澳门威利斯人_威利斯人娱乐「手机版」

来自 网络资讯 2019-10-21 17:31 的文章
当前位置: 澳门威利斯人 > 网络资讯 > 正文

封包过滤

测试

除此以外还应该有指向性ipp2p的,如下准绳:
iptables -A FORWARD -p tcp -m ipp2p --bit -j DROP      /*TCP traffic only*/
iptables -A FORWARD -p udp -m ipp2p --bit -j DROP      /*UDP traffic only*/
iptables -A FORWARD -m ipp2p --bit -j DROP             /*UDP and TCP traffic*/

# iptables -t mangle -L POSTROUTING -v

相比关键 的是 "layer7" match support 项目与 IPv4 connection tracking support (required for NAT) 项目,若你不知底的话就请把 Core Netfilter Configuration 与 IP: Netfilter Configuration 里的选项整个选起来就能够。

留意查看netfilter-layer7-v2.22.tar.gz中的README文件,以便明确内核版本
(1)iptables-1.4-for-kernel-2.6.20forward-layer7-[l7-filter version].patch
forward:表示扶助基础版本为2.6.20或更新的版本
(2)iptables-1.3-for-kernel-pre2.6.20-layer7-[l7-filter version].patch
pre:表示扶持基础版本为2.6.20事先的内核老版本,满含2.4
(3) L7在一些2.4根本和2.6根本中都能安装,不管您的linux操作系统是RedHat、centos,只要内核是适宜的都能被协助,具体如何基本合适,请点这里看基础包容性: 
(4)上边是自家的选取:kernel-2.6.19.7  iptables-1.3.7   L7-filter-2.22 IPP2P(二〇〇八-02-18) 

                             <M>   "layer7" match support         必选                             

在 kernel 选项里,须求 把相关的设定选用起来才足以,以下为完备 有关 layer 7 的档期的顺序。

透过上述的配置,检查一下该网段(192.168.1.0/24)内的客商端能还是不可能通过网关举行上网

    General setup  --->

  • iptables 1.4.0 (含) 以前版本

四、测试

1.所需求软件包 linux-2.6.28.tar.gz iptables-1.4.3.2.tar.bz2 ...

其次个测量检验拒绝连出 BitTorrent 封包,我们在设定好拒绝 bittorrent 封包后,在本机应用 BT 下载档案均未果,可从 iptables 指令查出。

iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
或者
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
注意:'--ipp2p'等价于 '--edk --dc --kazaa --gnu --bit --apple --winmx --soul --ares'

       Prompt for development and/or incomplete code/drivers  必选

再一次开机

4、安装Layer7商业事务文件 # cd  /usr/src
# tar zxvf l7-protocols-2009-05-28.tar.gz # cd l7-protocols-2009-05-28
# make install

5、增加iptables的ipp2p模块

   --verbose     -v              verbose mode

iptables -A OUTPUT -m layer7 --l7proto bittorrent -j DROP

别的还应该有针对layer7的,如下法规:
# iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP (禁止edonkey)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP (禁止bt)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto xunlei -j DROP (禁止Thunder)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto kugoo -j DROP (禁止kugoo)
# iptables -t mangle -I PREROUTING -m layer7 --l7proto yahoo -j DROP (禁止Yahoo! Messenger)

2.2编写翻译并设置新水源

iptables -A OUTPUT -m layer7 --l7proto msnmessenger -j DROP

#!/bin/bash
#Firewall is SSH SERVER
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#Firewall is SSH Client
iptables -t filter -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
#Firewall is DNS Client
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
#Firewall is WEB Client
iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
#Firewall accept ICMP Packages from 192.168.1.0/24
iptables -t filter -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -d 192.168.1.0/24 -j ACCEPT
#Modify Default Policy
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/' /etc/sysctl.conf   && sysctl -p &> /dev/null
iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.0/24 -j ACCEPT
modprobe ip_nat
iptables -t nat -A POSTROUTING  -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.254

# echo 1 > /proc/sys/net/ipv4/ip_forward

为 kernel source 上 layer7 的 patch。

# echo '/etc/init.d/iptables.sh' >> /etc/rc.local

   --line-numbers                print line numbers when listing

更新 iptables patch

# touch /etc/init.d/iptables.sh && chmod u x /etc/init.d/iptables.sh
# vi  /etc/init.d/iptables.sh,扩张内容如下

 Either long or short options are allowed.

