QOS Layer 7

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

QOS Layer 7

Messagepar hercule18 » 24 Oct 2005 23:42

Bonjour,

J'ai installe mon premier IPCop Vendredi et je doit dire que pour l'instant je ne suis pas deçu, je reste par contre perplexe lors de la mise en place de de la QOS.
Celle qui m'interesse c'est celle de niveau 7 (cad au niveau applicatif) pour boquer des applications qui n'utilisent pas toujours les mêmes ports (tcp ou udp) mais surtout jamais les même adresses de serveurs distants.

J'ai donc installe un IPCop en anglais ver 1.4.9 avec ce gestionnaire QOS:

http://sourceforge.net/project/showfiles.php?group_id=144798&package_id=162315&release_id=352934

Le hic c'est qu'il est indique que cet addons est prevu pour la version 1.4.8 d'ipcop, est-ce que cela peut poser probleme?

Ensuite j'ai trouvé ça:
http://www.the-networld.dyndns.org/ipcoppn/index.php?module=ContentExpress&func=display&ceid=3&POSTNUKESID=fe06f1a7483e734e8da664aebfa420a1

mais la version d'IPcop requise est encore plus vieille et je n'ai pas trouve dans la doc comment faire pour pour filtrer au niveau 7.

Quelqu'un a-t-il deja effectue ce genre de filtrage?Si oui avec l'un de ces deux addons?Si oui lequel et auriez vous des exemples de config.

Car pour l'instant tout les essais que j'ai non rien donne de probant, soit je bloque completement mon acces internet soit c'est une vrai passoire.

Merci de m'avoir lu

A+

Herc 8)[/url]
hercule18
Matelot
Matelot
 
Messages: 10
Inscrit le: 24 Oct 2005 20:24

Messagepar et9135 » 25 Oct 2005 13:06

bonjour hercule18,

En fait si j'ai bien compris, tu cherches à bloquer une application déterminée.
Si je ne me trompe pas cela relève de l'analyse grammatical des paquets circulant sur le réseau et je ne suis pas sur qu'ipcop sache encore faire cela.

Cela n'enlève rien à la qualité du produit que je trouve très satisfaisant mais l'analyse grammaticale, aujourd'hui, est assez complexe à réaliser et necessite une connaissance d'une bonne partie des protocoles utilisés aujourd'hui, pour l'analyse des entêtes des paquets.

Je connais une société qui utilise ce concept dans leurs sondes d'analyses mais bien entendu le moteur est breveté. Ils font de l'analyse des entêtes à la volée.

Regarde éventuellement comment est constitué le module P2PBLOCK cela peut peut être te donner des idées.

J'ai déjà utlisé ce module et même en changeant le port par défaut le module bloque les applications.
Analyse de la syntaxe ou basé sur les ports les plus utilisés ? That is the question !

Mais peut être que cela est prévue dans l'une des futurs évolution d'IPCOP !!!
Avatar de l’utilisateur
et9135
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 01 Juil 2004 20:01
Localisation: essonne

Messagepar hercule18 » 25 Oct 2005 14:28

Salut,

Si je ne me trompe pas cela relève de l'analyse grammatical des paquets circulant sur le réseau et je ne suis pas sur qu'ipcop sache encore faire cela.


De base non mais le module layer 7 ( qui bosse sur la couche 7 du modele osi, la couche application) doit y arriver cf:

http://l7-filter.sourceforge.net/protocols

Le premier programme de Qos que j'ai utilisé sur IPcop d'ailleur propose du lissage par application, mais impossible de les bloquer...dommage

Cela n'enlève rien à la qualité du produit que je trouve très satisfaisant


tout a fait d'accord avec toi le produit est tip top mais pour bloquer Skype par exemple qui utlise une technologie de super noeud, je suis assez ennuye puisque l'addresse des serveurs n'est jamais la meme sachant que n'importe client skype peut faire office de serveur.

Je connais une société qui utilise ce concept dans leurs sondes d'analyses mais bien entendu le moteur est breveté. Ils font de l'analyse des entêtes à la volée.


moi aussi, packeteer, mais c'est super cher!!!

Regarde éventuellement comment est constitué le module P2PBLOCK cela peut peut être te donner des idées.


J'y ai pensé, je crois que ce serai l'idéal, je pourrai même modifier la page pour ne mettre que les apps que je veux bloquer en lieu et place des apps p2p.... mais je suis completement paumé, j'ai essayé de faire un tour dans le cgi mais y'en a partout, je ne sais pas si modifier le cgi est suffisant, si qq pouvait me venir en aide la dessus eventuellement.

