Instalação e Configuração do Firewall Layer7 IPP2P
De Fórum Debian Wiki
Índice de conteúdo |
Introdução
Bom pessoal após 2 dias de muito sofrimento e de garimpar na internet, consegui colocar Firewal + Layer7 + IPP2P para rodar perfeitamente no Debian 4.0 Netinst sem complicações. Vamos lá. Para instalação do layer7 e ipp2p, temos que ter o principal o sistema já instalado na maquina, utilizamos o Debian 4.0 Netinst . Optamos por ele que é um sistema fácil a instalação, manutenção e o principal documentação. Nele vamos instalar o sistema básico contento os principais pacotes que necessitamos. Sistema : Debian 4.0 Netinst Vamos a botar a mão na massa:
download
Entre no seguinte Diretório:
cd /usr/src
E baixemos os pacotes para este diretório.
Kernel 2.6.19:
wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.tar.gz
Iptables 1.3.7:
wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.7.tar.bz2
Filtro Layer7:
wget http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.9.tar.gz
Protocolos do Layer7:
wget http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2007-07-27.tar.gz
Alguns pacotes necessários para a descompactação dos pacotes e a recompilação do kernel:
aptitude install bzip2 gzip unzip libncurses5-dev kernel-package
Compilação do kernel
Descompacte os pacotes baixados:
tar xvzf linux-2.6.19.tar.gz
tar xvjf iptables-1.3.7.tar.bz2
tar xvzf netfilter-layer7-v2.9.tar.gz
tar xvzf l7-protocols-2007-05-09.tar.gz
tar zxvf ipp2p-0.8.2.tar.gz
Criaremos um link simbólico para o nosso novo kernel:
ln -s /usr/src/linux-2.6.19 /usr/src/linux
Copiamos as configurações de boot do nosso kernel atual para serem utilizadas no nosso novo kernel:
cp /boot/config-2.6.18-4-686 /usr/src/linux/.config
Acesse o diretório do nosso novo kernel:
cd /usr/src/linux
Aplicaremos o patch do layer7 para dar suporte à este em nosso kernel a ser recompilado.
patch -p1 < /usr/src/netfilter-layer7-v2.9/kernel-2.6.18-2.6.19-layer7-2.9.patch
Instalando IPP2P
Aplicando os patches:
cd ..
cd patch-o-matic-ng-20070508
./runme --download
Após fazer o download dos patches digite:
./runme ipp2p
Ele fará duas perguntas, qual o caminho do source do Linux e qual o caminho do iptables. Como feito anteriormente, com os atalhos criados, basta apenas apertar enter a cada pergunta que já estará corretamente configurado.
A seguir é mostrado uma tela com descrições do ipp2p, e uma pergunta se deseja aplicar o patch ou não.
Aperte "y" e dê enter.
Agora habilitaremos nossos módulos nesse kernel:
make menuconfig
A tela de configuração do kernel será mostrada. Você deverá seguir os passos:
Networking ---> Networking options ---> [*] Network packet filtering (replaces ipchains) ---> Core Netfilter Configuration ---> Netfilter Xtables support (required for ip_tables)
Ative com M a opção Netfilter Xtables support.
Com o módulo ativado, selecione Exit e pressione <ENTER>.
Siga para:
Networking ---> Networking options ---> [*] Network packet filtering (replaces ipchains) ---> IP: Netfilter Configuration ---> IP tables support (required for filtering/masq/NAT) --->
e ative:
<M> Layer 7 match support (EXPERIMENTAL)
Após o Layer7, siga os caminhos abaixo para não ter erros ao selecionar o patch ipp2p:
Networking ---> Network Options ---> Network packet filtering framework (Netfilter) ---> IP: Netfilter Configuration
A ultima opção é IPP2P match support (NEW).
Marque-a.
Vá clicando selecionando exit e apertando enter até conseguir sair. E quando aparecer uma tela: "Do you wish to save new kernel configuration", selecione yes e aperte enter.
Pronto, agora podemos começar realmente o processo de recompilação. Após ativar conforme acima, siga selecionando Exit e <ENTER> até que seja perguntado se você deseja salvar a nova configuração do kernel, selecione YES e <ENTER> para salvar.
make-kpkg -initrd kernel_image
Volte para o diretório dos nossos pacotes baixados:
cd /usr/src
instalação
Descompacte nosso kernel personalizado:
dpkg -i linux-image-2.6.19_2.6.19-10.00.Custom_i386.deb
Acesse o diretório onde se encontra o fonte do iptables:
cd /usr/src/iptables-1.3.7
Aplique o patch do layer7 em nosso fonte:
patch -p1 < /usr/src/netfilter-layer7-v2.9/iptables-layer7-2.9.patch
Habilite as extensões:
chmod +x extensions/.layer7-test
Definimos nossos caminhos padrões:
make KERNEL_DIR=/usr/src/linux BINDIR=/sbin LIBDIR=/lib
make install KERNEL_DIR=/usr/src/linux BINDIR=/sbin LIBDIR=/lib
Acessamos o diretório dos protocolos:
cd /usr/src/l7-protocols-2007-01-14
make install
depmod -a
Reboot no kernel novo.
Se não der nenhum erro é só criar suas regras mesclando NetFilter/Iptables com L7filter e o IPP2P.
Considerações finais
Pronto! Você terá um firewall com suporte ao Layer 7 Filter (para bloqueio definitivo de aplicações do tipo Messenger) e IPP2P (para bloqueio de aplicações do tipo P2P).
Alguns exemplos de regras poderão ser encontradas no site oficial do Layer7 Filter e do IPP2P.
Exemplos de bloqueio
Bloqueio de Messenger e entre outros
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
Gerando logs do msn
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j LOG --log-prefix "msn : "
Bloqueia cliente Kazaa, BitTorrent, edonkey/emule e SoulSeek
iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
[b]Observação:[/b] Méritos para principais pessoas que ajudaram de forma indireta no tuto, pois este tuto nada mais nada menos do que uma simplis solução de um e de outro que fui pegando, um pouco de cada e cheguei em um grande resultado e CONCLUSÃO.
E a pessoa responsável pelo minha entrada no mundo Linux, Jorge Mendes ou melhor mendes12bda.
Espero que ajude.
Sites de Pesquisa para o Tuto.
GOOGLE http://www.google.com.br/linux
VIVAOLINUX http://www.vivaolinux.com.br Fernando Boan - Debian 4.0 + iptables 1.3.7 + ipp2p Elton de Paiva Souza - Firewall bridge + iptables + layer7 + ipp2p
Layer7 Filter http://l7-filter.sourceforge.net/
IPP2P http://www.ipp2p.org/
Rau-Ru Linux http://www.rau-tu.unicamp.br/l
Debian For Dummies http://www.debianfordummies.org
