Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

Este tutorial visa implementar o Layer7 (Application Layer Packet Classifier for Linux), atualização do kernel para a versão 2.6.14 e o Iptables para a versão 1.3.4 no Debian 3.1.

[ Hits: 44.719 ]

Por: Artur Emilio de Abreu em 11/06/2006


Módulos necessários para compilar/recompilar o kernel no Debian



Para começar, é necessário termos uma máquina com o Debian 3.1 devidamente instalado.

Primeiramente devemos deixar o Debian pronto para compilar/recompilar um kernel "do jeito Debian", onde utiliza-se o make-kpkg, que vem com o pacote kernel-package. Então a primeira coisa a se fazer:

# apt-get install kernel-package

Pronto, desta forma instalamos o pacote dpkg-dev.

Aproveite também e instale o libncurses5-dev, vamos necessitar dele na hora de executar o "make menuconfig", então vamos lá:

# apt-get install libncurses5-dev

Feito isso, vamos agora baixar os arquivos necessários, iremos colocá-los em /usr/src:

# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.14.tar.gz
# wget ftp://ftp.netfilter.org/pub/iptables/iptables-1.3.4.tar.bz2
# wget http://voxel.dl.sourceforge.net/sourceforge/l7-filter/\
netfilter-layer7-v2.0.tar.gz

# wget http://voxel.dl.sourceforge.net/sourceforge/l7-filter/\
l7-protocols-2005-11-20.tar.gz


Vamos então descompactar tudo:

# tar xzvf linux-2.6.14.tar.gz
# tar xjf iptables-1.3.4.tar.bz2
# tar xzvf netfilter-layer7-v2.0.tar.gz
# tar xzvf l7-protocols-2005-11-20.tar.gz


    Próxima página

Páginas do artigo
   1. Módulos necessários para compilar/recompilar o kernel no Debian
   2. Aplicando, habilitando o patch, compilando e instalando o novo kernel
   3. Aplicando o patch do layer 7 no iptables e testando os novos recursos
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Squid/IPtables - Bloqueando Facebook e personalizando IP de acesso irrestrito (definitivo)

Automatizando Firewall com IDS Snort e SnortSam

Fusion Firewall - Uma alternativa para Firewall-Proxy gerenciado via web

Conexões de entrada e saída com 2 links em um servidor

Zentyal 2.0 - Solução completa de segurança open source

  
Comentários
[1] Comentário enviado por daghetti em 12/06/2006 - 13:40h

Amigo, fiz como vc descreveu nesse artigo, porém não aparece as opções "Layer 7 match support (EXPERIMENTAL) e "Layer 7 debugging output". Instalei o Debian 3.1 R1. Sabe o que pode estar saindo errado?

Grato,
Rafael Daghetti

[2] Comentário enviado por agk em 12/06/2006 - 15:25h

Muito bom o artigo.
Como o Debian sempre facilita as coisas para gente, eu sugiro que utilize o jeito Debian de baixar os fontes.
Vá para o diretório /usr/src
apt-get source pacote
Pronto você já tem o fonte no formato Debian pronto para criar os pacotes em .deb.
./rules binary
Se não tiver disponível o pacotes, altere o seu source list os deb-src para sid e com certeza terá.
[ ]'s.

[3] Comentário enviado por dailson em 12/06/2006 - 15:27h

Gostaria de Saber em relação a este Pathc. Se a queda de perfomance é significativa, pois o firewall vai ter que abrir todo pacote que passa e abrir para ver qual a aplicação. Acho que isso deve deixar o Firewall um pouco lento.
Estou certo??? Quem tiver experiências com este filtro por favor descreve aqui.

Dailson Fernandes

[4] Comentário enviado por tarso em 13/06/2006 - 18:08h

exelente materia.

[5] Comentário enviado por andrentfs em 11/09/2006 - 00:39h

Excelente artigo...

Quanto ao problema citado pelo nosso amigo Rafael Daghetti no inicio dos comentários e aqueles que enfrentarem este problema.
Para habilitar o layer 7 é nescessário habilitar o modulo CONNECTION TRACKING FLOW ACCOUNT pois o layer 7 possui dependência a ele.
Após habilitar este modulo os dois modulos do layer 7 vão aparecer...

espero ter ajudado...

[6] Comentário enviado por guilmars em 28/11/2006 - 10:02h

Gostei muito do seu artigo, segui o tuto passo a passo e não deu nenhuma mensagem de erro, mas quando eu vou testar o iptables:
# iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP
da a seguinte mensagem:
iptables v1.3.5: Couldn't load match `layer7':/usr/local/lib/iptables/libipt_layer7.so: cannot open shared object file: No such file or directory
já tentei localizar o arquivo e não encontro em lugar nenhum, será q poderia me dar um help????

[7] Comentário enviado por winkiller em 11/05/2007 - 17:03h

Aqui aconteceu o mesmo que com o guilmars. Alguém já descobriu o que houve ou tem outro tutorial?

Durom 1.4
256MB RAM
80GB HD
Placa mãe Elitegroup (1ª linha da PCCHIPS <-- blargh!!)
eth0 = RTL-8139 eth1 VIA RHINE III (on-board)
Debian 4.0
gcc version 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
Kernel 2.6.18
iptables v1.3.7
l7-protocols-2007-05-09
netfilter-layer7-v2.9

[8] Comentário enviado por sinval2008 em 14/04/2008 - 18:50h

Olá segui o tutorial direitinho e tudo foi muito bem, só que na hora de executar o make menuconfig, não aparece as opções para ativar o layer7.
O que posso ter feito de errrado?

[9] Comentário enviado por sinval2008 em 14/04/2008 - 21:39h

No meu menuconfig aparece assim IP tables support (required for filtering/masq/NAT)
ao invés de apacerer assim:
IP tables support (required for filtering/masq/NAT) --->
Alguém poderia me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts