Comment configurer un classificateur de paquets Linux Layer 7 sur CentOS 5.1

Introduction

Ce tutoriel vous guidera à travers la configuration d’un classificateur de paquets Linux layer 7 sur CentOS 5.1, cela peut facilement être adapté à toute autre distribution Linux.

L7-filter est un classificateur pour le Netfilter Linux qui identifie les paquets en fonction des motifs dans les données de la couche application. Cela permet une classification correcte des trafics P2P. Il peut classer des paquets tels que Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., qui utilisent des ports imprévisibles ainsi que des protocoles standard fonctionnant sur des ports non standards. Il complète les classificateurs existants qui correspondent à l’adresse IP, aux numéros de port, etc. http://l7-filter.sourceforge.net/

1) Télécharger les paquets requis

1.1) Télécharger le noyau L7-filter

wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.19.tar.gz

1.2) Télécharger l’espace utilisateur L7-filter

wget http://downloads.sourceforge.net/l7-filter/l7-filter-userspace-0.7.tar.gz

1.3) Télécharger les définitions de protocole L7-filter

wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz

Note importante : Téléchargez toujours la dernière version de L7-filter depuis http://sourceforge.net/project/showfiles.php?group_id=80085

1.4) Télécharger Iptables Linux 1.4.0

wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.0.tar.bz2

1.5) Télécharger le noyau Linux 2.6.26

wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.26.tar.bz2

2) Installer L7-filter

Ouvrez un terminal et faites

tar -xvf linux-2.6.26.tar.bz2

tar -xvf netfilter-layer7-v2.19.tar.gz

2.1) Appliquer le patch au code source du noyau Linux

cd linux-2.6.26
patch -p1 < ../netfilter-layer7-v2.19/kernel-2.6.25-layer7-2.19.patch

2.2) Appliquer le patch et installer iptables 1.4.0

tar -xvf iptables-1.4.0.tar.bz2
cd iptables-1.4.0
patch -p1 < ../netfilter-layer7-v2.19/iptables-1.4-for-kernel-2.6.20forward-layer7-2.19.patch
chmod +x extensions/.layer7-test
make KERNEL_DIR=~/linux-2.6.26
make install KERNEL_DIR=~/linux-2.6.26

3) Installer les définitions de protocole

tar -xvf l7-protocols-2008-04-23.tar.gz
cd l7-protocols-2008-04-23
mkdir /etc/l7-protocols
cp protocols/* /etc/l7-protocols

4) Compiler et installer le nouveau noyau Linux

cd linux-2.6.26
make menuconfig
make all
make modules_install
make install

Note importante :- Vous devez activer les options suivantes (celles-ci sont correctes pour Linux 2.6.26, mais elles ont tendance à changer beaucoup, donc vous devrez peut-être chercher si vous avez une version de noyau différente) :

“Cadre de filtrage de paquets réseau (Netfilter)” (Réseau ? Option de réseau)
“Support du suivi de connexion Netfilter” (… ? Cadre de filtrage de paquets réseau (Netfilter) ? Configuration de base de Netfilter)
“Suivi de connexion comptabilité de flux” (sur le même écran)
Enfin, “Support de correspondance Layer 7”
Optionnel mais fortement recommandé : Beaucoup d’autres options Netfilter, notamment “Support FTP” et d’autres correspondances. Si vous ne savez pas ce que vous faites, allez-y et activez-les toutes.

5) Vérifier les paramètres de GRUB

vim /etc/grub.conf

Il doit ressembler à ceci :

default=0
timeout=3
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.26)
        root (hd0,0)
        kernel /vmlinuz-2.6.26 ro root=/dev/VolGroup00/LogVol00 rhgb quiet
        initrd /initrd-2.6.26.img
title CentOS (2.6.18-53.el5)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-53.el5 ro root=/dev/VolGroup00/LogVol00 rhgb quiet
        initrd /initrd-2.6.18-53.el5.img

6) Enfin

Eh bien, nous avons terminé, redémarrez le système et profitez-en.

restart

7) Tester l7-filter

iptables -m layer7 –help

Amusez-vous !