Instalação e Configuração do Firewall Layer7 IPP2P

De Fórum Debian Wiki


Índice de conteúdo

Introdução

Bom pessoal após 2 dias de muito sofrimento e de garimpar na internet, consegui colocar Firewal + Layer7 + IPP2P para rodar perfeitamente no Debian 4.0 Netinst sem complicações. Vamos lá. Para instalação do layer7 e ipp2p, temos que ter o principal o sistema já instalado na maquina, utilizamos o Debian 4.0 Netinst . Optamos por ele que é um sistema fácil a instalação, manutenção e o principal documentação. Nele vamos instalar o sistema básico contento os principais pacotes que necessitamos. Sistema : Debian 4.0 Netinst Vamos a botar a mão na massa:

download

Entre no seguinte Diretório:

cd /usr/src

E baixemos os pacotes para este diretório.

Kernel 2.6.19:

wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.tar.gz

Iptables 1.3.7:

wget http://www.netfilter.org/projects/iptables/files/iptables-1.3.7.tar.bz2

Filtro Layer7:

wget http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.9.tar.gz

Protocolos do Layer7:

wget http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2007-07-27.tar.gz

Alguns pacotes necessários para a descompactação dos pacotes e a recompilação do kernel:

aptitude install bzip2 gzip unzip libncurses5-dev kernel-package

Compilação do kernel

Descompacte os pacotes baixados:

tar xvzf linux-2.6.19.tar.gz
tar xvjf iptables-1.3.7.tar.bz2
tar xvzf netfilter-layer7-v2.9.tar.gz
tar xvzf l7-protocols-2007-05-09.tar.gz
tar zxvf ipp2p-0.8.2.tar.gz

Criaremos um link simbólico para o nosso novo kernel:

ln -s /usr/src/linux-2.6.19 /usr/src/linux

Copiamos as configurações de boot do nosso kernel atual para serem utilizadas no nosso novo kernel:

cp /boot/config-2.6.18-4-686 /usr/src/linux/.config

Acesse o diretório do nosso novo kernel:

cd /usr/src/linux

Aplicaremos o patch do layer7 para dar suporte à este em nosso kernel a ser recompilado.

patch -p1 < /usr/src/netfilter-layer7-v2.9/kernel-2.6.18-2.6.19-layer7-2.9.patch

Instalando IPP2P

Aplicando os patches:

cd ..
cd patch-o-matic-ng-20070508
./runme --download

Após fazer o download dos patches digite:

./runme ipp2p

Ele fará duas perguntas, qual o caminho do source do Linux e qual o caminho do iptables. Como feito anteriormente, com os atalhos criados, basta apenas apertar enter a cada pergunta que já estará corretamente configurado.

A seguir é mostrado uma tela com descrições do ipp2p, e uma pergunta se deseja aplicar o patch ou não.

Aperte "y" e dê enter.

Agora habilitaremos nossos módulos nesse kernel:

make menuconfig

A tela de configuração do kernel será mostrada. Você deverá seguir os passos:

Networking ---> Networking options ---> [*] Network packet filtering (replaces ipchains) ---> Core Netfilter Configuration ---> Netfilter Xtables support (required for ip_tables)

Ative com M a opção Netfilter Xtables support.

Com o módulo ativado, selecione Exit e pressione <ENTER>.

Siga para:

Networking ---> Networking options ---> [*] Network packet filtering (replaces ipchains) ---> IP: Netfilter Configuration ---> IP tables support (required for filtering/masq/NAT) --->

e ative:

<M> Layer 7 match support (EXPERIMENTAL)

Após o Layer7, siga os caminhos abaixo para não ter erros ao selecionar o patch ipp2p:

Networking ---> Network Options ---> Network packet filtering framework (Netfilter) ---> IP: Netfilter Configuration

A ultima opção é IPP2P match support (NEW).

Marque-a.

Vá clicando selecionando exit e apertando enter até conseguir sair. E quando aparecer uma tela: "Do you wish to save new kernel configuration", selecione yes e aperte enter.

Pronto, agora podemos começar realmente o processo de recompilação. Após ativar conforme acima, siga selecionando Exit e <ENTER> até que seja perguntado se você deseja salvar a nova configuração do kernel, selecione YES e <ENTER> para salvar.

make-kpkg -initrd kernel_image

Volte para o diretório dos nossos pacotes baixados:

cd /usr/src

instalação

Descompacte nosso kernel personalizado:

dpkg -i linux-image-2.6.19_2.6.19-10.00.Custom_i386.deb

Acesse o diretório onde se encontra o fonte do iptables:

cd /usr/src/iptables-1.3.7

Aplique o patch do layer7 em nosso fonte:

patch -p1 < /usr/src/netfilter-layer7-v2.9/iptables-layer7-2.9.patch

Habilite as extensões:

chmod +x extensions/.layer7-test

Definimos nossos caminhos padrões:

make KERNEL_DIR=/usr/src/linux BINDIR=/sbin LIBDIR=/lib
make install KERNEL_DIR=/usr/src/linux BINDIR=/sbin LIBDIR=/lib

Acessamos o diretório dos protocolos:

cd /usr/src/l7-protocols-2007-01-14
make install
depmod -a

Reboot no kernel novo.

Se não der nenhum erro é só criar suas regras mesclando NetFilter/Iptables com L7filter e o IPP2P.

Considerações finais

Pronto! Você terá um firewall com suporte ao Layer 7 Filter (para bloqueio definitivo de aplicações do tipo Messenger) e IPP2P (para bloqueio de aplicações do tipo P2P).

Alguns exemplos de regras poderão ser encontradas no site oficial do Layer7 Filter e do IPP2P.


Exemplos de bloqueio

Bloqueio de Messenger e entre outros

iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP

Gerando logs do msn

iptables -A FORWARD -m layer7 --l7proto msnmessenger -j LOG --log-prefix "msn : "


Bloqueia cliente Kazaa, BitTorrent, edonkey/emule e SoulSeek

iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP

[b]Observação:[/b] Méritos para principais pessoas que ajudaram de forma indireta no tuto, pois este tuto nada mais nada menos do que uma simplis solução de um e de outro que fui pegando, um pouco de cada e cheguei em um grande resultado e CONCLUSÃO.

E a pessoa responsável pelo minha entrada no mundo Linux, Jorge Mendes ou melhor mendes12bda.

Espero que ajude.


Sites de Pesquisa para o Tuto.

GOOGLE http://www.google.com.br/linux

VIVAOLINUX http://www.vivaolinux.com.br Fernando Boan - Debian 4.0 + iptables 1.3.7 + ipp2p Elton de Paiva Souza - Firewall bridge + iptables + layer7 + ipp2p

Layer7 Filter http://l7-filter.sourceforge.net/

IPP2P http://www.ipp2p.org/

Rau-Ru Linux http://www.rau-tu.unicamp.br/l

Debian For Dummies http://www.debianfordummies.org

Ferramentas pessoais