Ubuntu-fr

rilemre

mod l7_filter d'iptables

bonjour a tous,

je suis en train d'etablir mes regles de filtrage avec iptables 1.3.1 sur un noyau  2.6.12-10-k7
je souhaite utiliser le module l7-filter, mais un modprobe sur le shell me retourne
# modprobe l7-filter
FATAL: Module l7_filter not found.

que dois je faire pour avoir ce module? j'ai bien regardé dans synaptic a tout hasard, mais rien, quoique pas bien sur que cela soit la qu'il faille chercher...
c'est un peu obscur pour moi toutes ces histoires de noyaux, de modules...
bien cordialement,

rilemre

Re : mod l7_filter d'iptables

bonsoir

j'ai bien regardé la documentation de l7-filter. seulement il semblerait qu'il faille que je recompile mon noyau et le patcher pour pouvoir installer ce mod.
seulement, d'une je n'y connais rien a cette methode, c'est tres obscure, et de deux mes noyaux sont tous modifiés par aptitude, car je n'ai pas les connaissances pour le faire.
d'ou mes questions?
- est ce possible de patcher le noyau s'il provient de synaptic ?
- ces patches devront ils etre reappliqués si je met a jour mon noyau via synaptic ?
- connaissez vous des tutoriaux pour debutant pour patcher un noyau a partir de noyaux recuperés via synaptic?
merci d'avance pour l'aide que vous pourriez m'apporter

PS: mon noyau a evolué par rapport au premier message:
je suis maintenant sous dapper drake, noyau 2.6.15-23-k7 #1 SMP

lgmdmdlsr

Re : mod l7_filter d'iptables

Je n'ai pas de solution simple au problème, mais une question : qu'est-ce qui justifie une utilisation impérative du  module l7_filter ? N'y a t-il pas moyen de faire autrement ?

Cathou

Re : mod l7_filter d'iptables

- connaissez vous des tutoriaux pour debutant pour patcher un noyau a partir de noyaux recuperés via synaptic?

Oui, cette page du wiki est assez claire.

- ces patches devront ils etre reappliqués si je met a jour mon noyau via synaptic ?

Oui hélas

- est ce possible de patcher le noyau s'il provient de synaptic ?

C'est difficile à dire de but en blanc. Je pense que tu as pigé que les noyaux ubuntu, bien que provenant de kernel.org, ont déja subi de nombreux patches de la part des mainteneurs ubuntu avant d'être mis à disposition dans les dépots. Il est possible que la 'région' du noyau que le patch L7 est supposée affecter soit déja affectée par un patch ubuntu.
Désolée je suis pas sûre d'être très claire, là
Dans ce cas appliquer le patch L7 risque d'échouer, et il faut pas espérer une compilation réussie à la suite de ça..

Pour t'assurer que tu n'es pas dans ce cas défavorable, je vois deux méthodes:

- La méthode exhaustive/parano: tu télécharges le patch L7, tu le regardes à la loupe, tu vérifies qu'il n'y a pas de collision avec les patches ubuntu.
- La méthode cracra: tu appliques le patch purement et simplement et tu regardes ce qui se passe dans le terminal
(Je te conseille plutôt une double redirection du genre &> ~/resultat_patch.txt)

j'ai bien regardé la documentation de l7-filter

Moi aussi.
Es-tu bien sûr de toi? Le filtrage apporté par L7 n'a pas la vocation de sécuriser d'après ce que j'ai compris. Dans ces conditions, tu cherches à faire quoi? De la QoS?

De plus, mauvaise nouvelle: il faut aussi patcher iptables. Tu devras désinstaller le paquet iptables, récupérer les sources, appliquer le patch, compiler. Grr..

Enfin bref, h'est bon mais h'est haud.

rilemre

Re : mod l7_filter d'iptables

bonsoir

Pour t'assurer que tu n'es pas dans ce cas défavorable, je vois deux méthodes:

- La méthode exhaustive/parano: tu télécharges le patch L7, tu le regardes à la loupe, tu vérifies qu'il n'y a pas de collision avec les patches ubuntu.
- La méthode cracra: tu appliques le patch purement et simplement et tu regardes ce qui se passe dans le terminal
(Je te conseille plutôt une double redirection du genre &> ~/resultat_patch.txt)

ok
bon bien que j'ai bien compris les fondements, je ne me sens pas tres doué.
donc je pense que je vais d'abord passer par la methode crado, mon systeme etant neuf, j'aurais moins de scrupule si je le perds

j'ai bien regardé la documentation de l7-filter

Moi aussi.
Es-tu bien sûr de toi? Le filtrage apporté par L7 n'a pas la vocation de sécuriser d'après ce que j'ai compris. Dans ces conditions, tu cherches à faire quoi? De la QoS?

