[GTER] Layer7 x Skype
Carlos Eduardo Langoni
ce.langoni at gmail.com
Thu Jul 2 16:14:56 -03 2009
Wagner,
Aconselho o 2.6.30.
Embora eu ainda não tenha testado (o que eu tenho rodando está no
2.6.28) me falaram muito bem dele, me parece que está mais compacto e
rápido.
Se precisar avise!
Abraços
2009/7/2 Wagner Santos <wagnerpaxs at gmail.com>:
> Carlos,
>
> Valeu a dica então, vou tentar montar uma outra máquina com o CentOS e
> compilar o Kernel 2.6.29 ou 2.6.30 com o Iptables mais recente.
>
> Qualquer coisa informo aqui. Obrigado.
>
> 2009/7/2 Carlos Eduardo Langoni <ce.langoni at gmail.com>
>
>> Wagner,
>>
>> Eu tive alguns problemas com o kernel 2.6.28 e iptables anteriores a 1.4.
>> Minha infra é 100% debian (pelo menos a parte que sou responsável) e o
>> funcionamento está tranquilo.
>>
>> Te aconselho a utilizar uma versão do iptables mais nova para testes
>> (sem contar nas melhorias das versões).
>>
>> Se precisar de alguma coisa me avise
>>
>> 2009/7/2 Wagner Santos <wagnerpaxs at gmail.com>:
>> > Carlos,
>> >
>> > Minha Infra é com CentOS (padrão da empresa), Estou utilizando o Kernel
>> > 2.6.28.10, com iptables 1.3.5 (recompilei os pacotes para ativar o
>> suporte
>> > ao L7).
>> >
>> > Estou recebendo a mensagem: kernel: layer7: couldn't get conntrack.
>> >
>> > Alguma idéia?
>> >
>> > 2009/6/30 Carlos Eduardo Langoni <ce.langoni at gmail.com>
>> >
>> >> Wagner,
>> >>
>> >> Qual versão de kernel, iptables e layer7 você está utilizando?
>> >> Eu acabei de implementar um kernel 2.6.28+iptables 1.4.1.1 e layer7
>> >> 2.21 e, pelo menos no bloqueio, está funcionando direitinho.
>> >> Fiz tudo para debia etch e tenho os pacotes .deb prontos aqui,
>> >> acredito que funcione no lenny também, mas ainda não testei.
>> >>
>> >> Se quiser testar me avisa que eu te mando os pacotes.
>> >>
>> >> Abraços
>> >> Carlos
>> >>
>> >> 2009/6/26 Flavio Junior <billpp at gmail.com>:
>> >> > Sim, sem nenhum problemas (alem dos "possiveis" com a liberaçao)
>> >> >
>> >> > --
>> >> >
>> >> > Flávio do Carmo Júnior aka waKKu
>> >> >
>> >> > 2009/6/26 Wagner Santos <wagnerpaxs at gmail.com>
>> >> >
>> >> >> Flávio,
>> >> >>
>> >> >> Nessa tua solução tu consegue falar com quem está fora da tua LAN?
>> Pois
>> >> >> aqui
>> >> >> o Skype funciona bem para dentro da própria LAN, já fora, ele começa
>> >> >> listando quem está online, depois o pessoal cai todinho,
>> repentinamente
>> >> >> volta a lista mas ao final, ninguém fala com quem está fora.
>> >> >>
>> >> >> 2009/6/26 Flavio Junior <billpp at gmail.com>
>> >> >>
>> >> >> > Olha.. sinceramente nao sei te dizer se o skype vai funcionar, se o
>> >> teu
>> >> >> > proxy nao permitir...
>> >> >> >
>> >> >> > Aqui eu tenho um cenario parecido, firewall em DROP e proxy em
>> DENY..
>> >> So
>> >> >> > libero o que é realmente necessario.
>> >> >> >
>> >> >> > A unica (e HORRIVEL) forma que consigo fazer o skype funcionar BEM
>> >> >> > (conectar
>> >> >> > nao basta, enviar mensagens sera sempre um problema) é liberando no
>> >> proxy
>> >> >> a
>> >> >> > conexao HTTPS para IP's.
>> >> >> >
>> >> >> > Como citei, é uma soluçao horrivel, vai contra toda minha ideia de
>> >> >> politica
>> >> >> > de DROP no proxy.. Mas mantenho meus relatorios sempre atualizados
>> e
>> >> vejo
>> >> >> > que na minha rede, ninguem ta abusando dessa "caracteristica" de
>> >> acesso.
>> >> >> > Até
>> >> >> > por que é complicado navegar em sites usando somente o IP, o site
>> tem
>> >> que
>> >> >> > permitir isso ou tu usar um "firebug" da vida pra ficar alteradno
>> os
>> >> >> > hiperlinks, e ainda esse destino tem q estar disponivel pra HTTPS
>> >> tambem.
