跳到主要內容

打造應用層防火牆(Layer 7 Filter)

打造應用層防火牆(Layer 7 Filter)







與一般的 Packet Filter 防火牆不同,應用層防火牆是在 OSI Model 中的第七層(應用層)運作,因此它可以針對各種應用程式的封包進行過濾。比較常見的應用有阻擋 MSN 通訊、限制 P2P 連線使用的頻寬、限制網路電視等等,只要是應用層防火牆有支援的協定皆可以管控。Linux 預設的情況下是不支援 L7 filter(應用層防火牆)功能的,必須要自己 patch kernel 與 netfilter 才能讓 Linux 支援此項功能。





所需套件:



1.kernel source (eg. linux-2.6.22.tar.gz)

官方網站: http://kernel.org/



2.netfilter source (eg. iptables-1.3.8.tar.bz2)

官方網站: http://netfilter.org/



3.l7-filter kernel version (eg. netfiilter-layer7-v2.13.tar.gz)

官方網站: http://sourceforge.net/project/showf...group_id=80085



4.Protocol definitions (eg. l7-protocols-2007-07-27.tar.gz)

官方網站: http://sourceforge.net/project/showf...group_id=80085





各個套件的用途如下。



1. kernel source:Linux 的核心原始程式碼

2. netfilter source:Linux 防火牆(netfilter)的原始程式碼

3. l7-filter kernel version:kernel 版的 l7 filter。(也有 userspace 版的)

4. Protocol definitions:定義各種應用層的協定的檔案。



註:

l7-filter 完整的支援協定列表可參考此網址:

http://l7-filter.sourceforge.net/protocols





實做的步驟:



1. Patch, Configure and Compile Kernel

2. Patch and Compile Netfilter

3. 安裝Layer 7 Protocol定義檔

4. 設定防火牆









一、Patch, Configure and Compile Kernel





假設使用的 kernel 版本為 2.6.22。



1. 將下載回來的 kernel source 解壓縮後,放到 /usr/src/kernels 目錄中

引用:

tar zxvf linux-2.6.22.tar.gz

mv linux-2.6.22 /usr/src/kernels



2. 將下載回來的 l7-filter kernel version 解壓縮

引用:

tar zxvf netfiilter-layer7-v2.13.tar.gz





裡面有幾個比較重要的檔案:

iptables-for-kernel-2.6.20forward-layer7-2.13.patch

==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之後的版本



iptables-for-kernel-pre2.6.20-layer7-2.13.patch

==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之前的版本



kernel-2.4-layer7-2.13.patch

==>kernel 的 patch 檔,適用於 kernel-2.4



kernel-2.6.22-layer7-2.13.patch

==>kernel 的 patch 檔,適用於 kernel-2.6.22





3. 將 kernel 的 patch 檔複製到 kernel source tree 的根目錄(/usr/src/kernels/linux-2.6.22)

引用:

cp kernel-2.6.22-layer7-2.13.patch /usr/src/kernels/linux-2.6.22



4. Patch Kernel

引用:

cd /usr/src/kernels/linux-2.6.22

patch -p1 < kernel-2.6.22-layer7-2.13.patch



5. 設定 kernel



Patch Kernel 後,現在我們手上所擁有的 Kernel 已經可以支援 Layer 7 Filter,接下來我們必須要 "啟用" 此項功能。



引用:

cd /usr/src/kernels/linux-2.6.22

make menuconfig

Code maturity level options ---> Prompt for development and/or incomplete code/drivers



Networking ---> Networking options ---> Network packet filtering framework --> 將 Core Netfilter Configuration 與 IP: Netfilter Configuration 這兩個項目中所有的項目皆啟用。



註:

最重要的項目分別是 Netfilter Xtables support、Netfilter connection tracking support、Layer 7 match support,但官方手冊建議最好把與 netfilter 有關的選項都開啟。





6. 編譯與安裝 kernel



引用:

make clean

清除已前complie留下的舊檔案,由於我們是第一次compile,此指令可有可無。





引用:

make bzImage

編譯 Linux 系統核心。





引用:

make modules

編譯模組。





引用:

make modules_install

安裝模組,預設會安裝到 /lib/modules/2.6.22 目錄下。





引用:

make install

安裝 Linux 系統核心,會自動進行下列事項:

a. 將 bzImage 改名為 vmlinuz-2.6.22 並複製到 /boot

b. 建立 initrd-2.6.22.img 並複製到 /boot

c. 將 System.map 複製到 /boot 並改名為 System.map-2.6.22

d. 修改 /boot/grub/grub.conf







二、Patch and Compile Netfilter





假設使用的 netfilter 版本為 1.3.8。



1. 將下載回來的 netfilter source 解壓縮後,放到 /usr/local/src 目錄中

引用:

tar jxvf iptables-1.3.8.tar.bz2

mv iptables-1.3.8 /usr/local/src



2. Patch Netfilter

引用:

cp iptables-for-kernel-2.6.20forward-layer7-2.13.patch /usr/local/src/iptables-1.3.8



cd /usr/local/src/iptables-1.3.8



patch -p1 < iptables-for-kernel-2.6.20forward-layer7-2.13.patch



3. 編譯 netfilter

引用:

make KERNEL_DIR=/usr/src/kernels/linux-2.6.22

註:KERNEL_DIR 必須要指到我們之前已經 patch 好的 kernel source





4.安裝 netfilter

引用:

make install KERNEL_DIR=/usr/src/kernels/linux-2.6.22

這裡務必要注意,netfilter 預設是會安裝到 /usr/local/sbin 目錄下,不會覆蓋系統原來的版本(在 /sbin 目錄),所以當你執行 "iptables" 這個指令時會使用到的依然是系統原來的版本,而不是你自己編譯的版本。若要使用自己編譯的 netfilter 務必要使用絕對路徑來呼叫,例如 /usr/local/sbin/iptables。





當kernel與netfilter都編譯與安裝完成後,記得要重新開機並使用新的系統核心啟動Linux。







三、安裝Layer 7 Protocol定義檔



tar zxvf l7-protocols-2007-07-27.tar.gz]

cd l7-protocols-2007-07-27

make install



註:定義檔預設會安裝到 /etc/l7-protocols。







四、設定防火牆



當一切都準備就緒時就可以使用netfilter來過濾Layer 7的封包,指令格式如下:

引用:

iptables [specify table & chain] -m layer7 --l7proto [name of protocol] -j [action]

例如若我們要阻擋MSN通訊,則可以使用以下指令:

引用:

iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP

iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP

熱門文章