Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

aabreu2005

Este tutorial visa implementar o Layer7 (Application Layer Packet Classifier for Linux), atualização do kernel para a versão 2.6.14 e o Iptables para a versão 1.3.4 no Debian 3.1.

[ Hits: 45.523 ]

Por: Artur Emilio de Abreu em 11/06/2006

0 0

Denuncie Favoritos Indicar Impressora

Aplicando o patch do layer 7 no iptables e testando os novos recursos

Execute os seguintes comandos:

# cd /usr/src/iptables-1.3.4
# patch -p1 < /usr/src/netfilter-layer7-v2.0/iptables-layer7-2.0.patch
# chmod +x extensions/.layer7-test
# make KERNELDIR=/usr/src/linux-2.6.14
# make install KERNELDIR=/usr/src/linux-2.6.14

Desta forma, aplicamos o patch do Layer7 no iptables, compilamos e instalamos o iptables versão 1.3.4 com suporte a inspeção da camada 7.

Agora a última parte:

# mkdir /etc/l7-protocols
# cd /usr/src/l7-protocols
# cp * /etc/l7-protocols -R

Agora vamos reiniciar o equipamento e dar o boot com o novo kernel:

# reboot

Quando o sistema voltar, entre no terminal e somente para efeitos de testes, digite este comando:

# iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP

Depois apenas para ver como ficou digite o comando abaixo e veja o resultado:

# iptables -L
Chain FORWARD (policy ACCEPT)
Target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger

Para saber como criar seus próprios protocolos para o l7-filter, leia este documento:

http://l7-filter.sourceforge.net/layer7-patterns/HOWTO

Agora é possível usando apenas o iptables bloquear o MSN, Yahoo Messenger, ICQ entre outros. O layer7 vai dar muito mais funcionalidade ao iptables, tudo vai depender de estudar as novas possibilidades disponíveis agora.

Bibliografia

Compilando o kernel no Debian: de Joel da Rocha Laranjeira Júnior
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4183

Bloqueando pacotes com iptables pela camada da aplicação (com o l7-filter): de Rafael M. Capovilla - 1c3_m4n - iceman NAOSPAM underlinux com br
http://underlinux.com.br/noticia4799.html

Debian.org:
http://www.debian.org/releases/stable/i386/ch08s05.html.pt

Layer 7 Classifier HOWTO:
http://l7-filter.sourceforge.net/HOWTO

Página anterior

Páginas do artigo

   1. Módulos necessários para compilar/recompilar o kernel no Debian
   2. Aplicando, habilitando o patch, compilando e instalando o novo kernel
   3. Aplicando o patch do layer 7 no iptables e testando os novos recursos

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Shorewall, uma excelente opção para firewall Linux

Criando um Firewall transparente com Bridges no Debian Etch

Como construir um firewall de baixo custo para sua empresa (parte 3)

Entendendo TCP/IP (Parte 5) - Portas TCP/UDP

Integrando Layer7 + IPP2P ao Iptables

Comentários

[1] Comentário enviado por daghetti em 12/06/2006 - 13:40h

Amigo, fiz como vc descreveu nesse artigo, porém não aparece as opções "Layer 7 match support (EXPERIMENTAL) e "Layer 7 debugging output". Instalei o Debian 3.1 R1. Sabe o que pode estar saindo errado?

Grato,
Rafael Daghetti

0 0

[2] Comentário enviado por agk em 12/06/2006 - 15:25h

Muito bom o artigo.
Como o Debian sempre facilita as coisas para gente, eu sugiro que utilize o jeito Debian de baixar os fontes.
Vá para o diretório /usr/src
apt-get source pacote
Pronto você já tem o fonte no formato Debian pronto para criar os pacotes em .deb.
./rules binary
Se não tiver disponível o pacotes, altere o seu source list os deb-src para sid e com certeza terá.
[ ]'s.

0 0

[3] Comentário enviado por dailson em 12/06/2006 - 15:27h

Gostaria de Saber em relação a este Pathc. Se a queda de perfomance é significativa, pois o firewall vai ter que abrir todo pacote que passa e abrir para ver qual a aplicação. Acho que isso deve deixar o Firewall um pouco lento.
Estou certo??? Quem tiver experiências com este filtro por favor descreve aqui.

Dailson Fernandes

0 0

[4] Comentário enviado por tarso em 13/06/2006 - 18:08h

exelente materia.

0 0

[5] Comentário enviado por andrentfs em 11/09/2006 - 00:39h

Excelente artigo...

Quanto ao problema citado pelo nosso amigo Rafael Daghetti no inicio dos comentários e aqueles que enfrentarem este problema.
Para habilitar o layer 7 é nescessário habilitar o modulo CONNECTION TRACKING FLOW ACCOUNT pois o layer 7 possui dependência a ele.
Após habilitar este modulo os dois modulos do layer 7 vão aparecer...

espero ter ajudado...

0 0

[6] Comentário enviado por guilmars em 28/11/2006 - 10:02h

Gostei muito do seu artigo, segui o tuto passo a passo e não deu nenhuma mensagem de erro, mas quando eu vou testar o iptables:
# iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP
da a seguinte mensagem:
iptables v1.3.5: Couldn't load match `layer7':/usr/local/lib/iptables/libipt_layer7.so: cannot open shared object file: No such file or directory
já tentei localizar o arquivo e não encontro em lugar nenhum, será q poderia me dar um help????

0 0

[7] Comentário enviado por winkiller em 11/05/2007 - 17:03h

Aqui aconteceu o mesmo que com o guilmars. Alguém já descobriu o que houve ou tem outro tutorial?

Durom 1.4
256MB RAM
80GB HD
Placa mãe Elitegroup (1ª linha da PCCHIPS <-- blargh!!)
eth0 = RTL-8139 eth1 VIA RHINE III (on-board)
Debian 4.0
gcc version 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
Kernel 2.6.18
iptables v1.3.7
l7-protocols-2007-05-09
netfilter-layer7-v2.9

0 0

[8] Comentário enviado por sinval2008 em 14/04/2008 - 18:50h

Olá segui o tutorial direitinho e tudo foi muito bem, só que na hora de executar o make menuconfig, não aparece as opções para ativar o layer7.
O que posso ter feito de errrado?

0 0

[9] Comentário enviado por sinval2008 em 14/04/2008 - 21:39h

No meu menuconfig aparece assim IP tables support (required for filtering/masq/NAT)
ao invés de apacerer assim:
IP tables support (required for filtering/masq/NAT) --->
Alguém poderia me ajudar?

0 0