[GTER] Layer7 x Skype

Wagner Santos wagnerpaxs at gmail.com
Thu Jul 2 15:17:07 -03 2009 

Carlos,

Valeu a dica então, vou tentar montar uma outra máquina com o CentOS e
compilar o Kernel 2.6.29 ou 2.6.30 com o Iptables mais recente.

Qualquer coisa informo aqui. Obrigado.

2009/7/2 Carlos Eduardo Langoni <ce.langoni at gmail.com>

> Wagner,
>
> Eu tive alguns problemas com o kernel 2.6.28 e iptables anteriores a 1.4.
> Minha infra é 100% debian (pelo menos a parte que sou responsável) e o
> funcionamento está tranquilo.
>
> Te aconselho a utilizar uma versão do iptables mais nova para testes
> (sem contar nas melhorias das versões).
>
> Se precisar de alguma coisa me avise
>
> 2009/7/2 Wagner Santos <wagnerpaxs at gmail.com>:
> > Carlos,
> >
> > Minha Infra é com CentOS (padrão da empresa), Estou utilizando o Kernel
> > 2.6.28.10, com iptables 1.3.5 (recompilei os pacotes para ativar o
> suporte
> > ao L7).
> >
> > Estou recebendo a mensagem: kernel: layer7: couldn't get conntrack.
> >
> > Alguma idéia?
> >
> > 2009/6/30 Carlos Eduardo Langoni <ce.langoni at gmail.com>
> >
> >> Wagner,
> >>
> >> Qual versão de kernel, iptables e layer7 você está utilizando?
> >> Eu acabei de implementar um kernel 2.6.28+iptables 1.4.1.1 e layer7
> >> 2.21 e, pelo menos no bloqueio, está funcionando direitinho.
> >> Fiz tudo para debia etch e tenho os pacotes .deb prontos aqui,
> >> acredito que funcione no lenny também, mas ainda não testei.
> >>
> >> Se quiser testar me avisa que eu te mando os pacotes.
> >>
> >> Abraços
> >> Carlos
> >>
> >> 2009/6/26 Flavio Junior <billpp at gmail.com>:
> >> > Sim, sem nenhum problemas (alem dos "possiveis" com a liberaçao)
> >> >
> >> > --
> >> >
> >> > Flávio do Carmo Júnior aka waKKu
> >> >
> >> > 2009/6/26 Wagner Santos <wagnerpaxs at gmail.com>
> >> >
> >> >> Flávio,
> >> >>
> >> >> Nessa tua solução tu consegue falar com quem está fora da tua LAN?
> Pois
> >> >> aqui
> >> >> o Skype funciona bem para dentro da própria LAN, já fora, ele começa
> >> >> listando quem está online, depois o pessoal cai todinho,
> repentinamente
> >> >> volta a lista mas ao final, ninguém fala com quem está fora.
> >> >>
> >> >> 2009/6/26 Flavio Junior <billpp at gmail.com>
> >> >>
> >> >> > Olha.. sinceramente nao sei te dizer se o skype vai funcionar, se o
> >> teu
> >> >> > proxy nao permitir...
> >> >> >
> >> >> > Aqui eu tenho um cenario parecido, firewall em DROP e proxy em
> DENY..
> >> So
> >> >> > libero o que é realmente necessario.
> >> >> >
> >> >> > A unica (e HORRIVEL) forma que consigo fazer o skype funcionar BEM
> >> >> > (conectar
> >> >> > nao basta, enviar mensagens sera sempre um problema) é liberando no
> >> proxy
> >> >> a
> >> >> > conexao HTTPS para IP's.
> >> >> >
> >> >> > Como citei, é uma soluçao horrivel, vai contra toda minha ideia de
> >> >> politica
> >> >> > de DROP no proxy.. Mas mantenho meus relatorios sempre atualizados
> e
> >> vejo
> >> >> > que na minha rede, ninguem ta abusando dessa "caracteristica" de
> >> acesso.
> >> >> > Até
> >> >> > por que é complicado navegar em sites usando somente o IP, o site
> tem
> >> que
> >> >> > permitir isso ou tu usar um "firebug" da vida pra ficar alteradno
> os
> >> >> > hiperlinks, e ainda esse destino tem q estar disponivel pra HTTPS
> >> tambem.
> >> >> >
> >> >> > Bom, a linha é a seguinte:
> >> >> > squid.conf:
> >> >> > acl whitelist url_regex -i "/etc/squid/whitelist.lst"
> >> >> > # Impedindo o squidGuard de ser chamado para a whitelist
> >> >> > redirector_access allow !whitelist !bannedsources
> >> >> > http_access deny bannedsources !whitelist
> >> >> > http_access allow whitelist
> >> >> >
> >> >> > /etc/squid/whitelist.lst:
> >> >> > # Unica forma que encontrei de fazer o skype funcionar DECENTEMENTE
> >> foi:
> >> >> > # Liberar conexoes SSL (porta 443) a destinos no formato IP.
> >> >> > # Isso e horrivel!
> >> >> > ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:443$
> >> >> >
> >> >> >
> >> >> > Mantive até os comentarios originais ;)
> >> >> >
> >> >> > --
> >> >> >
> >> >> > Flávio do Carmo Júnior aka waKKu
> >> >> >
> >> >> >
> >> >> > 2009/6/18 Wagner Santos <wagnerpaxs at gmail.com>
> >> >> >
> >> >> > > Car at s,
> >> >> > >
> >> >> > > Tenho um firewall Linux com iptables, onde nossas políticas
> padrões
> >> são
> >> >> > > todas DROP (INPUT, FORWARD e OUTPUT). Tudo funciona bem, exceto o
> >> Skype
> >> >> > > (preciso que o Skype funcione para toda a rede). Tenho tudo
> >> devidamente
> >> >> > > compilado e instalado porém o Layer7 está me retornado a seguinte
> >> >> > mensagem:
> >> >> > >
> >> >> > > "layer7: couldn't get conntrack."
> >> >> > >
> >> >> > > Já fiz várias pesquisas mas não encontrei nenhuma solução,
> inclusive
> >> >> > > pesquisei aqui na lista, mas não encontrei nada.
> >> >> > >
> >> >> > > Alguém já passou por isso?
> >> >> > >
> >> >> > > --
> >> >> > > Wagner Santos
> >> >> > > 81 9127 9823 / 81 8781 9823
> >> >> > >
> >> >> > > wagnerpaxs @NOSPAM gmail.com
> >> >> > > wagner @NOSPAM dotlinux.net
> >> >> > >
> >> >> > > ICQ: 83709017 | Jabber: xwindow at jabber.org
> >> >> > >
> >> >> > > Linux User #408917
> >> >> > > DotLinux.Net - http://www.dotlinux.net/
> >> >> > > Debian-PE <http://www.dotlinux.net/%0ADebian-PE>    -
> >> >> > > http://pe.debianbrasil.org/
> >> >> > > --
> >> >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> > >
> >> >> > --
> >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >> >
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> Wagner Santos
> >> >> 81 9127 9823 / 81 8781 9823
> >> >>
> >> >> wagnerpaxs @NOSPAM gmail.com
> >> >> wagner @NOSPAM dotlinux.net
> >> >>
> >> >> ICQ: 83709017 | Jabber: xwindow at jabber.org
> >> >>
> >> >> Linux User #408917
> >> >> DotLinux.Net - http://www.dotlinux.net/
> >> >> Debian-PE <http://www.dotlinux.net/%0ADebian-PE>    -
> >> >> http://pe.debianbrasil.org/
> >> >> --
> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >>
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Wagner Santos
> > 81 9127 9823 / 81 8781 9823
> >
> > wagnerpaxs @NOSPAM gmail.com
> > wagner @NOSPAM dotlinux.net
> >
> > ICQ: 83709017 | Jabber: xwindow at jabber.org
> >
> > Linux User #408917
> > DotLinux.Net - http://www.dotlinux.net/
> > Debian-PE    - http://pe.debianbrasil.org/
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Wagner Santos
81 9127 9823 / 81 8781 9823

wagnerpaxs @NOSPAM gmail.com
wagner @NOSPAM dotlinux.net

ICQ: 83709017 | Jabber: xwindow at jabber.org

Linux User #408917
DotLinux.Net - http://www.dotlinux.net/
Debian-PE    - http://pe.debianbrasil.org/

More information about the gter mailing list