De plus, mauvaise nouvelle: il faut aussi patcher iptables. Tu devras désinstaller le paquet iptables, récupérer les sources, appliquer le patch, compiler. Grr..

Enfin bref, h'est bon mais h'est haud.

non non
l7-filter permet de faire du filtrage non pas au niveau 3 comme avec iptables mais au niveau 7 du modele osi.
cela permet de faire un filtrage au niveau applicatif et plus seulement au niveau reseau.
mon filtrage reseau est ok, assez poussé.
Maintenant il est vrai que certains applicatifs, tel les logiciels de peers to peers ou les logiciels de messagerie instantanné sont tres difficiles a filtrer via un filtrage reseau.
c'est pour cela que j'aimerais tester ce module sur iptables.
donc je vais regarder tout ca, et j'espère, je ne pas avoir a reposer de question sur le sujet, j'en pose beaucoup en ce moment lol
merci pour ton aide

corbier

Re : mod l7_filter d'iptables

lut all

j'ai trouver ca comme quoi ily aurait des package debian pour l7-filter

http://debian.kernelpanic.co.uk/

Available Packages
------------------

iptables+imq+l7        iptables compiled with:
            -> IMQ target support <http://www.linuximq.net/>
            -> Layer 7 match support <http://l7-filter.sourceforge.net/>

kernel-patch-l7-filter  application layer packet classifier - kernel patch for 2.4.x and 2.6.15
l7-filter-data        protocol definition files for the layer 7 packet classifier

il est vrai qu'il est risqué d'utiliser ces paquet mais bon tu peut tenté le coup

++

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

rilemre

Re : mod l7_filter d'iptables

bonsoir

bon j'ai essayé ce depot, ca n'a pas fonctionné...
dommage...
j'ai quand meme essayé comme c'est mentionné dans le wiki
#uname -a
me retourne 2.6.15-23-k7 #1 SMP PREEMPT
j'ai donc telechargé les sources
linux-source-2.6.15.tar.bz2

bon jusque la pas de problemes
j'ai telechargé le patch netfilter netfilter-layer7-v2.2.tar.gz et le fichier de definitions de protocoles l7-protocols-2006-05-29.tar.gz
seulement plusieurs choses me gene:
- dans le wiki il est mentionné que l'on doit avoir un lien symbolique linux qui pointe sur les sources dans /usr/src
je ne l'ai pas. j'imagines que c'est parce que mon noyau est "geré" par synaptic.
est ce que cela change quelque chose a la procedure que je dois realiser? en gros, si je recree le lien apres la recompilation du noyau, cela va il changer quelque chose a grub et rendre mon systeme totalement inutilisable?

- j'ai quand meme continué.
cree le lien et extrait les patches pour netfilter et le noyau. seulement une fois l'archive decompressée, j'ai dans le dossier:
# ll
-rw-r--r-- 1 matthieu matthieu  3948 2006-05-09 07:49 CHANGELOG
drwxr-xr-x 2 matthieu matthieu  4096 2006-05-09 08:07 for_older_kernels
drwxr-xr-x 3 matthieu matthieu  4096 2006-05-29 20:37 include
-rw-r--r-- 1 matthieu matthieu 11321 2006-01-18 07:08 iptables-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu 58104 2005-09-12 08:16 kernel-2.4-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu 56365 2006-05-09 07:48 kernel-2.6.13-2.6.16-layer7-2.2.patch
-rw-r--r-- 1 matthieu matthieu  1489 2006-05-09 08:08 README
-rw-r--r-- 1 matthieu matthieu   642 2005-05-04 01:14 stray_code

celui qui me semble le plus approprié est le  kernel-2.6.13-2.6.16-layer7-2.2.patch. seulement mon noyau est anterieur a ce patch. cela change il quelque chose?

enfin ma derniere question est: si mes souvenirs sont bons, la commande pour patcher est:
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
mais dois je mettre le contenu de l'archive extraire dans le dossier /usr/src/linux-source-mon_numero_de_noyau?

je sais, tout ca c'est surement des questions de debutant, mais j'imagines que ce topic pourrait servir a d'autre qui souhaitent patcher leur noyau pour faire d'iptables un firewall applicatif.
si une ame charitable voulais bien m'aider, ca serait avec plaisir qu'en suite je redigerais une petite doc ou une petite contribution sur le wiki pour reprendre les differentes etapes de ce processus...

Matthieu un peu paumé

Cathou

Re : mod l7_filter d'iptables

bon j'ai essayé ce depot, ca n'a pas fonctionné...
dommage...

Oui, comme tu dis

dans le wiki il est mentionné que l'on doit avoir un lien symbolique linux qui pointe sur les sources dans /usr/src
je ne l'ai pas. j'imagines que c'est parce que mon noyau est "geré" par synaptic.
est ce que cela change quelque chose a la procedure que je dois realiser? en gros, si je recree le lien apres la recompilation du noyau, cela va il changer quelque chose a grub et rendre mon systeme totalement inutilisable?

1) Arrête de flipper
2) le lien vers linux-source-2.6.15 est absolument nécessaire à la compilation
3) s'il existe et pointe vers 'quelque-chose' avant d'avoir dézippé de bz2, détruis-le
4) dézippe
5) ensuite crée le lien

Quant à tes inquiétudes, il faut bien voir la finalité: fabriquer un paquet deb, qu'il s'agira ensuite d'installer. Ce paquet nommé kernel-image-tralala.deb sera aussi 'fiable' qu'un paquet linux-image de chez ubuntu, aucun risque. L'installation rajoutera deux entrées dans ton menu grub, et il suffira de rebooter. On peut pas faire plus simple. La compilation en elle-même est sans danger. Au pire, elle échoue et puis voila. Respire un coup

celui qui me semble le plus approprié est le  kernel-2.6.13-2.6.16-layer7-2.2.patch. seulement mon noyau est anterieur a ce patch. cela change il quelque chose?

??
2.6.13 < 2.6.15 < 2.6.16
Donc ça devrait aller non? Que dit le readme?

enfin ma derniere question est: si mes souvenirs sont bons, la commande pour patcher est:
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
mais dois je mettre le contenu de l'archive extraire dans le dossier /usr/src/linux-source-mon_numero_de_noyau?

Là t'exagères -> man patch !!

Moi je ferais: cp kernel-2.6.13-2.6.16-layer7-2.2.patch /usr/src/linux

De toute façon, dans le cadre de la méthode 'cracra' tu tentes avec l'option --dryrun et tu vois ce qui se passe. S'il est pas positionné là où il le doit, t'en fais pas tu le verras vite. Si tout s'est passé correctement, relance sans --dry-run et voila, ton patch a été appliqué avec succès.
Et puis qui t'interdit de regarder le fichier patch dans un éditeur? Tu verras bien les chemins utilisés, ça n'a rien à voir avec de la magie noire tout ça.

Dès que le patch a été appliqué, t'es bon pour le menuconfig. Je te renvoie au wiki et à ta page L7:

    * EXPERIMENTAL (Code maturity level options → Prompt for development and/or incomplete code/drivers)
    * Netfilter (Device Drivers → Networking support → Networking Options → Network packet filtering)
    * Connection tracking (Network packet filtering → IP: Netfilter Configuration → Connection tracking)
    * "Connection tracking flow accounting" and "IP tables support" (on the same screen)
    * And finally, "Layer 7 match support"
    * Optional: Lots of other Netfilter options, notably "FTP support" and other matches. If you don't know what you're doing, go ahead and enable all of them.

Bon je t'ai un peu chambré mais c'est pas méchant. Tiens-nous au courant.

corbier

Re : mod l7_filter d'iptables

Bon j'ai testé sur debian le dépot ne fonctionne pas non plus

pas étonnant avec une url comme http://debian.kernelpanic.co.uk/

Bon sinon ca m'interresse pas mal ce truc moi aussi

Je croit que je vais m'y mettre ce matin allez je vous tiens au courant

Pour info j'install ca sur un debian sarge 2.6.15

Merci pour l'info sur les compil Cathou

Bon je t'ai un peu chambré mais c'est pas méchant. Tiens-nous au courant.

<troll>C'est vrai que c'est énervant d'expliquer au débutant </troll>

Troll POwaaa

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

Cathou

Re : mod l7_filter d'iptables

pas étonnant avec une url comme http://debian.kernelpanic.co.uk/

Ouais, dans le genre humour anglais je préfère monty python

C'est vrai que c'est énervant d'expliquer au débutant

Attends tu va rire: je suis débutante       <-- unpurposely feeding the troll

corbier

Re : mod l7_filter d'iptables

Héhé Cathou

Je me suis documenter sur monty python et j'ai appris un truc 

On leur doit le term Spam  :lol:

Un sketch des Monty Python est considéré comme une des sources de l'utilisation du terme spam (pourriel en français) pour décrire le courrier électronique non sollicité. Le spam étant à l'origine une sorte de viande hachée, faite avec les restes non-utilisés par les abattoirs

Attends tu va rire: je suis débutante

On est tous toujours des débutants  : p :lol::lol:

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

Cathou

Re : mod l7_filter d'iptables

Un tuto très sympa sur le langage Python.

On peut y lire:

So, we have control structures, input and output covered – now we need some snazzy data structures. The most important ones are lists and dictionaries. Lists are written with brackets, and can (naturally) be nested:

    name = ["Cleese", "John"]

    x = [[1,2,3],[y,z],[[[]]]]

One of the nice things about lists is that you can access their elements separately or in groups, through indexing and slicing. Indexing is done (as in many other languages) by appending the index in brackets to the list. (Note that the first element has index 0).

    print name[1], name[0] # Prints "John Cleese"

    name[0] = "Smith"

Slicing is almost like indexing, except that you indicate both the start and stop index of the result, with a colon (":") separating them:

    x = ["spam","spam","spam","spam","spam","eggs","and","spam"]

    print x[5:7] # Prints the list ["eggs","and"]

Quand on connaît le sketch original et ben, c'est tout à fait ça

corbier

Re : mod l7_filter d'iptables

Bon une petite aide pour les gens qui veulent l'installer

ll faut tout d'abord savoir avec quelle noyau vous voulez l'installez

moi j'ai choisi le 2.6.15

Comme la doc l'indique il faut tout d'abort installer les outils de compilation et de manipulation du noyau

sudo apt-get install build-essential fakeroot kernel-package

Il est ensuite préférable de ne pas compiler en root, il faut donc ajouter son utilisateur aux groupes src

 sudo adduser mon_user src

il faut ensuite chercher les sources de son noyau ou du noyau choisi

apt-cache search linux-source

et l'installer avec apt-get

sudo apt-get install linux-source-2.6.15

ensuite on decompresse les sources ( notez que les N° de version du noyau sont a adapté selon votre cas d'utilisation)

cd /usr/src

rm linux

On se place dans /usr/src et on supprime le lien symbolique si il existe deja

tar -xjvf linux-source-2.6.15.tar.bz2
ln -s linux-source-2.6.15 linux

on décompresse et on recréez le lien symbolique

Bon notre noyau est pret à etre modifier

On télécharge le patch L7-filter

http://sourceforge.net/project/showfile … p_id=80085

Layer 7 Patches

wget http://umn.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.2.tar.gz

Telecharge le patch

On telecharge les sources d'iptables

wget http://netfilter.org/projects/iptables/files/iptables-1.3.5.tar.bz2

on extrait les deux archives

 tar -xzvf netfilter-layer7-v2.2.tar.gz &&  tar -xjvf iptables-1.3.5.tar.bz2

ensuite copy le patch pour le noyau et pour iptables

 cp netfilter-layer7-v2.2/kernel-2.6.13-2.6.16-layer7-2.2.patch linux && cp netfilter-layer7-v2.2/iptables-layer7-2.2.patch iptables-1.3.5

on applique le patch au noyau

cd linux
patch -p1 < kernel-2.6.13-2.6.16-layer7-2.2.patch
cd ..

on patch également les sources d'iptables

cd iptables-1.3.5
patch -p1 < iptables-layer7-2.2.patch

ensuite on install le iptables patché dans les sources du noyau

 make KERNEL_DIR=/usr/src/linux 
sudo make install KERNEL_DIR=/usr/src/linux

Voila il nous reste plus qu'a activer ces modules pour la compilation du noyau

cd ../linux
make menuconfig

maintenant il reste a activer les modules suivant comme l'indique la doc l7-filter

    * EXPERIMENTAL (Code maturity level options → Prompt for development and/or incomplete code/drivers)
    * Netfilter (Device Drivers → Networking support → Networking Options → Network packet filtering)
    * Connection tracking (Network packet filtering → IP: Netfilter Configuration → Connection tracking)
    * "Connection tracking flow accounting" and "IP tables support" (on the same screen)
    * And finally, "Layer 7 match support"
    * Optional: Lots of other Netfilter options, notably "FTP support" and other matches. If you don't know what you're doing, go ahead and enable all of them.

