Compilando kernel com suporte a POM (path-omatic) e Layer7 no Debian e Slackware

Esse artigo visa auxiliar os administradores de rede a implementar políticas mais efetivas de bloqueio pacotes na rede, tais como emule, msn e etc. Foca ainda configuração de diretivas de segurança tais como o PSD e o STRING, que podem auxiliar o Squid no bloqueio a tráfego HTTP.

[ Hits: 52.189 ]

Por: Leandro Moreira em 28/06/2006


Compilando kernel e iptables



Vamos agora compilar o kernel, dependendo do seu processador essa tarefa pode ser um pouco demorada, ou seja, coloca pra compilar e pode ir tomar um cafezinho na padaria da esquina.

# cd /usr/src/linux-2.6.14
# make ; make dep ; make bzImage ; make modules; make modules_install


Caso esteja usando o Debian, use o seguinte comando:

# make-kpkg --initrd kernel_image

No Debian é mais simples a compilação, pois ele dispensa o uso dos comandos de compilação anteriormente usados.

Para instalar o novo kernel no Debian basta:

# dpkg -i kernel.deb

Terminada a compilação, copiaremos a imagens gerada para diretório de boot e colocaremos a nossa nova imagem no lilo:

# vi /etc/lilo.conf

Adicione a seguinte entrada às já existentes no lilo:

# Linux bootable partition config begins
image = /boot/bzImage # (imagem gerada durante a compilação)
  root = /dev/hda2 # (partição raiz / da máquina)
  label = Linux-teste # (nome que irá aparecer no lilo)
  read-only

Salve o arquivo e saia.

Rode o lilo para atualizar:

# lilo

# cd /boot
# cp /usr/src/linux-2.6.14/arch/i386/boot/bzimage .


Se estiver compilando um novo kernel, é interessante copiarmos também o System.map:

# cp /usr/src/linux-2.6.14/System.map .

Observação: Ao instalar o novo pacote no Debian, ele automaticamente atualiza o gerenciador de boot.

Compilando iptables


Agora vamos compilar o iptables.

# cd /usr/src/iptables-1.3.5
# make KERNEL_DIR=/usr/src/linux-2.6.14 BIN_DIR=/bin SBIN_DIR=/sbin
# make KERNEL_DIR=/usr/src/linux-2.6.14 BIN_DIR=/bin SBIN_DIR=/sbin install


Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Aplicando o POM (Patch-o-matic):
   3. Aplicando Layer7
   4. Habilitando os módulos no kernel
   5. Compilando kernel e iptables
   6. Instalando os protocolos do Layer7 e exemplos de regras
Outros artigos deste autor

Monitorando Host via IPMI no Zabbix

Integrando autenticação do Squid ao Active Directory

Recuperando RouterOS na RouterBOARD 450

Integrando Apache 2 com Tomcat 5

Instalação e configuração do Squid com TProxy no Debian

Leitura recomendada

Compilação do kernel v3.x no CentOS e Debian

Empacotamento de Kernel em Sistemas Debian-Based

Slackware 13 - Compilando o kernel 2.6.32rc6

Controle de tráfego utilizando HTB no Debian Sarge

Debian Linux: Atualizando o kernel 2.6.24 para 2.6.26.3 (versão estável)

  
Comentários
[1] Comentário enviado por fredaum em 28/06/2006 - 16:45h

muito legal

na empresa onde trabalho fiz isso também, nos meus dois proxy, e vale lembra que é a única maneira (que eu conheço pelo menos) de bloquear o acesso do skype, é utilizando layer7, segue as regras para quem se interessar:

iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypeout -j DROP
iptables -A FORWARD -s 192.x.x.x -m layer7 --l7proto skypetoskype -j DROP

Abraços e parabéns pelo artigo.

[2] Comentário enviado por rjacomel em 28/06/2006 - 17:03h

Recomendo a utilização do IPP2P também:

http://www.ipp2p.org/

É próprio para bloqueio de softwares P2P (Kazaa, eMule, BitTorrent, etc.)

Parabéns pelo artigo.

[3] Comentário enviado por PetersonPS em 28/06/2006 - 18:13h

Muito bom mesmo.

Tentei a um tempo atras aplicar o POM e não tive sucesso, através deste artigo consegui identificar onde errei.

Parabéns.


[4] Comentário enviado por josevaldo em 30/06/2006 - 00:02h

Cara, o artigo tá bem explicado, porem aqui no meu slack 10.2 com kernel 2.613, não teve como habilitar as opções no kernel para que eu podesse recompilá-lo... será onde foi q eu errei.?

[5] Comentário enviado por leandromoreirati em 19/07/2006 - 16:45h

Como vc aplicou os patchs esta da forma como eu descrevi no artigo?

[6] Comentário enviado por balani em 01/08/2006 - 08:25h

Gostaria de parabenizar pelo artigo, está muito bom, eu gostaria de tirar uma duvida, não consegui aplicar o modulo string no meu kernel, estou usando conectiva 10 kernel 2.6.11 iptables 1.3.5, pois fiz to o procedimento de para aplicação do patch e ele não apareceu no menu da compilação. se puder me ajudar.

[7] Comentário enviado por leandromoreirati em 03/08/2006 - 00:44h

Caro,
Por default o string ja vem aplicado nos kernels da família 2.6 o que acontece e que dentro do network configuration tem algumas opções que se nao ativadas alguns módulos dentre eles o string e o layer7 nao aparecem, tenta ativar todas as opções e ve se ela aparece ( nao tenho um fonte de 2.6.11 aki pra ver ) ou se achar melhor da um screen na sua tela de opções e me manda por email.

[8] Comentário enviado por robertocruz em 04/01/2007 - 04:11h

Na aplicação do patch do Layer 7 sobre o kernel deu erro.

# patch -p1 < ../netfilter-layer7-v2.1/kernel-2.6.13-2.6.15-layer7-2.1.patch 9.1

patching file include/linux/netfilter_ipv4/ip_conntrack.h
Hunk #1 succeeded at 127 (offset -126 lines).
patching file include/linux/netfilter_ipv4/ipt_layer7.h
patching file net/ipv4/netfilter/Kconfig
Hunk #1 FAILED at 205.
1 out of 1 hunk FAILED -- saving rejects to file net/ipv4/netfilter/Kconfig.rej
patching file net/ipv4/netfilter/Makefile
Hunk #1 succeeded at 65 with fuzz 2 (offset -9 lines).
patching file net/ipv4/netfilter/ip_conntrack_core.c
Hunk #1 succeeded at 337 (offset 2 lines).
patching file net/ipv4/netfilter/ip_conntrack_standalone.c
Hunk #1 succeeded at 192 (offset 4 lines).
patching file net/ipv4/netfilter/ipt_layer7.c
patching file net/ipv4/netfilter/regexp/regexp.c
patching file net/ipv4/netfilter/regexp/regexp.h
patching file net/ipv4/netfilter/regexp/regmagic.h
patching file net/ipv4/netfilter/regexp/regsub.c

Alguém tem alguma idéia do que se trata e/ou de como resolver?

[9] Comentário enviado por leandromoreirati em 06/12/2007 - 16:59h

Qual é a versao do kernel que vc esta usando?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts