Pages : 1
#1 Le 18/05/2006, à 01:45
- rilemre
mod l7_filter d'iptables
bonjour a tous,
je suis en train d'etablir mes regles de filtrage avec iptables 1.3.1 sur un noyau 2.6.12-10-k7
je souhaite utiliser le module l7-filter, mais un modprobe sur le shell me retourne
# modprobe l7-filter
FATAL: Module l7_filter not found.
que dois je faire pour avoir ce module? j'ai bien regardé dans synaptic a tout hasard, mais rien, quoique pas bien sur que cela soit la qu'il faille chercher...
c'est un peu obscur pour moi toutes ces histoires de noyaux, de modules...
bien cordialement,
Hors ligne
#2 Le 28/05/2006, à 20:18
- rilemre
Re : mod l7_filter d'iptables
bonsoir
j'ai bien regardé la documentation de l7-filter. seulement il semblerait qu'il faille que je recompile mon noyau et le patcher pour pouvoir installer ce mod.
seulement, d'une je n'y connais rien a cette methode, c'est tres obscure, et de deux mes noyaux sont tous modifiés par aptitude, car je n'ai pas les connaissances pour le faire.
d'ou mes questions?
- est ce possible de patcher le noyau s'il provient de synaptic ?
- ces patches devront ils etre reappliqués si je met a jour mon noyau via synaptic ?
- connaissez vous des tutoriaux pour debutant pour patcher un noyau a partir de noyaux recuperés via synaptic?
merci d'avance pour l'aide que vous pourriez m'apporter
PS: mon noyau a evolué par rapport au premier message:
je suis maintenant sous dapper drake, noyau 2.6.15-23-k7 #1 SMP
Hors ligne
#3 Le 28/05/2006, à 22:16
- lgmdmdlsr
Re : mod l7_filter d'iptables
Je n'ai pas de solution simple au problème, mais une question : qu'est-ce qui justifie une utilisation impérative du module l7_filter ? N'y a t-il pas moyen de faire autrement ?
Hors ligne
#4 Le 28/05/2006, à 22:19
- Cathou
Re : mod l7_filter d'iptables
- connaissez vous des tutoriaux pour debutant pour patcher un noyau a partir de noyaux recuperés via synaptic?
Oui, cette page du wiki est assez claire.
- ces patches devront ils etre reappliqués si je met a jour mon noyau via synaptic ?
Oui hélas
- est ce possible de patcher le noyau s'il provient de synaptic ?
C'est difficile à dire de but en blanc. Je pense que tu as pigé que les noyaux ubuntu, bien que provenant de kernel.org, ont déja subi de nombreux patches de la part des mainteneurs ubuntu avant d'être mis à disposition dans les dépots. Il est possible que la 'région' du noyau que le patch L7 est supposée affecter soit déja affectée par un patch ubuntu.
Désolée je suis pas sûre d'être très claire, là
Dans ce cas appliquer le patch L7 risque d'échouer, et il faut pas espérer une compilation réussie à la suite de ça..
Pour t'assurer que tu n'es pas dans ce cas défavorable, je vois deux méthodes:
- La méthode exhaustive/parano: tu télécharges le patch L7, tu le regardes à la loupe, tu vérifies qu'il n'y a pas de collision avec les patches ubuntu.
- La méthode cracra: tu appliques le patch purement et simplement et tu regardes ce qui se passe dans le terminal
(Je te conseille plutôt une double redirection du genre &> ~/resultat_patch.txt)
j'ai bien regardé la documentation de l7-filter
Moi aussi.
Es-tu bien sûr de toi? Le filtrage apporté par L7 n'a pas la vocation de sécuriser d'après ce que j'ai compris. Dans ces conditions, tu cherches à faire quoi? De la QoS?
De plus, mauvaise nouvelle: il faut aussi patcher iptables. Tu devras désinstaller le paquet iptables, récupérer les sources, appliquer le patch, compiler. Grr..
Enfin bref, h'est bon mais h'est haud.
#5 Le 28/05/2006, à 22:33
- rilemre
Re : mod l7_filter d'iptables
bonsoir
Pour t'assurer que tu n'es pas dans ce cas défavorable, je vois deux méthodes:
- La méthode exhaustive/parano: tu télécharges le patch L7, tu le regardes à la loupe, tu vérifies qu'il n'y a pas de collision avec les patches ubuntu.
- La méthode cracra: tu appliques le patch purement et simplement et tu regardes ce qui se passe dans le terminal
(Je te conseille plutôt une double redirection du genre &> ~/resultat_patch.txt)
ok
bon bien que j'ai bien compris les fondements, je ne me sens pas tres doué.
donc je pense que je vais d'abord passer par la methode crado, mon systeme etant neuf, j'aurais moins de scrupule si je le perds
j'ai bien regardé la documentation de l7-filter
Moi aussi.
Es-tu bien sûr de toi? Le filtrage apporté par L7 n'a pas la vocation de sécuriser d'après ce que j'ai compris. Dans ces conditions, tu cherches à faire quoi? De la QoS?De plus, mauvaise nouvelle: il faut aussi patcher iptables. Tu devras désinstaller le paquet iptables, récupérer les sources, appliquer le patch, compiler. Grr..
Enfin bref, h'est bon mais h'est haud.
non non
l7-filter permet de faire du filtrage non pas au niveau 3 comme avec iptables mais au niveau 7 du modele osi.
cela permet de faire un filtrage au niveau applicatif et plus seulement au niveau reseau.
mon filtrage reseau est ok, assez poussé.
Maintenant il est vrai que certains applicatifs, tel les logiciels de peers to peers ou les logiciels de messagerie instantanné sont tres difficiles a filtrer via un filtrage reseau.
c'est pour cela que j'aimerais tester ce module sur iptables.
donc je vais regarder tout ca, et j'espère, je ne pas avoir a reposer de question sur le sujet, j'en pose beaucoup en ce moment lol
merci pour ton aide
Hors ligne
#6 Le 29/05/2006, à 00:24
- corbier
Re : mod l7_filter d'iptables
lut all
j'ai trouver ca comme quoi ily aurait des package debian pour l7-filter
http://debian.kernelpanic.co.uk/
Available Packages
------------------
iptables+imq+l7 iptables compiled with:
-> IMQ target support <http://www.linuximq.net/>
-> Layer 7 match support <http://l7-filter.sourceforge.net/>
kernel-patch-l7-filter application layer packet classifier - kernel patch for 2.4.x and 2.6.15
l7-filter-data protocol definition files for the layer 7 packet classifier
il est vrai qu'il est risqué d'utiliser ces paquet mais bon tu peut tenté le coup
++
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#7 Le 29/05/2006, à 21:05
- rilemre
Re : mod l7_filter d'iptables
bonsoir
bon j'ai essayé ce depot, ca n'a pas fonctionné...
dommage...
j'ai quand meme essayé comme c'est mentionné dans le wiki
#uname -a
me retourne 2.6.15-23-k7 #1 SMP PREEMPT
j'ai donc telechargé les sources
linux-source-2.6.15.tar.bz2
bon jusque la pas de problemes
j'ai telechargé le patch netfilter netfilter-layer7-v2.2.tar.gz et le fichier de definitions de protocoles l7-protocols-2006-05-29.tar.gz
seulement plusieurs choses me gene:
- dans le wiki il est mentionné que l'on doit avoir un lien symbolique linux qui pointe sur les sources dans /usr/src
je ne l'ai pas. j'imagines que c'est parce que mon noyau est "geré" par synaptic.
est ce que cela change quelque chose a la procedure que je dois realiser? en gros, si je recree le lien apres la recompilation du noyau, cela va il changer quelque chose a grub et rendre mon systeme totalement inutilisable?