sauvegarder le tout et installer comme le spécifie la doc

apt-get install cramfsprogs initrd-tools

il nous reste a concevoir les packages .deb attention cela peut etre long selon la puissance de votre machine

 fakeroot make-kpkg --append-to-version=.181004 kernel_image --initrd binary

maintenant que la compilation a été effectuer avec succes il faut l'installer

cd ..
dpkg -i kernel-image-2.6.15.181004_10.00.Custom_i386.deb

Voila qui est fait il nous reste a rebooter sur le noyau et a installer les protocoles générique de l7-filter

Un fois redémarrez telecharger les protocoles

wget http://superb-west.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2006-05-29.tar.gz

on décompresse

tar -xzvf l7-protocols-2006-05-29.tar.gz

et on l'install

 cd l7-protocols-2006-05-29
make install

Voila c'est terminer vous pouvez utiliser l7-filter en modules d'iptables

pour la syntax c'est basique

iptables [specify table & chain] -m layer7 --l7proto [name of protocol] -j [action]

par exemple

iptables -I INPUT -m layer7 --l7proto http -j drop

redirigeras tout les paquets http en entrer vers /dev/null

Enjoy

++

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

rilemre

Re : mod l7_filter d'iptables

bonsoir

merci pour ce topic, tres documenté.
effectivement ce n'est pas sorcier, mais...
ca ne fonctionne pas chez moi
ca fonctionne jusqu'au patch des sources, pas de problemes, par contre, quand je demande:
# make KERNEL_DIR=/usr/src/linux
dans /usr/src/iptables-1.3.5
j'ai la sortie suivante:

/bin/sh: extensions/.layer7-test: Permission non accordée
Extensions found: IPv4:CLUSTERIP IPv4:connbytes IPv4:dccp IPv4:recent IPv4:string IPv6:ah IPv6:esp IPv6:frag IPv6:ipv6header IPv6:hbh IPv6:dst IPv6:REJECT IPv6:rt
cc -O2 -Wall -Wunused -I/usr/src/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.5\"  -D_UNKNOWN_KERNEL_POINTER_SIZE -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c
Dans le fichier inclus à partir de /usr/include/linux/autoconf.h:1,
          à partir de /usr/src/linux/include/linux/config.h:6,
          à partir de /usr/src/linux/include/linux/netfilter_ipv4.h:8,
          à partir de /usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:26,
          à partir de include/libiptc/libiptc.h:6,
          à partir de include/iptables.h:5,
          à partir de extensions/libipt_ah.c:8:
/usr/include/linux/err_kernel_only.h:1:2: erreur: #error Kernel only header included in userspace
make: *** [extensions/libipt_ah_sh.o] Erreur 1

je me moque que j'ai pas les permissions pour le test de layer7, je l'ai lancé a la main sur un terminal, le test est bien validé.
par contre, c'est pour le probleme de l'erreur... je n'y comprends pas grande chose...
auriez vous encore un peu la gentillesse de m'aider?
merci beaucoup

corbier

Re : mod l7_filter d'iptables

/bin/sh: extensions/.layer7-test: Permission non accordée

je pense qu'un chmod +x extensions/.layer7-test feras l'affaire

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

gui82

Re : mod l7_filter d'iptables

bonjour,

je vais fait revivre cette discussion car j'ai un petit souci qui n'apparait pas dedans.

J'ai installer le patch pour iptables comme il faut (ainsi que sur le nouveau kernel que j'ai récupérer pour l'expérience), j'ai également installer les protocole dans /etc. Malheureusement je n'arrive pas à le faire fonctionner.

je n'ai pas de messages d'erreur dans mon script, mais quand j'essaie une situation où la règle devrait "se déclancher", il ne se passe rien.

Pour mon test, j'ai fait une petite variante de corbler et j'ai rajouté une autre équivalente mais qui n'utilise pas le module l7:

iptables -A INPUT -p tcp -m layer7 --l7proto http -j LOG --log-level info --log-prefix "paquet HTTP!!!"
iptables -A INPUT -p tcp -i eth0 --dport 80 -j LOG --log-level info --log-prefix "paquet port 80!!!"

normalement mes logs devraient afficher deux info pour le même paquet si je vais voir une page html avec mon navigateur, mais je n'ai que le message "paquet port 80" qui apparait. ce qui porte à croire que la règle qui devrait reconnaitre le protocole http n'a pas fonctionner
je ne pense pas que ce soit un problème au niveau du kernel ou du patch sinon je pense que j'aurais eu une erreur au moment de l'execution de mon script. mais je peux me planter...

si quelqu'un a une idée, suggestion ou autre, je suis preneur!!!

Merci!

gui82

Re : mod l7_filter d'iptables

up

corbier

Re : mod l7_filter d'iptables

humm ...

C'est vrai que c'est assez bizar je vais faire quelque test

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

gui82

Re : mod l7_filter d'iptables

ok j'ai compris mon erreur... j'ai (encore) confondu les chaines input et prerouting.

enfait, comme c'est du lissage de trafic et que les paquets ne font que transiter sur la machine, la chaine input est la mauvaise.

iptables -t mangle -A PREROUTING -p tcp --dport 80 -m layer7 --l7proto http -j LOG --log-level info --log-prefix "MANGLE proto http "

comme ça, c'est mieux

corbier

Re : mod l7_filter d'iptables

euuhh juste une remarque quand je test c'est régles chez moi ca marche pas : /

en effet l'idée est la suivante

PC --------- SRV Web

regles iptables sur le SRV web

iptables -t mangle -A PREROUTING -m layer7 --l7proto http -j MARK --set-mark 2
iptables -A INPUT -i eth0 -p tcp --dport 80 -m mark --mark 2 -j ACCEPT

et pouf la ca marche pas

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

gui82

Re : mod l7_filter d'iptables

Je ne suis pas un gourou en iptables, mais en lisant http://iptables-tutorial.frozentux.net/iptables-tutorial.html#MARKMATCH je crois que t'es obligé d'utiliser la table mangle pour reconnaitre les paquets "marqué". Dans ce cas, tu devrais modifier t'as dernière règle :

iptables -t mangle -A PREROUTING -m layer7 --l7proto http -j MARK --set-mark 2
iptables -t mangle -A INPUT -i eth0 -p tcp --dport 80 -m mark --mark 2 -j ACCEPT

ubuntu.ca

Re : mod l7_filter d'iptables

Bonjour !
J'ai déja poster cette problématique dans le coté programmation et développement mais pesonne ma répendu ! j'espere cette fois si j'aurrai des repenses !   
Afin d'étendre iptables, je voulais mettre en œuvre  une nouvelle extension, et pour ce la j'ai codé 3 programmes en C ! le header.h,libipt_extension.c et ipt_extension.c. Je travaille sur un noyau de linux 2.6.31-14 (qui existe sur ubuntu 9.10) et la version d'iptables disponible est 1.4.4 ! J’ai téléchargé 1.4.0 car cette version la contient le fichier makefile pour que je puisse ajouter ma nouvelle extension ! j'ai sui les procédures de Rusty Russell et Nicola Boulianne mais en fin j'ai pas pu compiler le libipt_extension.c et ipt_extension.c (mais ca marche avec le header.h), j'ai cru que cela est a cause de gcc (car il m'indique des erreurs enfaite sont des fonctions prédéfinis pour étendre iptables comme parse,init  et les fonctions help,print, save ...etc) alors j'ai upgrade le gcc et finalement les mêmes erreurs apparaissent ! Et dans ce cas la je crois que je dois compiler le noyau 2.6.31-14 avec iptables 1.4.0rc1 entièrement avec les nouveaux modules (y compris la nouvelle extension), j’ai téléchargé le patch-o-matic mais je n’ai aucune idée si je suis sur la bonne voie pour réaliser mon travaille et si oui comment faire pour compiler noyau+iptables (des versions que je les dispose) et si non comment faire ???  Je vous remercie

YOSS

Re : mod l7_filter d'iptables

Bonjour

Merci pour ce sujet interessant.

Je veux mettre en place L7-filter, mais pour le moment, je suis bloque.

J'ai applique la commande suivante pour chercher les sources de mon noyau:

apt-cache search linux-source

Et j'ai recu le resultat suivant:

linux-source - Linux kernel source with Ubuntu patches
linux-source-3.2.0 - Linux kernel source for version 3.2.0 with Ubuntu patches

Est ce que pour la compilation/patching, je peux utiliser les sources utilise dans ce tuto ?

patch: netfilter-layer7-v2.2.tar.gz

les sources iptables : iptables-1.3.5.tar.bz2

Comment je peux selectionner les liens convenables selon mon noyau ?

En effet j'ai suivie les meme etapes cites dans ce "aide" mais les commande suivantes ne fonctionnent pas:

make KERNEL_DIR=/usr/src/linux 
sudo make install KERNEL_DIR=/usr/src/linux

Donc je suis bloquee.
Merci beaucoup pour vos aides.