Zanim zaczniesz używać Linuksa [15] Podstawowe pojęcia [5],	Instalacja Linuksa [20] Debian / Ubuntu [4], SUSE [4], Mandriva [0]
Sprzęt [84] Sieć / Internet [23], Neostrada [6], Obraz [13]	Oprogramowanie [66] Obraz [10], Dźwięk [7], Edycja tekstów [9]
Administracja [103] Instalowanie programów [10], Kompilacja jądra [5], Bezpieczeństwo [25]	Programowanie [6] Bash [3], Java [3],
Recenzje [33] Dystrybucje Linuksa [12], Oprogramowanie [13], Gry [6]	Tutoriale wideo [5] Instalacja Linuksa [1], Oprogramowanie [1], Sprzęt [1]

Dodaj swój artykuł do bazy » | Edytuj swój artykuł » | Jak pisać artykuły?

Krystian Okrój | 2004-09-01 23:03:42 |

Zobacz komentarze (10)

Kernel 2.4.27 i iptables z IMQ, IPP2P i Patch-O-Matic-NG gdy mamy NAT'a

Spis treści:

1. Wprowadzenie
2. Pobieramy potrzebne programy i patche
3. Patchowanie jadra dla IMQ
4. Patchowanie iptables dla IMQ, oraz instalacja Patch-O-Matic-NG
5. Patch do współpracy imq z NAT
6. Moduł ipp2p
7. Konfiguracja, kompilacja i instalacja kernela
8. Słowa od Autora

1. Wprowadzenie

Artykuł ten opisuje sposób instalacji kernela 2.4.27, iproute2 + htb i iptables z IMQ, IPP2P, Patch-O-Matic-NG.
Przyda nam sie to w dzieleniu łącza gdzie będziemy mogli ograniczyć upload który bez współpracy imq nie było by możliwe.
Zostanie tu opisany krok po kroku proces instalacji całego oprogramowania wraz z patchami.

2. Pobieramy potrzebne programy i patche

W chwili pisania tego artykułu dostępne są nastepujace wersje zródeł:

* Kernel 2.4.27
* iptables 1.2.11
* patch-o-matic-ng-20040621
* linux-2.4.26-imq.diff
* patch IMQ do iptables
* imq-nat.diff
* ipp2p.tar.gz

Ściagamy to wszystko i kopiujemy do katalogu /usr/src, dla ułatwienia wystarczy utworzyć plik imq_source.sh nadać mu prawa wykonalne 'chmod +x imq_source.sh' i wkleić poniższe linijki i zapisać. Gry urochomimy ten skrypt wszystkie potrzebne programy i patche zostaną automatycznie pobrane i zapisane w /usr/src.

***** imq_source.sh *****
#!/bin/bash
cd /usr/src
wget http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.27.tar.bz2
wget http://www.iptables.org/files/iptables-1.2.11.tar.bz2
wget http://www.iptables.org/files/patch-o-matic-ng-20040621.tar.bz2
wget http://www.linuximq.net/patchs/linux-2.4.26-imq.diff
wget http://www.linuximq.net/patchs/iptables-1.2.9-imq1.diff
wget http://www.linuximq.net/patchs/imq-nat.diff
wget http://rnvs.informatik.uni-leipzig.de/ipp2p/downloads/ipp2p.tar.gz

****** END *****

3. Patchowanie jadra dla IMQ

Przechodzisz do katalogo /usr/src
# cd /usr/src

Rozpakowujesz wersję źródłową jądra:
# tar xjf linux-2.4.27.tar.bz2

Robimy link symboliczny katalogu /usr/src/linux do /usr/src/linux-2.4.27
# ln -s linux-2.4.27 linux

Przechodzimy do katalogu /usr/src/linux
# cd /usr/src/linux

Znajdując się w katalogu ze źródłami kernela czas na skopiowanie patcha jądra z IMQ
# cp ../linux-2.4.26-imq.diff .

Patchujesz jądro dla IMQ
# patch -p1 <linux-2.4.26-imq.diff

4. Patchowanie iptables dla IMQ, oraz instalacja Patch-O-Matic-NG

Przechodzisz do katalogo /usr/src
# cd /usr/src

Rozpakowujesz iptables
# tar xjf iptables-1.2.11.tar.bz2

Robimy link symboliczny katalogu /usr/src/iptables-1.2.11 do /usr/src/iptables
# ln -s iptables-1.2.11 iptables

Kolejną rzeczą jest rozpakowanie Patch-O-Matic-NG
# tar xjf patch-o-matic-ng-20040621.tar.bz2

Przechodzisz do katalogu POM-NG
# cd /usr/src/patch-o-matic-ng-20040621

Instalujesz potrzebne łaty z POM-NG.