- j'ai quand meme continué.
cree le lien et extrait les patches pour netfilter et le noyau. seulement une fois l'archive decompressée, j'ai dans le dossier:
# ll
-rw-r--r-- 1 matthieu matthieu 3948 2006-05-09 07:49 CHANGELOG
drwxr-xr-x 2 matthieu matthieu 4096 2006-05-09 08:07 for_older_kernels
drwxr-xr-x 3 matthieu matthieu 4096 2006-05-29 20:37 include
-rw-r--r-- 1 matthieu matthieu 11321 2006-01-18 07:08 iptables-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu 58104 2005-09-12 08:16 kernel-2.4-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu 56365 2006-05-09 07:48 kernel-2.6.13-2.6.16-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu 1489 2006-05-09 08:08 README
-rw-r--r-- 1 matthieu matthieu 642 2005-05-04 01:14 stray_code
celui qui me semble le plus approprié est le kernel-2.6.13-2.6.16-layer7-2.2.patch. seulement mon noyau est anterieur a ce patch. cela change il quelque chose?
enfin ma derniere question est: si mes souvenirs sont bons, la commande pour patcher est:
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
mais dois je mettre le contenu de l'archive extraire dans le dossier /usr/src/linux-source-mon_numero_de_noyau?
je sais, tout ca c'est surement des questions de debutant, mais j'imagines que ce topic pourrait servir a d'autre qui souhaitent patcher leur noyau pour faire d'iptables un firewall applicatif.
si une ame charitable voulais bien m'aider, ca serait avec plaisir qu'en suite je redigerais une petite doc ou une petite contribution sur le wiki pour reprendre les differentes etapes de ce processus...
Matthieu un peu paumé
Hors ligne
#8 Le 30/05/2006, à 07:23
- Cathou
Re : mod l7_filter d'iptables
bon j'ai essayé ce depot, ca n'a pas fonctionné...
dommage...
Oui, comme tu dis
dans le wiki il est mentionné que l'on doit avoir un lien symbolique linux qui pointe sur les sources dans /usr/src
je ne l'ai pas. j'imagines que c'est parce que mon noyau est "geré" par synaptic.
est ce que cela change quelque chose a la procedure que je dois realiser? en gros, si je recree le lien apres la recompilation du noyau, cela va il changer quelque chose a grub et rendre mon systeme totalement inutilisable?
1) Arrête de flipper
2) le lien vers linux-source-2.6.15 est absolument nécessaire à la compilation
3) s'il existe et pointe vers 'quelque-chose' avant d'avoir dézippé de bz2, détruis-le
4) dézippe
5) ensuite crée le lien
Quant à tes inquiétudes, il faut bien voir la finalité: fabriquer un paquet deb, qu'il s'agira ensuite d'installer. Ce paquet nommé kernel-image-tralala.deb sera aussi 'fiable' qu'un paquet linux-image de chez ubuntu, aucun risque. L'installation rajoutera deux entrées dans ton menu grub, et il suffira de rebooter. On peut pas faire plus simple. La compilation en elle-même est sans danger. Au pire, elle échoue et puis voila. Respire un coup
celui qui me semble le plus approprié est le kernel-2.6.13-2.6.16-layer7-2.2.patch. seulement mon noyau est anterieur a ce patch. cela change il quelque chose?
??
2.6.13 < 2.6.15 < 2.6.16
Donc ça devrait aller non? Que dit le readme?
enfin ma derniere question est: si mes souvenirs sont bons, la commande pour patcher est:
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
mais dois je mettre le contenu de l'archive extraire dans le dossier /usr/src/linux-source-mon_numero_de_noyau?
Là t'exagères -> man patch !!
Moi je ferais: cp kernel-2.6.13-2.6.16-layer7-2.2.patch /usr/src/linux
De toute façon, dans le cadre de la méthode 'cracra' tu tentes avec l'option --dryrun et tu vois ce qui se passe. S'il est pas positionné là où il le doit, t'en fais pas tu le verras vite. Si tout s'est passé correctement, relance sans --dry-run et voila, ton patch a été appliqué avec succès.
Et puis qui t'interdit de regarder le fichier patch dans un éditeur? Tu verras bien les chemins utilisés, ça n'a rien à voir avec de la magie noire tout ça.
Dès que le patch a été appliqué, t'es bon pour le menuconfig. Je te renvoie au wiki et à ta page L7:
* EXPERIMENTAL (Code maturity level options → Prompt for development and/or incomplete code/drivers)
* Netfilter (Device Drivers → Networking support → Networking Options → Network packet filtering)
* Connection tracking (Network packet filtering → IP: Netfilter Configuration → Connection tracking)
* "Connection tracking flow accounting" and "IP tables support" (on the same screen)
* And finally, "Layer 7 match support"
* Optional: Lots of other Netfilter options, notably "FTP support" and other matches. If you don't know what you're doing, go ahead and enable all of them.
Bon je t'ai un peu chambré mais c'est pas méchant. Tiens-nous au courant.
#9 Le 30/05/2006, à 08:06
- corbier
Re : mod l7_filter d'iptables
Bon j'ai testé sur debian le dépot ne fonctionne pas non plus
pas étonnant avec une url comme http://debian.kernelpanic.co.uk/
Bon sinon ca m'interresse pas mal ce truc moi aussi
Je croit que je vais m'y mettre ce matin allez je vous tiens au courant
Pour info j'install ca sur un debian sarge 2.6.15
Merci pour l'info sur les compil Cathou
Bon je t'ai un peu chambré mais c'est pas méchant. Tiens-nous au courant.
<troll>C'est vrai que c'est énervant d'expliquer au débutant </troll>
Troll POwaaa
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#10 Le 30/05/2006, à 08:33
- Cathou
Re : mod l7_filter d'iptables
pas étonnant avec une url comme http://debian.kernelpanic.co.uk/
Ouais, dans le genre humour anglais je préfère monty python
C'est vrai que c'est énervant d'expliquer au débutant
Attends tu va rire: je suis débutante <-- unpurposely feeding the troll
#11 Le 30/05/2006, à 09:51
- corbier
Re : mod l7_filter d'iptables
Héhé Cathou
Je me suis documenter sur monty python et j'ai appris un truc
On leur doit le term Spam :lol:
Un sketch des Monty Python est considéré comme une des sources de l'utilisation du terme spam (pourriel en français) pour décrire le courrier électronique non sollicité. Le spam étant à l'origine une sorte de viande hachée, faite avec les restes non-utilisés par les abattoirs
Attends tu va rire: je suis débutante
On est tous toujours des débutants : p :lol::lol:
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#12 Le 30/05/2006, à 10:09
- Cathou
Re : mod l7_filter d'iptables
Un tuto très sympa sur le langage Python.
On peut y lire:
So, we have control structures, input and output covered – now we need some snazzy data structures. The most important ones are lists and dictionaries. Lists are written with brackets, and can (naturally) be nested:
name = ["Cleese", "John"]
x = [[1,2,3],[y,z],[[[]]]]
One of the nice things about lists is that you can access their elements separately or in groups, through indexing and slicing. Indexing is done (as in many other languages) by appending the index in brackets to the list. (Note that the first element has index 0).
print name[1], name[0] # Prints "John Cleese"
name[0] = "Smith"
Slicing is almost like indexing, except that you indicate both the start and stop index of the result, with a colon (":") separating them:
x = ["spam","spam","spam","spam","spam","eggs","and","spam"]
print x[5:7] # Prints the list ["eggs","and"]
Quand on connaît le sketch original et ben, c'est tout à fait ça
#13 Le 30/05/2006, à 19:32
- corbier
Re : mod l7_filter d'iptables
Bon une petite aide pour les gens qui veulent l'installer
ll faut tout d'abord savoir avec quelle noyau vous voulez l'installez
moi j'ai choisi le 2.6.15
Comme la doc l'indique il faut tout d'abort installer les outils de compilation et de manipulation du noyau
sudo apt-get install build-essential fakeroot kernel-package
Il est ensuite préférable de ne pas compiler en root, il faut donc ajouter son utilisateur aux groupes src
sudo adduser mon_user src
il faut ensuite chercher les sources de son noyau ou du noyau choisi
apt-cache search linux-source
et l'installer avec apt-get
sudo apt-get install linux-source-2.6.15
ensuite on decompresse les sources ( notez que les N° de version du noyau sont a adapté selon votre cas d'utilisation)
cd /usr/src
rm linux
On se place dans /usr/src et on supprime le lien symbolique si il existe deja
tar -xjvf linux-source-2.6.15.tar.bz2
ln -s linux-source-2.6.15 linux
on décompresse et on recréez le lien symbolique
Bon notre noyau est pret à etre modifier
On télécharge le patch L7-filter
http://sourceforge.net/project/showfile … p_id=80085
Layer 7 Patches
wget http://umn.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.2.tar.gz
Telecharge le patch
On telecharge les sources d'iptables
wget http://netfilter.org/projects/iptables/files/iptables-1.3.5.tar.bz2
on extrait les deux archives
tar -xzvf netfilter-layer7-v2.2.tar.gz && tar -xjvf iptables-1.3.5.tar.bz2
ensuite copy le patch pour le noyau et pour iptables
cp netfilter-layer7-v2.2/kernel-2.6.13-2.6.16-layer7-2.2.patch linux && cp netfilter-layer7-v2.2/iptables-layer7-2.2.patch iptables-1.3.5
on applique le patch au noyau
cd linux
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
cd ..
on patch également les sources d'iptables
cd iptables-1.3.5
patch -p1 < iptables-layer7-2.2.patch
ensuite on install le iptables patché dans les sources du noyau
make KERNEL_DIR=/usr/src/linux
sudo make install KERNEL_DIR=/usr/src/linux
Voila il nous reste plus qu'a activer ces modules pour la compilation du noyau
cd ../linux
make menuconfig
maintenant il reste a activer les modules suivant comme l'indique la doc l7-filter
* EXPERIMENTAL (Code maturity level options → Prompt for development and/or incomplete code/drivers)
* Netfilter (Device Drivers → Networking support → Networking Options → Network packet filtering)
* Connection tracking (Network packet filtering → IP: Netfilter Configuration → Connection tracking)
* "Connection tracking flow accounting" and "IP tables support" (on the same screen)
* And finally, "Layer 7 match support"
* Optional: Lots of other Netfilter options, notably "FTP support" and other matches. If you don't know what you're doing, go ahead and enable all of them.
sauvegarder le tout et installer comme le spécifie la doc
apt-get install cramfsprogs initrd-tools
il nous reste a concevoir les packages .deb attention cela peut etre long selon la puissance de votre machine
fakeroot make-kpkg --append-to-version=.181004 kernel_image --initrd binary
maintenant que la compilation a été effectuer avec succes il faut l'installer
cd ..
dpkg -i kernel-image-2.6.15.181004_10.00.Custom_i386.deb
Voila qui est fait il nous reste a rebooter sur le noyau et a installer les protocoles générique de l7-filter
Un fois redémarrez telecharger les protocoles
wget http://superb-west.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2006-05-29.tar.gz
on décompresse
tar -xzvf l7-protocols-2006-05-29.tar.gz
et on l'install
cd l7-protocols-2006-05-29
make install
Voila c'est terminer vous pouvez utiliser l7-filter en modules d'iptables
pour la syntax c'est basique
iptables [specify table & chain] -m layer7 --l7proto [name of protocol] -j [action]
par exemple
iptables -I INPUT -m layer7 --l7proto http -j drop
redirigeras tout les paquets http en entrer vers /dev/null
Enjoy
++
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#14 Le 01/06/2006, à 19:52
- rilemre
Re : mod l7_filter d'iptables
bonsoir
merci pour ce topic, tres documenté.
effectivement ce n'est pas sorcier, mais...
ca ne fonctionne pas chez moi
ca fonctionne jusqu'au patch des sources, pas de problemes, par contre, quand je demande:
# make KERNEL_DIR=/usr/src/linux
dans /usr/src/iptables-1.3.5
j'ai la sortie suivante:
/bin/sh: extensions/.layer7-test: Permission non accordée
Extensions found: IPv4:CLUSTERIP IPv4:connbytes IPv4:dccp IPv4:recent IPv4:string IPv6:ah IPv6:esp IPv6:frag IPv6:ipv6header IPv6:hbh IPv6:dst IPv6:REJECT IPv6:rt
cc -O2 -Wall -Wunused -I/usr/src/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.5\" -D_UNKNOWN_KERNEL_POINTER_SIZE -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c
Dans le fichier inclus à partir de /usr/include/linux/autoconf.h:1,
à partir de /usr/src/linux/include/linux/config.h:6,
à partir de /usr/src/linux/include/linux/netfilter_ipv4.h:8,
à partir de /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:26,
à partir de include/libiptc/libiptc.h:6,
à partir de include/iptables.h:5,
à partir de extensions/libipt_ah.c:8:
/usr/include/linux/err_kernel_only.h:1:2: erreur: #error Kernel only header included in userspace
make: *** [extensions/libipt_ah_sh.o] Erreur 1
je me moque que j'ai pas les permissions pour le test de layer7, je l'ai lancé a la main sur un terminal, le test est bien validé.
par contre, c'est pour le probleme de l'erreur... je n'y comprends pas grande chose...
auriez vous encore un peu la gentillesse de m'aider?
merci beaucoup
Hors ligne
#15 Le 05/06/2006, à 10:47
- corbier
Re : mod l7_filter d'iptables
/bin/sh: extensions/.layer7-test: Permission non accordée
je pense qu'un chmod +x extensions/.layer7-test feras l'affaire
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#16 Le 02/11/2006, à 17:58
- gui82
Re : mod l7_filter d'iptables
bonjour,
je vais fait revivre cette discussion car j'ai un petit souci qui n'apparait pas dedans.
J'ai installer le patch pour iptables comme il faut (ainsi que sur le nouveau kernel que j'ai récupérer pour l'expérience), j'ai également installer les protocole dans /etc. Malheureusement je n'arrive pas à le faire fonctionner.
je n'ai pas de messages d'erreur dans mon script, mais quand j'essaie une situation où la règle devrait "se déclancher", il ne se passe rien.
Pour mon test, j'ai fait une petite variante de corbler et j'ai rajouté une autre équivalente mais qui n'utilise pas le module l7:
iptables -A INPUT -p tcp -m layer7 --l7proto http -j LOG --log-level info --log-prefix "paquet HTTP!!!"
iptables -A INPUT -p tcp -i eth0 --dport 80 -j LOG --log-level info --log-prefix "paquet port 80!!!"
normalement mes logs devraient afficher deux info pour le même paquet si je vais voir une page html avec mon navigateur, mais je n'ai que le message "paquet port 80" qui apparait. ce qui porte à croire que la règle qui devrait reconnaitre le protocole http n'a pas fonctionner
je ne pense pas que ce soit un problème au niveau du kernel ou du patch sinon je pense que j'aurais eu une erreur au moment de l'execution de mon script. mais je peux me planter...
si quelqu'un a une idée, suggestion ou autre, je suis preneur!!!
Merci!
Hors ligne
#17 Le 03/11/2006, à 12:49
- gui82
Re : mod l7_filter d'iptables
up
Hors ligne
#18 Le 04/11/2006, à 14:18
- corbier
Re : mod l7_filter d'iptables
humm ...
C'est vrai que c'est assez bizar je vais faire quelque test
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#19 Le 07/11/2006, à 11:16
- gui82
Re : mod l7_filter d'iptables
ok j'ai compris mon erreur... j'ai (encore) confondu les chaines input et prerouting.
enfait, comme c'est du lissage de trafic et que les paquets ne font que transiter sur la machine, la chaine input est la mauvaise.