>> >> >> >
>> >> >> > Bom, a linha é a seguinte:
>> >> >> > squid.conf:
>> >> >> > acl whitelist url_regex -i "/etc/squid/whitelist.lst"
>> >> >> > # Impedindo o squidGuard de ser chamado para a whitelist
>> >> >> > redirector_access allow !whitelist !bannedsources
>> >> >> > http_access deny bannedsources !whitelist
>> >> >> > http_access allow whitelist
>> >> >> >
>> >> >> > /etc/squid/whitelist.lst:
>> >> >> > # Unica forma que encontrei de fazer o skype funcionar DECENTEMENTE
>> >> foi:
>> >> >> > # Liberar conexoes SSL (porta 443) a destinos no formato IP.
>> >> >> > # Isso e horrivel!
>> >> >> > ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:443$
>> >> >> >
>> >> >> >
>> >> >> > Mantive até os comentarios originais ;)
>> >> >> >
>> >> >> > --
>> >> >> >
>> >> >> > Flávio do Carmo Júnior aka waKKu
>> >> >> >
>> >> >> >
>> >> >> > 2009/6/18 Wagner Santos <wagnerpaxs at gmail.com>
>> >> >> >
>> >> >> > > Car at s,
>> >> >> > >
>> >> >> > > Tenho um firewall Linux com iptables, onde nossas políticas
>> padrões
>> >> são
>> >> >> > > todas DROP (INPUT, FORWARD e OUTPUT). Tudo funciona bem, exceto o
>> >> Skype
>> >> >> > > (preciso que o Skype funcione para toda a rede). Tenho tudo
>> >> devidamente
>> >> >> > > compilado e instalado porém o Layer7 está me retornado a seguinte
>> >> >> > mensagem:
>> >> >> > >
>> >> >> > > "layer7: couldn't get conntrack."
>> >> >> > >
>> >> >> > > Já fiz várias pesquisas mas não encontrei nenhuma solução,
>> inclusive
>> >> >> > > pesquisei aqui na lista, mas não encontrei nada.
>> >> >> > >
>> >> >> > > Alguém já passou por isso?
>> >> >> > >
>> >> >> > > --
>> >> >> > > Wagner Santos
>> >> >> > > 81 9127 9823 / 81 8781 9823
>> >> >> > >
>> >> >> > > wagnerpaxs @NOSPAM gmail.com
>> >> >> > > wagner @NOSPAM dotlinux.net
>> >> >> > >
>> >> >> > > ICQ: 83709017 | Jabber: xwindow at jabber.org
>> >> >> > >
>> >> >> > > Linux User #408917
>> >> >> > > DotLinux.Net - http://www.dotlinux.net/
>> >> >> > > Debian-PE <http://www.dotlinux.net/%0ADebian-PE> -
>> >> >> > > http://pe.debianbrasil.org/
>> >> >> > > --
>> >> >> > > gter list https://eng.registro.br/mailman/listinfo/gter
>> >> >> > >
>> >> >> > --
>> >> >> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >> >> >
>> >> >>
>> >> >>
>> >> >>
>> >> >> --
>> >> >> Wagner Santos
>> >> >> 81 9127 9823 / 81 8781 9823
>> >> >>
>> >> >> wagnerpaxs @NOSPAM gmail.com
>> >> >> wagner @NOSPAM dotlinux.net
>> >> >>
>> >> >> ICQ: 83709017 | Jabber: xwindow at jabber.org
>> >> >>
>> >> >> Linux User #408917
>> >> >> DotLinux.Net - http://www.dotlinux.net/
>> >> >> Debian-PE <http://www.dotlinux.net/%0ADebian-PE> -
>> >> >> http://pe.debianbrasil.org/
>> >> >> --
>> >> >> gter list https://eng.registro.br/mailman/listinfo/gter
>> >> >>
>> >> > --
>> >> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >> >
>> >> --
>> >> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>
>> >
>> >
>> >
>> > --
>> > Wagner Santos
>> > 81 9127 9823 / 81 8781 9823
>> >
>> > wagnerpaxs @NOSPAM gmail.com
>> > wagner @NOSPAM dotlinux.net
>> >
>> > ICQ: 83709017 | Jabber: xwindow at jabber.org
>> >
>> > Linux User #408917
>> > DotLinux.Net - http://www.dotlinux.net/
>> > Debian-PE - http://pe.debianbrasil.org/
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Wagner Santos
> 81 9127 9823 / 81 8781 9823
>
> wagnerpaxs @NOSPAM gmail.com
> wagner @NOSPAM dotlinux.net
>
> ICQ: 83709017 | Jabber: xwindow at jabber.org
>
> Linux User #408917
> DotLinux.Net - http://www.dotlinux.net/
> Debian-PE - http://pe.debianbrasil.org/
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list