Załóżmy, że potrzebujesz kilku łat np. :
"string CONNMARK CLASSIFY TTL connlimit iprange mport",
"connrate cuseeme-nat eggdrop-conntrack h323-conntracknat",
"mms_conntrack-nat pptp-conntrack-nat proc-net-conntrack-permissions",
"quake3-conntrack-nat rtsp-conntrack sctp-conntrack-nat",
"talk-conntrack-nat time"
to wtedy piszesz:

# IPTABLES_DIR=/usr/src/iptables KERNEL_DIR=/usr/src/linux ./runme string CONNMARK CLASSIFY TTL connlimit iprange mport
> connrate cuseeme-nat eggdrop-conntrack h323-conntrack-nat
> mms_conntrack-nat pptp-conntrack-nat proc-net-conntrack-permissions
> quake3-conntrack-nat rtsp-conntrack sctp-conntrack-nat
> talk-conntrack-nat time

Dla każdej łaty otrzymujesz taki komunikat (przykład dla łaty CONNMARK):


Welcome to Patch-o-matic (1.17)!



Kernel:   2.4.27, /usr/src/linux

Iptables: 1.2.11, /usr/src/iptables

Each patch is a new feature: many have minimal impact, some do not.

Almost every one has bugs, so don't apply what you don't need!

-------------------------------------------------------

Already applied: 



Testing CONNMARK... not applied

The CONNMARK patch:


   Author: Henrik Nordstrom 

   Status: working





This patch adds per connection marks, and a target (CONNMARK)

respective a match (connmark) for using these.



Usage:



   connmark


       This  module  matches  the netfilter mark field associated

       with a connection (which can be  set  using  the  CONNMARK

       target below).



       --mark value[/mask]

              Matches  packets  in  connections  with  the  given

              unsigned mark value (if a mask is  specified,  this


              is logically ANDed with the mark before the comparison).





   CONNMARK

       This  is  used  to set the netfilter mark value associated

       with the connection



       --set-mark mark


              Set connection mark



       --save-mark

              Set connection mark to the same as the one  on  the

              packet



       --restore-mark


              Set  the  netfilter  packet  mark  value to the one

              associated with the connection. This is only  valid

              in the mangle table.

-----------------------------------------------------------------

Do you want to apply this patch [N/y/t/f/a/r/b/w/q/?]

Wciskasz 'y' a potem 'Enter' i łata zostaje zainstalowana. Jeśli chciałbyś sobie doinstalować inne łaty na przykład z zakresu 'extra' to piszesz:

# IPTABLES_DIR=/usr/src/iptables KERNEL_DIR=/usr/src/linux ./runme extra

Przechodzisz do katalogu /usr/src/iptables
# cd /usr/src/iptables

Kopiujesz patch iptables-1.2.9-imq1.diff
# cp ../iptables-1.2.9-imq1.diff .

Patchujesz iptables dla IMQ
# patch -p1 <iptables-1.2.9-imq1.diff

Robisz te łaty wykonywalne:
# chmod +x extensions/.IMQ-test*

Kompilujesz iptables
# make

Instalujesz iptables
# make install

5. Patch do współpracy imq z NAT

Przechodzisz do katalogu jądra z driverami do sieci:
# cd /usr/src/linux/drivers/net

Kopiujesz do współpracy imq z NAT
# cp ../../../imq-nat.diff .

Patchujesz IMQ do współpracy z NAT
# patch <imq-nat.diff

6. Moduł ipp2p

Przechodzisz do katalogu /usr/src
# cd /usr/src

Rozpakowujesz ipp2p
# tar zxf ipp2p.tar.gz

Przechodzisz do katalogu /usr/src/ipp2p
# cd /usr/src/ipp2p

W pliku Makefile ustawiasz aktualne położenie iptables
# sed -e s/iptables-1.2.9/iptables/ Makefile >Makefile.tmp
# mv Makefile.tmp Makefile

Kompilujesz ipp2p
# make

Kopiujesz pliki ipp2p do odpowiednich katalogów:
# mv libipt_ipp2p.so /usr/local/lib/iptables
# mv ipt_ipp2p.o /lib/modules/2.4.27-rc2/kernel/net/ipv4/netfilter

7. Konfiguracja, kompilacja i instalacja kernela

Przechodzisz do katalogu /usr/src/linux
# cd /usr/src/linux

Konfigurujesz wybrane opcje jądra:
# make menuconfig

Pamiętaj, żeby IMQ działało to musisz włączyć następujące opcje:

# Code maturity level options --->Prompt for development and/or incomplete code/drivers
# Networking options ---> Network packet filtering (replaces ipchains)
# Networking options ---> IP: Netfilter Configuration ---> IP tables support (required for filtering/masq/NAT)
# Networking options ---> IP: Netfilter Configuration ---> Packet mangling
# Networking options ---> IP: Netfilter Configuration ---> IMQ target support
# Network device support ---> IMQ (intermediate queueing device) support

Kompilujesz jądro
# make dep
# make clean
# make bzImage
# make modules
# make modules_install

Kopiujesz swoje nowe jądro i System.map do katalogu z jądrami np. do /boot
# cp /usr/src/linux-2.4.27/arch/i386/boot/bzImage /boot/imq-2.4.27-imq
# cp /usr/src/linux-2.4.27/System.map /boot/System.map-2.4.27-imq
# cp /usr/src/linux-2.4.27/.config /boot/config-2.4.27-imq

W /etc/lilo.conf dopisujesz swoje nowe jądro na przykład tak:
image = /boot/imq-2.4.27-imq
root = /dev/hda1
label = Linux-2.4.27-imq
read-only

Uruchamiasz lilo i restartujesz system.
# lilo -v
# shutdown -r now

8. Słowa od Autora

No to dotarliśmy już do konca tego artykułu mam nadzieję że udało wam skompilowac poprawnie kernela z z imq, i wszystko chodzi jak powinno, pozniżej zamieszczone są linki do stron z wszelką pomocą i tematami ktore poruszone zostały w tym artykule jak i gotowe skryptami do cięcia transferów w sieci. W najbliższym czasie jak sie uproam z kilkama własnymi sprawami i znajde czas dołącze do tego artykuły częśc odnośnie nałożenia patcha grsecurity w celu zabezpieczenia serwera Na wszelkie konstruktywne sugestie i uwagi oczekuję pod adresem krycha@linux.pl .

Nieco informacji na tematy poruszany w tym dokumencie znajdziesz na:

Po polsku:

Po angielsku:

Artykuł został zaczerpniety ze strony: http://alfa.tailor.com.pl/imqhtb/2.4.26/imq_htb_pl.html
Autorem jest: Leszek Żur
Wszelkie poprawki i zmiany zostaly wprowadzone przeze mnie za zgodą autora i na podstawie licencji.

Treść tego dokumentu jest udostępniana na licencji GNU Free Documentation License. Polskie tłumaczenie znajdziesz na http://gnu.org.pl/text/licencja-gnu.html

[38974]

Opinie czytelników (10)

Dodaj nowy komentarz

thx :)
chomzee   2004-09-02 15:55:51
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.2.1) Gecko/20030225
wielkie dzieki za ten artykul - tego mi bylo trzeba :]

pozdrawiam
Chomzee

nihil novi
bbkr   2004-09-11 21:55:42
Opera/7.50 (X11; Linux i686; U) [en]
http://alfa.tailor.com.pl/imqhtb/2.4.26/imq_htb_pl.html

co nie oznacza, ze artykul mi sie nie przydal. przydal sie i to bardzo!!

moje uwagi:
- dlaczego kernel 2.4 a nie 2.6 ??
- brakuje mi tu esfq

Re: nihil novi
lzur   2004-09-14 00:23:43
Mozilla/5.0 (Windows; U; Win 9x 4.90; pl-PL; rv:1.7.2) Gecko/20040803
> - dlaczego kernel 2.4 a nie 2.6 ??

Bo na 2.6.^ nie chodzi łata string z pom-ng

> - brakuje mi tu esfq

Ja nie potrzebowałem dlatego nie ma. Ale aplikuje się ja tak jak inne.

Leszek Żur

Re: nihil novi
bbkr   2004-09-14 13:55:26
Opera/7.54 (X11; Linux i686; U) [en]
> > - brakuje mi tu esfq
>
> Ja nie potrzebowałem dlatego nie ma. Ale aplikuje się ja tak jak inne.

wlasnie ze nie. esfq wymaga dodatkowo patchowania iptraf, a w dodatku jest spory bajzel z wersjami i kompatybilnymi patchami.