Mais peut être que cela est prévue dans l'une des futurs évolution d'IPCOP !!!


Ce serai genial!!!

Merci pour ta reponse en tout cas!!

A+

Herc. 8)
hercule18
Matelot
Matelot
 
Messages: 10
Inscrit le: 24 Oct 2005 20:24

Messagepar et9135 » 25 Oct 2005 20:05

packteer mais le problème c'est qu'ils font de la capture de trame pour l'analyser.

Par contre QOSMOS fait des sondes temps reels sans capture de trames (à la volée ).

Mais tout à fait d'accord le produit taffic designer ou analyser est super cher.
Je parle en connaissance de cause , je suis certifié sur le produit.
Mais très interressant et très pointu dans l'analyse.

Si ça t'interresse va jeter un oeil sur leur site http://www.qosmos.fr

Pour ce qui est de l'étude ou le developpement de modules je suis aussi à la recherche de doc me permettant de faire cela car je souhaiterais pouvoir développer mes propres modules quitte à en faire profiter les ixussiens.

En attendant on potasse et recherche de l'info. c'est ce qui fait l'interêt d'un système ouvert, en espérant voir arriver la prochaine version de IPCOP qui ne serait tarder.

Bon courrage à toi et @+
Avatar de l’utilisateur
et9135
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 01 Juil 2004 20:01
Localisation: essonne

Messagepar hercule18 » 25 Oct 2005 21:37

Salut,

Pour ce qui est de l'étude ou le developpement de modules je suis aussi à la recherche de doc me permettant de faire cela car je souhaiterais pouvoir développer mes propres modules quitte à en faire profiter les ixussiens.


C'est aussi un peu mon but, ensuite la gloire et la richesse sont pour moi :wink:

Cela dit j'ai trouvé quelque chose qui peut nous mettre sur la voie:

http://fr.gentoo-wiki.com/HOWTO_Traffic_shaping#l7-filter

le problème c'est que iptables pour l'instant je connais pas trop.

Je pensais que cette commande resouderai mes problemes:

iptables -t filter -A FORWARD -m layer7 --l7proto ftp -j DROP (pour bloquer les flux ftp par ex.)

Mais cela ne fonctionne pas je ne dois pas l'integrer correctement, j'ai meme essaye :

iptables -t filter -A FORWARD -o eth1 -m layer7 --l7proto edonkey -j DROP pour lui indiquer l'interface

de sortie, mais pas mieux.

A mon avis avec le p2pblock plus le document ci-dessus on devrai y arriver mais bon mon taf me

beaucoup de temps et la j'ai 2 jours de reunion a l'horizon.

J'ai contacte Markus Hoffman qui a cree le package Qos 2.5.1 pour qu'il éclair mes lumières.

Si quelqu'un a des idées pour faire avancer le shmilblick je suis preneur!

A+

Herc. 8)
hercule18
Matelot
Matelot
 
Messages: 10
Inscrit le: 24 Oct 2005 20:24

Messagepar hercule18 » 27 Oct 2005 22:36

Salut,

J'avance petit a petit sur ma qos de layer 7, pour l'instant j'autorise et j'interdit des flux en fonction des applications grace au plugin :

http://prdownloads.sourceforge.net/mhaddons/layer7_ipcop_1.4.8.tar.gz?download

Propose par Markus Hoffman pour Ipcop et en ce qui concerne la syntaxe j'ai trouvé ceci:

http://netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO-7.html

Qui vous expliquera en Francais la syntaxe et les principes de base d'iptables

et

http://l7-filter.sourceforge.net/HOWTO

Qui rentrera plus en detail sur le filtrage au niveau applicatif et le management de Bande passante.

J'espere pouvoir avancer plus vite les jours prochains

A+

*Herc. 8)
hercule18
Matelot
Matelot
 
Messages: 10
Inscrit le: 24 Oct 2005 20:24

Messagepar et9135 » 27 Oct 2005 22:40

Merci Hercule18 de nous tenir informé de ce module qui me semble interressant à creuser.

J'ai hate de voir cela !!
***************************************
IPCOP V1.4.18, addons server 2.3, p2pblock, ntp, adv proxy, ip traffic, ip stat, snortalog V1.1, SARG 2.0.9, copfilter 0.82.1, Clamav 0.91.2
***************************************
Avatar de l’utilisateur
et9135
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 01 Juil 2004 20:01
Localisation: essonne


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron