Esse artigo visa auxiliar os administradores de rede a implementar políticas mais efetivas de bloqueio pacotes na rede, tais como emule, msn e etc. Foca ainda configuração de diretivas de segurança tais como o PSD e o STRING, que podem auxiliar o Squid no bloqueio a tráfego HTTP.
Vamos agora compilar o kernel, dependendo do seu processador essa tarefa pode ser um pouco demorada, ou seja, coloca pra compilar e pode ir tomar um cafezinho
na padaria da esquina.
# cd /usr/src/linux-2.6.14
# make ; make dep ; make bzImage ; make modules; make modules_install
Caso esteja usando o Debian, use o seguinte comando:
# make-kpkg --initrd kernel_image
No Debian é mais simples a compilação, pois ele dispensa o uso dos comandos de compilação anteriormente usados.
Para instalar o novo kernel no Debian basta:
# dpkg -i kernel.deb
Terminada a compilação, copiaremos a imagens gerada para diretório de boot e colocaremos a nossa nova imagem no lilo:
# vi /etc/lilo.conf
Adicione a seguinte entrada às já existentes no lilo:
# Linux bootable partition config begins
image = /boot/bzImage # (imagem gerada durante a compilação)
root = /dev/hda2 # (partição raiz / da máquina)
label = Linux-teste # (nome que irá aparecer no lilo)
read-only
Salve o arquivo e saia.
Rode o lilo para atualizar:
# lilo
# cd /boot
# cp /usr/src/linux-2.6.14/arch/i386/boot/bzimage .
Se estiver compilando um novo kernel, é interessante copiarmos também o System.map:
# cp /usr/src/linux-2.6.14/System.map .
Observação: Ao instalar o novo pacote no Debian, ele automaticamente atualiza o gerenciador de boot.
Compilando iptables
Agora vamos compilar o iptables.
# cd /usr/src/iptables-1.3.5
# make KERNEL_DIR=/usr/src/linux-2.6.14 BIN_DIR=/bin SBIN_DIR=/sbin
# make KERNEL_DIR=/usr/src/linux-2.6.14 BIN_DIR=/bin SBIN_DIR=/sbin install
[1] Comentário enviado por fredaum em 28/06/2006 - 16:45h
muito legal
na empresa onde trabalho fiz isso também, nos meus dois proxy, e vale lembra que é a única maneira (que eu conheço pelo menos) de bloquear o acesso do skype, é utilizando layer7, segue as regras para quem se interessar:
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypeout -j DROP
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypetoskype -j DROP
[4] Comentário enviado por josevaldo em 30/06/2006 - 00:02h
Cara, o artigo tá bem explicado, porem aqui no meu slack 10.2 com kernel 2.613, não teve como habilitar as opções no kernel para que eu podesse recompilá-lo... será onde foi q eu errei.?
[6] Comentário enviado por balani em 01/08/2006 - 08:25h
Gostaria de parabenizar pelo artigo, está muito bom, eu gostaria de tirar uma duvida, não consegui aplicar o modulo string no meu kernel, estou usando conectiva 10 kernel 2.6.11 iptables 1.3.5, pois fiz to o procedimento de para aplicação do patch e ele não apareceu no menu da compilação. se puder me ajudar.
[7] Comentário enviado por leandromoreirati em 03/08/2006 - 00:44h
Caro,
Por default o string ja vem aplicado nos kernels da família 2.6 o que acontece e que dentro do network configuration tem algumas opções que se nao ativadas alguns módulos dentre eles o string e o layer7 nao aparecem, tenta ativar todas as opções e ve se ela aparece ( nao tenho um fonte de 2.6.11 aki pra ver ) ou se achar melhor da um screen na sua tela de opções e me manda por email.