Re: nihil novi
slammer   2004-11-06 19:40:12
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.3) Gecko/20040914
2004-09-14 00:23:43 lzur napisał:

> Bo na 2.6.^ nie chodzi łata string z pom-ng

Mam 2.6.8.1 i pom ze snapshota dziala bez zarzutu, choc CBQ ma buga w 2.6.8.1 i wymaga dodatkowego patcha na jadro (poszukac trza :). Bug ten powinien zniknac juz w 2.6.9, jednak nie testowalem jeszcze. Niestety nie uzywam IMQ i nie wiem czy on dziala. Nadmienic takze nalezy ze ipp2p jest od niedawna wlaczone w pom i tylko tam jest aktualizowane. Polecam sciagniecie snapshota pom.

Re: nihil novi
slammer   2004-11-06 19:48:50
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.3) Gecko/20040914
2004-11-06 19:40:12 slammer napisał:

> 2004-09-14 00:23:43 lzur napisał:
>
> > Bo na 2.6.^ nie chodzi łata string z pom-ng
>
> Mam 2.6.8.1 i pom ze snapshota dziala bez zarzutu

Ahh... Slepy jestem czy co? Sorxxx nie zauwazylem ze chodzi o late string :/ No wiec niestety nie sprawdzalem jej, ale tez prawda jest taka ze nie kazdy jej potrzebuje - Kaze zalatwia ipp2p wlasnie w ten sam sposob.

problem z konfiguracja
Fajowy   2005-01-04 11:06:22
Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:1.7.3) Gecko/20041001 Firefox/0.10.1
Witam

napotkalem maly problem z ta konfiguracja:
chodzi dokladniej o kompilowanie ipp2p, wykonuje komende make ale tworzy tylko plik libipt_ipp2p.so, nie kompiluje do pliku ipt_ipp2p.o.
Czy ktos moze mi pomoc ??
Podczas kompilacji zauwazylem ze kompilator (gcc) pobiera dane z aktualnie pracujacego u mnie kernela 2.4.20 a nie 2.4.27 (ktorego wlasnie staram sie przygotowac).

System: SLACK 9.0

Pozdrawiam
Fajowy

Uwaga dla przesiadających się
Moneetor   2005-01-19 10:58:30
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040113
Artykuł jest super, ale nie uwzględnia 2 rzeczy:
1. Artykuł działa idealnie dla kogoś kto ma kernel 2.4.27 zainstalwowany wcześniej.
Ja miałem 2.4.22 i nie mogłem skompilować proawidłowo ipp2p. Dopiero jak skompilowałem i ustawiłem jajko 2.4.27, ipp2p skompilowało się bez żadnego problemu.
2. mv dla modułów ipp2p nie uważam za dobry pomysł: po każdej kompilacji jajka, a zwłaszcza modułów trzeba na nowo kopiować ipp2p do docelowego katalogu, więc po co je przenosić jak można skopiować?? Dużo nie zajmują, a kompilacja jednak trochę trwa ;)

Re: problem z konfiguracja
Moneetor   2005-01-19 11:09:00
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040113
2005-01-04 11:06:22 Fajowy napisał:

> Witam
>
> napotkalem maly problem z ta konfiguracja:
> chodzi dokladniej o kompilowanie ipp2p, wykonuje komende make ale tworzy tylko plik
> libipt_ipp2p.so, nie kompiluje do pliku ipt_ipp2p.o.
> Czy ktos moze mi pomoc ??
> Podczas kompilacji zauwazylem ze kompilator (gcc) pobiera dane z aktualnie pracujacego u mnie
> kernela 2.4.20 a nie 2.4.27 (ktorego wlasnie staram sie przygotowac).
>
> System: SLACK 9.0
>
> Pozdrawiam
> Fajowy

ipp2p nie kompiluje się prawidłowo zanim nie skompilujesz i nie skonfigurujesz prawidłowo jajka 2.4.27.Ja na czas kompilacji nowego jajka wywaliłem w czorty stare moduły, i źródła od starego jajka i to chyba pomaga. Oczywiście link symboliczny /usr/src/linux ustawiłem na nowe jajko.

Powodzenia
Moneetor

Moduly?
redeeps   2005-02-16 07:28:26
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Witam.
Mam takie pytanko piszesz, ze przy kompilacji jadra nalezy włączyć opcje ... maja to byc moduly czy jak wkompiluje to w jadro to tez ebdzie dobrze? Jestem jeszcze poczatkujac i w zasadzie nie bardzo wiem co to zmienia i co sie mzoe stac.
Pozdrawiam.

Dotacje EU

Created by