# [Iptables] Layer7 en iptables

## Pablo S. Barrera

Buenas!

La cuestion viene asi, tengo un firewall, corriendo con iptables con politica drop, donde cerre el 443, solo se abre para los lugares que yo le digo, pero como skype usa el 443 contra otras redes (infinita cantidad de redes variables, las de los usuarios del otro lado) si cierro el 443 como hice tambien cierro a Skype. 

Quisiera saber si hay algo, algo para iptables o algun firewall grafico que maneje protocolos de capa 7, no me refiero a icmp o tcp sino a protocolos tipo p2p, skype, y demas aplicaciones por demas molestas para abrir algunas y cerrar otras.

En una epoca funcionó Layer7 en iptables, pacheando de todo, pero aunque eso funciona, solo camina hasta el kernel 2.6.36, y eso fue hace como 2 años, y ademas es complicado de hacer andar en instalaciones nuevas, por el kernel, porque no puedo actualizar, vulnerabilidades, etc. 

El problema de abrir libremente https es el ultrasurf, y demas saltadores de proxy, entre otras cosas. Por eso opte por cerrarlo y abrirlo solo para gmail, bancos y aplicaciones que quiero se utilicen. 

Espero se entienda y les agradezco la lectura y cualquier clase de ayuda.

Saludos para todos.

----------

## ZaPa

Hola y bienvenido al club!

Yo tambien fuí una vicima del atraso con la compatibilidad con los nuevos kernel con L7.

Pero te comento, varias alternativas:

 - Puedes utilizar brazilfw. Distribución Linux pensada para realizar todo tipo de tareas de enrutado y bridge.

 - Utilizar equipos Mikrotik Routerboard como bridge para que marquen el trafico L7 que tu especifiques. MK ya trae L7 funcionando, solo tienes que configurarlo.

Con estas 2 opciones, lo que se conseguiria es marcar el paquete en el bridge y en tu router/firewall tratarlo como quieras (ya que ya tendrias la marca realizada).

PD: Si vas a probar con brazilfw, no instales esta distro con L7 en un pc muy antiguo, ya que es conocido que L7 consume algo de CPU.

Un saludo.

----------

## Pablo S. Barrera

Zapa, gracias por la respuesta.

Estoy viendo BrazilFW pero me gusta hacer las cosas a mano, donde maneje cada linea, y no tengo nada contra ellos, pero Gentoo es donde hoy corren las cosas y deseo siga siendolo. Layer 7 parece haber quedado en el tiempo y no encuentro forma de hacerlo andar como corresponde.

----------

## ZaPa

Hola.

Brazilfw tiene una administración web, pero tambien se puede realizar todo tipo de administración via shell. Esta distribución es un linux normal y corriente, con el kernel compatible con Layer 7.

Si esa alternativa no te es válida, utiliza entonces Mikrotik para marcar el trafico y despues en tu router/firewall lo clasificas.

Un saludo.

----------

