Come Configurare un Classificatore di Pacchetti Layer 7 Linux su CentOS 5.1

Introduzione

Questo tutorial ti guiderà nella configurazione di un classificatore di pacchetti layer 7 Linux su CentOS 5.1, facilmente adattabile a qualsiasi altra distribuzione Linux.

L7-filter è un classificatore per il Linux Netfilter che identifica i pacchetti in base ai modelli nei dati del livello applicazione. Questo consente una corretta classificazione del traffico P2P. Può classificare pacchetti come Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, ecc., che utilizzano porte imprevedibili così come protocolli standard che girano su porte non standard. Completa i classificatori esistenti che corrispondono a indirizzi IP, numeri di porta e così via. http://l7-filter.sourceforge.net/

1) Scarica i pacchetti richiesti

1.1) Scarica il kernel L7-filter

wget http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.19.tar.gz

1.2) Scarica lo spazio utenti L7-filter

wget http://downloads.sourceforge.net/l7-filter/l7-filter-userspace-0.7.tar.gz

1.3) Scarica le definizioni dei protocolli L7-filter

wget http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz

Nota Importante: Sempre scaricare l’ultima versione di L7-filter da http://sourceforge.net/project/showfiles.php?group_id=80085

1.4) Scarica Linux Iptables 1.4.0

wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.0.tar.bz2

1.5) Scarica il Kernel Linux 2.6.26

wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.26.tar.bz2

2) Installa L7-filter

Apri un terminale e fai

tar -xvf linux-2.6.26.tar.bz2

tar -xvf netfilter-layer7-v2.19.tar.gz

2.1) Applica la patch al sorgente del kernel Linux

cd linux-2.6.26
patch -p1 < ../netfilter-layer7-v2.19/kernel-2.6.25-layer7-2.19.patch

2.2) Applica la patch e installa iptables 1.4.0

tar -xvf iptables-1.4.0.tar.bz2
cd iptables-1.4.0
patch -p1 < ../netfilter-layer7-v2.19/iptables-1.4-for-kernel-2.6.20forward-layer7-2.19.patch
chmod +x extensions/.layer7-test
make KERNEL_DIR=~/linux-2.6.26
make install KERNEL_DIR=~/linux-2.6.26

3) Installazione delle definizioni dei protocolli

tar -xvf l7-protocols-2008-04-23.tar.gz
cd l7-protocols-2008-04-23
mkdir /etc/l7-protocols
cp protocols/* /etc/l7-protocols

4) Compilazione e installazione del nuovo kernel linux

cd linux-2.6.26
make menuconfig
make all
make modules_install
make install

Nota Importante:- Devi abilitare le seguenti opzioni (queste sono corrette per Linux 2.6.26, ma tendono a spostarsi molto, quindi potresti dover cercare se hai una versione del kernel diversa):

“Framework di filtraggio pacchetti di rete (Netfilter)” (Networking ? Opzione di rete)
“Supporto per il tracciamento delle connessioni Netfilter” (… ? Framework di filtraggio pacchetti di rete (Netfilter) ? Configurazione core di Netfilter)
“Contabilità del flusso di tracciamento delle connessioni” (nella stessa schermata)
Infine, “Supporto per il match Layer 7”
Facoltativo ma altamente raccomandato: Molte altre opzioni di Netfilter, in particolare “Supporto FTP” e altri match. Se non sai cosa stai facendo, procedi e abilitali tutti.

5) Controlla le impostazioni di GRUB

vim /etc/grub.conf

Deve apparire così:

default=0
timeout=3
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.26)
        root (hd0,0)
        kernel /vmlinuz-2.6.26 ro root=/dev/VolGroup00/LogVol00 rhgb quiet
        initrd /initrd-2.6.26.img
title CentOS (2.6.18-53.el5)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-53.el5 ro root=/dev/VolGroup00/LogVol00 rhgb quiet
        initrd /initrd-2.6.18-53.el5.img

6) Infine

Bene, abbiamo finito, riavvia il sistema e divertiti.

restart

7) Testa l7-filter

iptables -m layer7 –help

Divertiti!