Boa tarde pessoal, eu instalei o L7-filter-v2.18 + IPP2P 0.8.2 + iptables 1.3.7 + kernel 2.6.20.1 (versão Sarge do projeto do KMuto) e todas as regras estão aparentemente ok. Consegui bloquear torrent, msn, emule, etc. Mas hoje, quando fui colocá-lo em produção, apareceu essa mensagem inúmeras vezes:
layer7: couldn't get conntrack. Estou usando um script que faz marcações nos pacotes e controle de banda com HTB (infelizmente não fui eu mesmo q o criei, um colega do trabalho desenvolveu e disse q estava usável). O script está configurado para as interfaces funcionarem em modo bridge. Além da mensagem de erro acima, os clientes não estão conseguindo conectar no emule, e deveria existir tráfego mas com baixa prioridade. Uma outra dúvida que tenho, é se preciso instalar o netfilter conntrack a partir do source dele para resolver essa mensagem de erro, apesar de ver os módulos "nf_conntrack_ipv4" e "nf_conntrack" levantados. ## Script ######### brctl addbr br0 brctl addif br0 eth1 brctl addif br0 eth2 ifconfig eth1 0.0.0.0 ifconfig eth2 0.0.0.0 echo 1 > /proc/sys/net/ipv4/ip_forward ifconfig br0 200.200.200.202 netmask 255.255.255.240 route add default gw 200.200.200.201 # Limpando as regras e considerando marcações anteriores iptables -t mangle -Z iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT # ICMP = prioridade alta iptables -t mangle -A PREROUTING -p icmp -j MARK --set-mark 1 # Tráfego de/para Servidores for servidor in $(cat /root/servidores.txt) do iptables -t mangle -A PREROUTING -s $servidor -j MARK --set-mark 1 done # Tráfego HTTP tem prioridade alta iptables -t mangle -A PREROUTING -i ! eth1 -p tcp --dport 80 -j MARK --set-mark 1 # Marcando a prioridade de diversos protocolos # Se for o protocolo correto da porta -> prioridade alta iptables -t mangle -A PREROUTING -i ! eth1 -p tcp --dport 20:21 -m layer7 --l7proto ftp -j MARK --set-mark 1 # Marcando protocolos difíceis de serem detectados (como streams e baseados em SSL) # Se for tráfego p2p naquela porta -> prioridade baixa iptables -t mangle -A PREROUTING -i ! eth1 -p tcp -m multiport --dports 443,465,1755 -m ipp2p --ipp2p -j MARK --set-mark 2 # Marcando todo o resto como baixa prioridade iptables -t mangle -A PREROUTING -i ! eth1 -p tcp -m mark ! --mark 1 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -i ! eth1 -p udp -m mark ! --mark 1 -j MARK --set-mark 2 # salvando as marcações iptables -t mangle -A PREROUTING -m mark --mark 1 -j CONNMARK --save-mark iptables -t mangle -A PREROUTING -m mark --mark 2 -j CONNMARK --save-mark # Bloqueando portas default para complementar # portas de: eMule, bittorrent, gnutella, kazaa iptables -t filter -A FORWARD -o eth1 -p tcp -m multiport --dports 4242,4661,4662,6881:6889,6969,6346:6348,1214 -j DROP # controle de banda via HTB tc qdisc add dev eth1 root handle 2:0 htb default 10 tc qdisc add dev eth2 root handle 3:0 htb default 10 # indicando a velocidade que cada dispositivo suporta tc class add dev eth1 parent 2:0 classid 2:1 htb rate 2048000kbit ceil 2048000kbit tc class add dev eth2 parent 3:0 classid 3:1 htb rate 2048000kbit ceil 2048000kbit # Indicando a velocidade que cada nível de prioridade oferecerá # (o mesmo repete para as outras interfaces) tc class add dev eth1 parent 2:1 classid 1:10 htb rate 1500000kbit ceil 1500000kbit prio 1 tc class add dev eth1 parent 2:1 classid 1:11 htb rate 512kbit ceil 600bit prio 3 tc class add dev eth2 parent 2:1 classid 1:10 htb rate 1500000kbit ceil 1500000kbit prio 1 tc class add dev eth2 parent 2:1 classid 1:11 htb rate 512kbit ceil 600bit prio 3 ## Informações do Sistema ######################### qos:~# uname -a Linux qos 2.6.20.1 #1 SMP Wed May 7 09:41:23 BRT 2008 i686 GNU/Linux qos:~# iptables -V iptables v1.3.7 qos:~# lsmod Module Size Used by bridge 49080 0 sch_htb 16384 2 button 7856 0 ac 5220 0 battery 9924 0 dm_snapshot 15620 0 dm_mirror 19060 0 dm_mod 51660 2 dm_snapshot,dm_mirror xt_multiport 3168 8 xt_tcpudp 3232 11 xt_MARK 2400 57 xt_mark 1984 41 xt_CONNMARK 3232 25 iptable_mangle 2880 1 nf_conntrack_ipv4 17836 29 xt_layer7 11300 4 nf_conntrack 58536 3 xt_CONNMARK,nf_conntrack_ipv4,xt_layer7 nfnetlink 6648 2 nf_conntrack_ipv4,nf_conntrack ipt_ipp2p 6912 7 iptable_filter 3072 1 ip_tables 12324 2 iptable_mangle,iptable_filter x_tables 14628 8 xt_multiport,xt_tcpudp,xt_MARK,xt_mark,xt_CONNMARK,xt_layer7,ipt_ipp2p,ip_tables -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]