Parabéns pela riqueza de detalhes. Seu email daria um excelente artigo. Essa sim é uma resposta que realmente enriquece a lista. Tomara que possamos ver mais destas...
[ ]'s -- EduardoJr. 2008/7/1 Assuero <[EMAIL PROTECTED]>: > > Olá Bruno, > Se entendi, voce esta querendo recompilar o kernel e o iptables com > suporte a layer7 pra fazer filtragem na camada de aplicação? > > Caso sim, a instalação do layer7 não é muito complicada, é preciso > obedecer alguns "passos". > > É um pouco grande este e-mail que descreve como EU instalei o L7 no > Slack12.1, e espero que possa lhe ajudar tambem. > > Eu instalei assim: > > Baixei os pacotes do site: http://l7-filter.sourceforge.net/ > wget > > http://voxel.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.18.tar.gz > wget > > http://voxel.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2008-04-23.tar.gz > Baixei tambem o iptables-1.4.0 no site do netfilter > Descompactei em /usr/src (pode ser em qualquer diretorio, esse fica mais > "genérico") > Entrei no diretório do source do kernel e apliquei o patch do kernel > correspondente (o meu esta rodando o nativo do Slack12.1): > [EMAIL PROTECTED]:/usr/src/linux$ patch -p1 < > > /usr/src/netfilter-layer7-v2.18/for_older_kernels/kernel-2.6.22-2.6.24-layer7-2.18.patch > [EMAIL PROTECTED]:/usr/src/linux$ su > [EMAIL PROTECTED]:/usr/src/linux# make menuconfig > Fui ateh: Networking ---> Networking options ---> Network packet > filtering framework (Netfilter) ---> > Core Netfilter Configuration ---> <M> > "layer7" match support e [*] Layer 7 debugging output > Sai da interface do dialog, clicando em YES pra salvar o .config do kernel > [EMAIL PROTECTED]:/usr/src/linux# make && make modules && make > modules_install > Comigo demorou algumas horinhas(varia de capacidade de processamento) > Terminado este procedimento, copiei para o /boot os seguinte arquivos: > [EMAIL PROTECTED]:/usr/src/linux# cp arch/i386/boot/bzImage /boot/vmlinuz-l7 > [EMAIL PROTECTED]:/usr/src/linux# cp System.map /boot/System.map-l7 > [EMAIL PROTECTED]:/usr/src/linux# cp .config /boot/config-l7 > Editei o /etc/lilo.conf > [EMAIL PROTECTED]:/usr/src/linux# vi /etc/lilo.conf > e adicioinei o seguinte na seção Linux Partition: > image = /boot/vmlinuz-l7 > root = /dev/dispositivo correspondente > label ="Slackware-L7" > read-only > Salvei, sai e o velho lilo pra escrever o setor de boot > [EMAIL PROTECTED]:/usr/src/linux# lilo > Warning: LBA32 addressing assumed > Added Slackware-L7 * > Added Slackware12.1 > Veja que eu deixei a antiga imagem do kernel, caso desse algum problema de > sistema de arquivo, controladora SCSI ou coisa do tipo, se der um > KernelPanic, > sem panico basta rebootar a maquina no antigo kernel e verificar o que > aconteceu... > Comigo, seguindo este procedimento, a máquina iniciou normalmente > carregando > a nova imagem com o suporte ao layer7 ativo. > Até ai só temos o suporte ao Layer7 a nivel de kernel no netfilter. > Precisamos agora compilar o iptables com suporte ao dito cujo: > [EMAIL PROTECTED]:~$ su - > Password: > [EMAIL PROTECTED]:~# cd /usr/src > [EMAIL PROTECTED]:/usr/src# removepkg iptables > Fiz o download do iptables versão 1.4.0 (note a versão 1.4.0) > Descompactei no /usr/src e entrei no diretório: > [EMAIL PROTECTED]:/usr/src# tar -xvjf iptables-1.4.0.tar.bz2 > [EMAIL PROTECTED]:/usr/src# cd iptables-1.4.0 > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# patch -p1 < > > /usr/src/netfilter-layer7-v2.18/iptables-1.4-for-kernel-2.6.20forward-layer7-2.18.patch > Setei permissao de execução em um execultavel dentro da pasta extensions > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# chmod +x extensions/.layer7-test > Depois o make e make install indicando o caminho do kernel: > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# make KERNEL_DIR=/usr/src/linux > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# make install > KERNEL_DIR=/usr/src/linux > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# type iptables > iptables is /usr/local/sbin/iptables > [EMAIL PROTECTED]:/usr/src/iptables-1.4.0# iptables -V > iptables v1.4.0 > Prontinho.. Slackware 12.1 com suporte a iptables1.4.0 layer7 instalado. > Agora precisamos configurar: > Voltamos para o /usr/src > [EMAIL PROTECTED]:/usr/src# tar -xvzf l7-protocols-2008-04-23.tar.gz > [EMAIL PROTECTED]:/usr/src# cd l7-protocols-2008-04-23 > Criamos o diretorio que será armazenados os arquivos .pat que sao do L7 > O padrão é este que criei e deve ser armazenado todos os arquivos .pat do > layer7. Caso nao deseje criar neste diretório, pode criar outro, mas no > momento > que for digitar as regras vai precisar indicar o local com o --l7dir > /caminho. > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# mkdir /etc/l7-protocols > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# cp protocols/*.pat > /etc/l7-protocols/ -v > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# cp extra/*.pat > /etc/l7-protocols/ -v > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# cp malware/*.pat > /etc/l7-protocols/ -v > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# cp file_types/*.pat > /etc/l7-protocols/ -v > Para testar a instalação: > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# modinfo xt_layer7 > filename: /lib/modules/2.6.24.5-smp/kernel/net/netfilter/xt_layer7.ko > version: 2.17 > alias: ipt_layer7 > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# modprobe ipt_layer7 > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# lsmod | grep xt > xt_layer7 14852 0 > nf_conntrack 58560 1 xt_layer7 > x_tables 14980 1 xt_layer7 > Vamos fazer um teste com uma chain e ver se o L7 esta mesmo funcional: > [EMAIL PROTECTED]:/usr/src/l7-protocols-2008-04-23# cd / > [EMAIL PROTECTED]:/# iptables -Z > [EMAIL PROTECTED]:/# iptables -A OUTPUT -m layer7 --l7proto http > [EMAIL PROTECTED]:/# iptables -L OUTPUT -n -v > Chain OUTPUT (policy ACCEPT 38 packets, 4185 bytes) > pkts bytes target prot opt in out source > destination > 0 0 all -- * * 0.0.0.0/0 > 0.0.0.0/0 LAYER7 l7proto http > Vejam que o iptables já entende o L7. Vamos copiar um arquivo para o > diretorio do httpd > e fazer download do mesmo e verificar se vai mudar > [EMAIL PROTECTED]:/# cp > /home/assuero/downloads/bladeenc-0.94.2-src-stable.tar.gz > /srv/httpd/htdocs/ -vrf > [EMAIL PROTECTED]:/# wget http://121.0.0.1/bladeenc-0.94.2-src-stable.tar.gz > [EMAIL PROTECTED]:/# iptables -L OUTPUT -n -v > Chain OUTPUT (policy ACCEPT 5228 packets, 480K bytes) > pkts bytes target prot opt in out source > destination > 89 165K all -- * * 0.0.0.0/0 > 0.0.0.0/0 LAYER7 l7proto http > > Vemos ai em funcionamento o L7. > > O uso desta funcionalidade é enorme e já muito bem documentado. > > T+ > Assuero > > > Bruno Lopes wrote: > > Bom dia a todos Slackusers! > > > > Eu sou novo aqui no grupo de discussão e estou precisando de uma > > ajudinha. Gostaria de saber se alguem sabe como compilar o Layer7 no > > Slackware 12.1. Eu sei como compilar no Slackware 11 usando o Kernel > > 2.4.33.3, mas quando passei para o Slackware 12.1 tive dificuldade em > > compilar o kernel (acho que é esse o problema). Para efeito de > > informação, minha dificuldade de compilar o kernel é com os comandos > > necessários para a compilação, pois no Slackware 11 eu uso os > > seguintes comandos > > > > 1 - # make dep > > 2 - #make clean > > 3 - #make bzImage > > 4 - #make modules > > 5 - Copio o bzImage criado pela compilação para o diretório /boot > > 6 - Copio o novo System.map para /boot > > 7 - #make modules_install > > > > Andei dando uma googleada e vi varios tutos de como compilar, mas os > > comandos mudam de uma tuto para outro, alguns tem os mesmos comandos e > > alguns a mais. > > > > Desde já agradeço a ajuda de todos > > > > Bruno Lopes > > > > > > > > > > > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