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m layer7 --l7proto http -j LOG --log-level info --log-prefix "MANGLE proto http "
comme ça, c'est mieux
Hors ligne
#20 Le 08/11/2006, à 12:33
- corbier
Re : mod l7_filter d'iptables
euuhh juste une remarque quand je test c'est régles chez moi ca marche pas : /
en effet l'idée est la suivante
PC --------- SRV Web
regles iptables sur le SRV web
iptables -t mangle -A PREROUTING -m layer7 --l7proto http -j MARK --set-mark 2
iptables -A INPUT -i eth0 -p tcp --dport 80 -m mark --mark 2 -j ACCEPT
et pouf la ca marche pas
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#21 Le 08/11/2006, à 14:48
- gui82
Re : mod l7_filter d'iptables
Je ne suis pas un gourou en iptables, mais en lisant http://iptables-tutorial.frozentux.net/iptables-tutorial.html#MARKMATCH je crois que t'es obligé d'utiliser la table mangle pour reconnaitre les paquets "marqué". Dans ce cas, tu devrais modifier t'as dernière règle :
iptables -t mangle -A PREROUTING -m layer7 --l7proto http -j MARK --set-mark 2
iptables -t mangle -A INPUT -i eth0 -p tcp --dport 80 -m mark --mark 2 -j ACCEPT
Hors ligne
#22 Le 11/04/2010, à 18:01
- ubuntu.ca
Re : mod l7_filter d'iptables
Bonjour !
J'ai déja poster cette problématique dans le coté programmation et développement mais pesonne ma répendu ! j'espere cette fois si j'aurrai des repenses !
Afin d'étendre iptables, je voulais mettre en œuvre une nouvelle extension, et pour ce la j'ai codé 3 programmes en C ! le header.h,libipt_extension.c et ipt_extension.c. Je travaille sur un noyau de linux 2.6.31-14 (qui existe sur ubuntu 9.10) et la version d'iptables disponible est 1.4.4 ! J’ai téléchargé 1.4.0 car cette version la contient le fichier makefile pour que je puisse ajouter ma nouvelle extension ! j'ai sui les procédures de Rusty Russell et Nicola Boulianne mais en fin j'ai pas pu compiler le libipt_extension.c et ipt_extension.c (mais ca marche avec le header.h), j'ai cru que cela est a cause de gcc (car il m'indique des erreurs enfaite sont des fonctions prédéfinis pour étendre iptables comme parse,init et les fonctions help,print, save ...etc) alors j'ai upgrade le gcc et finalement les mêmes erreurs apparaissent ! Et dans ce cas la je crois que je dois compiler le noyau 2.6.31-14 avec iptables 1.4.0rc1 entièrement avec les nouveaux modules (y compris la nouvelle extension), j’ai téléchargé le patch-o-matic mais je n’ai aucune idée si je suis sur la bonne voie pour réaliser mon travaille et si oui comment faire pour compiler noyau+iptables (des versions que je les dispose) et si non comment faire ??? Je vous remercie
Hors ligne
#23 Le 01/04/2015, à 15:52
- YOSS
Re : mod l7_filter d'iptables
Bonjour
Merci pour ce sujet interessant.
Je veux mettre en place L7-filter, mais pour le moment, je suis bloque.
J'ai applique la commande suivante pour chercher les sources de mon noyau:
apt-cache search linux-source
Et j'ai recu le resultat suivant:
linux-source - Linux kernel source with Ubuntu patches
linux-source-3.2.0 - Linux kernel source for version 3.2.0 with Ubuntu patches
Est ce que pour la compilation/patching, je peux utiliser les sources utilise dans ce tuto ?
patch: netfilter-layer7-v2.2.tar.gz
les sources iptables : iptables-1.3.5.tar.bz2
Comment je peux selectionner les liens convenables selon mon noyau ?
En effet j'ai suivie les meme etapes cites dans ce "aide" mais les commande suivantes ne fonctionnent pas:
make KERNEL_DIR=/usr/src/linux
sudo make install KERNEL_DIR=/usr/src/linux
Donc je suis bloquee.
Merci beaucoup pour vos aides.
Hors ligne
Pages : 1