Certains sites proposent des plages d'adresses appartenant à des origanismes que l'on a pas forcément envie de voir connecté sur notre passerelle, quoi que nous y fassions. Le but de ce chapitre est de permettre de récupérer ces fichiers et de les utiliser pour paramétrer note firewall.

Le premier problème, c'est que notre parefeu ne dispose pas d'une fonction pour traiter les plages d'adresses. On peut indiquer des sous-réseaux (c'est à dire adresse et masque) mais rien pour les plages !

Qu'à cela me tienne ! cette fonction existe mais elle n'est pas intégrée au noyau... Le but de la manoeuvre va être de récupérer le "patch", de recompiler le noyau et d'installer nos règles.

Le pré-requis sont, bien évidemment, les sources du noyau ! Vérifiez, par la commande "rpm -qa | grep kernel", que vous avez bien le paquetage suivant : "kernel-source-2.4.21-6mdk" (ou plus récent selon votre distribution...)

Les patches concernant le parefeu du noyau sont distribué par netfilter.org . On va télécharger le dernier "Patch O Magic" de Netfilter directement dans le répertoire "/usr/src" où doit se trouver les sources du noyau.

# cd /usr/src [/usr/src/]# ls linux@ linux-2.4.21-6mdk/ RPM/ [/usr/src/]# wget http://netfilter.org/files/patch-o-matic-20031219.tar.bz2 100%[====================================>] 293,822 295.81K/s ETA 00:00 [/usr/src/]# tar xvjf patch-o-matic-20031219.tar.bz2 [/usr/src/]# ls linux@ patch-o-matic-20031219.tar RPM/ linux-2.4.21-6mdk/ patch-o-matic/ [/usr/src/]#

Le patch-o-magic est un outil qui permet de "patcher" les sources du noyau pour corriger des bugs IP des filtres iptables et rajouter des fonctionnalités IP à la commande iptables. Le Patch O Magic contient moultes patches et est capable de déterminer ceux déjà intégrés dans les sources du noyau. Selon il propose d'en installer de nouveaux mais celui qui nous intéresse est le patch "iprange"....

[/usr/src/patch-o-matic]# cd patch-o-matic [/usr/src/patch-o-matic]# ./runme base

Là, il peut dire "Hey! KERNEL_DIR is not set" et vous propose un répertoire cible "/usr/src/linux"... appuyez sur ENTREE... Les choses vont commencer à se gâter... En effet, patch-o-matic contient une multitude de patches et va proposer de les installer par paquet ou un par un... Le premier choix me propose d'appliquer 58 patches ! Si vous n'êtes pas sûr, répondez "no" à chaque question (en fait, appuyez sur ENTREE car la réponse par défaut est "no") jusqu'à tomber sur ça :

Testing... iprange.patch NOT APPLIED (2 missing files) The base/iprange patch: Author: Jozsef Kadlecsik Status: Works This patch makes possible to match source/destination IP addresses against inclusive IP address ranges. Examples. iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.5.255.255.255 -j ACCEPT

Là, répondez "yes" !!!

Ensuite, répondez "no" jusqu'à la fin.... Et le noyau a du être patché ! Reste plus qu'à le reconfigurer et le compiler....

Configuration et compilation du noyau

On sauvegarde l'ancienne configuration du noyau puis on lance l'outil de config...

# cd /usr/src/linux [/usr/src/linux/]# cp .config config-DATE.bak

SI VOUS ETES EN TEXTE

[/usr/src/linux/]# make menuconfig

SI VOUS ETES EN GRAPHIQUE

[/usr/src/linux/]# make xconfig