Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

aabreu2005

Este tutorial visa implementar o Layer7 (Application Layer Packet Classifier for Linux), atualização do kernel para a versão 2.6.14 e o Iptables para a versão 1.3.4 no Debian 3.1.

[ Hits: 44.929 ]

Por: Artur Emilio de Abreu em 11/06/2006

0 0

Denuncie Favoritos Indicar Impressora

Aplicando o patch do layer 7 no iptables e testando os novos recursos

Execute os seguintes comandos:

# cd /usr/src/iptables-1.3.4
# patch -p1 < /usr/src/netfilter-layer7-v2.0/iptables-layer7-2.0.patch
# chmod +x extensions/.layer7-test
# make KERNELDIR=/usr/src/linux-2.6.14
# make install KERNELDIR=/usr/src/linux-2.6.14

Desta forma, aplicamos o patch do Layer7 no iptables, compilamos e instalamos o iptables versão 1.3.4 com suporte a inspeção da camada 7.

Agora a última parte:

# mkdir /etc/l7-protocols
# cd /usr/src/l7-protocols
# cp * /etc/l7-protocols -R

Agora vamos reiniciar o equipamento e dar o boot com o novo kernel:

# reboot

Quando o sistema voltar, entre no terminal e somente para efeitos de testes, digite este comando:

# iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP

Depois apenas para ver como ficou digite o comando abaixo e veja o resultado:

# iptables -L
Chain FORWARD (policy ACCEPT)
Target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger

Para saber como criar seus próprios protocolos para o l7-filter, leia este documento:

http://l7-filter.sourceforge.net/layer7-patterns/HOWTO

Agora é possível usando apenas o iptables bloquear o MSN, Yahoo Messenger, ICQ entre outros. O layer7 vai dar muito mais funcionalidade ao iptables, tudo vai depender de estudar as novas possibilidades disponíveis agora.

Bibliografia

Compilando o kernel no Debian: de Joel da Rocha Laranjeira Júnior
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4183

Bloqueando pacotes com iptables pela camada da aplicação (com o l7-filter): de Rafael M. Capovilla - 1c3_m4n - iceman NAOSPAM underlinux com br
http://underlinux.com.br/noticia4799.html

Debian.org:
http://www.debian.org/releases/stable/i386/ch08s05.html.pt

Layer 7 Classifier HOWTO:
http://l7-filter.sourceforge.net/HOWTO

Página anterior

Páginas do artigo

   1. Módulos necessários para compilar/recompilar o kernel no Debian
   2. Aplicando, habilitando o patch, compilando e instalando o novo kernel
   3. Aplicando o patch do layer 7 no iptables e testando os novos recursos

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Manual do IPtables - Comentários e sugestões de regras

Port Scan Attack Detector (PSAD) com iptables

L7-filter (funcionando) no Slackware 10.2

Configurando o iptables-p2p no Slackware

Iptables + módulo recent

Comentários

[1] Comentário enviado por daghetti em 12/06/2006 - 13:40h

Amigo, fiz como vc descreveu nesse artigo, porém não aparece as opções "Layer 7 match support (EXPERIMENTAL) e "Layer 7 debugging output". Instalei o Debian 3.1 R1. Sabe o que pode estar saindo errado?

Grato,
Rafael Daghetti

0 0

[2] Comentário enviado por agk em 12/06/2006 - 15:25h

Muito bom o artigo.
Como o Debian sempre facilita as coisas para gente, eu sugiro que utilize o jeito Debian de baixar os fontes.
Vá para o diretório /usr/src
apt-get source pacote
Pronto você já tem o fonte no formato Debian pronto para criar os pacotes em .deb.
./rules binary
Se não tiver disponível o pacotes, altere o seu source list os deb-src para sid e com certeza terá.
[ ]'s.

0 0

[3] Comentário enviado por dailson em 12/06/2006 - 15:27h

Gostaria de Saber em relação a este Pathc. Se a queda de perfomance é significativa, pois o firewall vai ter que abrir todo pacote que passa e abrir para ver qual a aplicação. Acho que isso deve deixar o Firewall um pouco lento.
Estou certo??? Quem tiver experiências com este filtro por favor descreve aqui.

Dailson Fernandes

0 0

[4] Comentário enviado por tarso em 13/06/2006 - 18:08h

exelente materia.

0 0

[5] Comentário enviado por andrentfs em 11/09/2006 - 00:39h

Excelente artigo...

Quanto ao problema citado pelo nosso amigo Rafael Daghetti no inicio dos comentários e aqueles que enfrentarem este problema.
Para habilitar o layer 7 é nescessário habilitar o modulo CONNECTION TRACKING FLOW ACCOUNT pois o layer 7 possui dependência a ele.
Após habilitar este modulo os dois modulos do layer 7 vão aparecer...

espero ter ajudado...

0 0

[6] Comentário enviado por guilmars em 28/11/2006 - 10:02h

Gostei muito do seu artigo, segui o tuto passo a passo e não deu nenhuma mensagem de erro, mas quando eu vou testar o iptables:
# iptables -A FORWARD -m layer7 -l7proto msnmessenger -j DROP
da a seguinte mensagem:
iptables v1.3.5: Couldn't load match `layer7':/usr/local/lib/iptables/libipt_layer7.so: cannot open shared object file: No such file or directory
já tentei localizar o arquivo e não encontro em lugar nenhum, será q poderia me dar um help????

0 0

[7] Comentário enviado por winkiller em 11/05/2007 - 17:03h

Aqui aconteceu o mesmo que com o guilmars. Alguém já descobriu o que houve ou tem outro tutorial?

Durom 1.4
256MB RAM
80GB HD
Placa mãe Elitegroup (1ª linha da PCCHIPS <-- blargh!!)
eth0 = RTL-8139 eth1 VIA RHINE III (on-board)
Debian 4.0
gcc version 4.1.2 20061115 (prerelease) (Debian 4.1.1-21)
Kernel 2.6.18
iptables v1.3.7
l7-protocols-2007-05-09
netfilter-layer7-v2.9

0 0

[8] Comentário enviado por sinval2008 em 14/04/2008 - 18:50h

Olá segui o tutorial direitinho e tudo foi muito bem, só que na hora de executar o make menuconfig, não aparece as opções para ativar o layer7.
O que posso ter feito de errrado?

0 0

[9] Comentário enviado por sinval2008 em 14/04/2008 - 21:39h

No meu menuconfig aparece assim IP tables support (required for filtering/masq/NAT)
ao invés de apacerer assim:
IP tables support (required for filtering/masq/NAT) --->
Alguém poderia me ajudar?

0 0