forse no hai applicato la classe QoS per Skype sull interfaccia verso Internet?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Sab Gen 31, 2009 8:06 pm    Oggetto: Rispondi citando

grazie ancora della tua pazienza.....
ho interpretato male la guida o, si può diminuire il traffico in uscita e non in entrata? mi sbaglio? perchè se così fosse, è ciò che ho fatto io....
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 31, 2009 8:34 pm    Oggetto: Rispondi citando

Il traffico sottoposto a shaping e' sempre quello in uscita da un'interfaccia, ma, se l'interfaccia e' connessa verso la LAN, per i client, quello e' traffico in ingresso.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Sab Gen 31, 2009 8:50 pm    Oggetto: Rispondi citando

perciò se applico la regola ad entrambe le interfaccie, avrò una banda massima di 1 kb/s per skype...sia in upload che ni download...giusto?

aggiornamento: associata la regola ad entrambe le interfaccie ed ho la banda limitata sia in down che upload..!Very Happy
piano piano grazie al tuo aiuto sto risolvendo tutto!Very Happy
e giusto x approfondire la cosa, come mai non riesco ad abbattere proprio (con un reject o anche un drop) il servizio skype to skype dalle regole firewall? mi avevi dato 1 mezza riposta ma non ho ben capito! Sad
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Feb 01, 2009 10:00 am    Oggetto: Rispondi citando

Buona parte della popolarità di Skype è dovuta, oltre alla qualità dell'audio, alla sua capacità di ottenere la connessione ad ogni costo, qualunque sia la tipologia di rete in cui ci si trova (NAT, porte bloccate, ...). In altre parole, utilizza un sistema di connessione adattativo che, male che vada, usa le porte 80 e 443 TCP che generalmente vengono lasciate aperte per consentire il traffico http/https. A questo punto, e' chiaro che per individuare il traffico Skype sia necessario usare tecniche che fanno uso di DPI (Deep Packet Inspection), come i filtri Layer 7, che spostano i criteri di matching al livello applicativo (contenuto del payload) e non si basano solo sul trasporto (porte UDP/TCP).
Tuttavia, sembra che anche in questo caso Skype possa adattarsi (almeno per i pattern matching disponibili con i filtri L7 usati da Zeroshell).
Pertanto, l'unica soluzione facilmente praticabile, che e' la stessa che si usa nel caso del P2P, è di non tentare di bloccare totalmente il traffico Skype, perche' altrimenti riuscirebbe ad adattarsi, ma di limitarne la banda in modo da renderlo inutilizzabile. Cosi' facendo, Skype riesce ad ottenere la connessione e quindi non applica le efficaci tecniche adattive di cui è capace poiché non si rende conto, che la poca banda disponibile è dovuta a traffic shaping nei suoi confronti, invece che alla reale disponibilità sul canale trasmissivo.
Un problema che spesso si pone se un host e' connesso costantemente con Skype ed è dotato di un IP pubblico è che potrebbe agire da proxy per garantire la raggiungibilità dei client Skype che si trovano sotto NAT. In altre parole tale host diventa un Super Nodo Skype. Quando cio' avviene, tale host deve usare le sue risorse sia per mantenere una parte del database degli utenti online e fornirli su richiesta di altri client, sia per fare da relay del traffico di due interlocutori Skype che sono entrambi dietro NAT.
Ci sono diversi modi per ovviare a cio', tra cui configurare una chiave di registro nei sistemi Windows che impedisce la promozione a supernodo. A livello di firewall si potrebbe tentare di combinare i filtri Layer 7 insieme al numero massimo di connessioni provenienti da uno stesso host. Ma cio' non l'ho mai verificato.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
luc1988



Registrato: 27/01/09 12:32
Messaggi: 7

MessaggioInviato: Dom Feb 01, 2009 3:54 pm    Oggetto: Rispondi citando

sei stato come sempre esaustivo!
chiedo scusa se ti ho fatto perde tempo.....per adesso mi è tutto chiaro.... se ho altri interrogativi sò dove postare! grazie 1000 ancora!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it