将套件解压缩。

(1)网关:它是精神振作台linux操作系统,有两块网卡,eth0:192.168.0.254,eth1:192.168.1.254,eth1为叁个内网(192.168.1.0/24)提供网关服务
(2)客商端:安装的windows xp系统,它属于192.168.1.0/24这一个网段,通过网关(eth1)上网

   ./configure --with-ksource=/usr/src/linux-2.6.28

若你把 layer7 安装在网路闸道 (Gateway) 上的话,那么请应用 PREROUTING 或 FOWranglerWARAV4D 连线才会有效 。iptables 可参谋 ()。

**二、实验的情形

   --zero    -Z [chain]          Zero counters in chain or all chains

为了利便管理 ,把上述套件均位居 /usr/src/kernels。

l7-protocols
# wget

图片 1查看当前封禁意况:

选取 layer 7 相关选项

3、配置防火墙,让192.168.1.0网段的顾客端能上网

上边大家开展测量试验(l7filter服务器作为集团互联网的网关,这里IP为192.168.1.251):

重 kernel 2.6 发轫,编写翻译大旨 就变得愈加简易,只要求 多少个 make 的授命即可,安装完后会自动批阅和修改 GRUB 的选项,不需手动修改,减弱了手动批改错误的义务险。

2)编写翻译内核
# cd /usr/src/linux-2.6.19.7
# make modules SUBDIRS=net/ipv4/netfilter
# cp -rf /usr/src/linux-2.6.19.7/net/ipv4/netfilter/*.ko  /lib/modules/2.6.19.7/kernel/net/ipv4/netfilter/
# chmod x /lib/modules/2.6.19.7/kernel/net/ipv4/netfilter/*.ko

   --replace -R chain rulenum

在本文在这之中,所重新编写翻译的本子如下:

IPP2P patch for iptables
# wget ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20100218.tar.bz2

   tar -jxvf iptables-1.4.3.2.tar.bz2 -C /usr/src

再一次编写翻译了主导 之后,须要 重新起动计算机手法套用新的为主 套件,请应用 uname 指令查察 是不是设定乐成 。

IPP2P
# wget

    make oldconfig 全体保险暗中认可

更新 kernel patch,增进 layer7 filter 选项。

在网关上,假诺要想封闭扼杀 QQ、MSN 只怕 P2P 等软件的报导,单纯用 iptables 逐一封服务端IP或然封通讯端口都不是很好的措施,最简便易行的措施是行使L7-filter      

   --new     -N chain            Create a new user-defined chain

图片 2

CentOS 5.4
Kernel 2.6.18-164.el5
iptables(卸载系统自带的,使用源码实行安装)

 cvs.pat                   http-rtsp.pat             poco.pat              ssdp.pat          x11.pat

更新 kernel

总括:l7 IPP2P已经失效好些个年,想封的话,不恐怕的,呵呵!笔者那边只是做个试验罢了,为啥无法封那此P2P软件,google吧!哈哈

 counterstrike-source.pat  http.pat                  pcanywhere.pat        soulseek.pat      worldofwarcraft.pat

能够挑选其余可下载网路档案的器材,如 lynx、wget,或 mozilla、firefox 等等器具下载,在这里表率应用 wget,行动 如下:

2、测量试验目标

pkts bytes target     prot opt in     out     source               destination      

要手动编写翻译新本子的中坚 并插足 layer7 封包过滤选项的话,必要俱备以下套件:

kernel 2.6.19.7
# wget ftp://ftp.kernel.org/pub/linux/kernel/v2.6/linux-2.6.19.7.tar.bz2

   Usage: iptables -[AD] chain rule-specification [options]

语法:

4、定制相关政策

   [[email protected] iptables-1.4.3.2]#cp /usr/src/netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/*.*  extensions/

在 iptables 1.4.1.1 之后的 layer 7 模组已经不用要 应用 patch 行动来修改,只要把批改档复制到 extensions 资料夹就能够。

(2)禁止MSN通讯
iptables -t mangle -I PREROUTING -m layer7 --l7proto msnmessenger -j DROP
图片 3

    0     0 DROP       all  --  any    any     anywhere             anywhere            LAYER7 l7proto bittorrent

若您操持在你的防火墙上应用 layer7 封包过滤效果的话,那么所需的纪念体与 CPU 会越多,若你的应用者连线数同期超越百人,况兼反复的取存网路的话,那么恐怕供给思考使用较高功用的网路卡与越多的回想体。若您在启用 layer7 功效后开采网路变得非常的慢的话,那么就必须 检查你的网卡与记念体是还是不是丰盛。

(1)禁用QQ通讯
iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP 
图片 4

 bittorrent.pat            guildwars.pat             ncp.pat               smb.pat           uucp.pat

为了设置利便,大家为 linux-2.6.24.4 这些目录建位多个软连结,以便切换目录。

1、下载相关软件包**

   --numeric     -n              numeric output of addresses and ports

语法:

三、安装相关软件

 directconnect.pat         ipp.pat                   quake1.pat            subspace.pat      zmaap.pat

若你想继续应用旧版 kernel 的选项的话,您能够把 .config 档案复制到新 kernel 的目录下,此时再次选拔系列时就能延用早先的设定。

2、配置编写翻译内核 第后生可畏将装有下载的软件都停放于/usr/src目录下
# cd /usr/src
# yum update gcc(进级一下gcc)
# tar zxvf netfilter-layer7-v2.22.tar.gz 
# tar jxvf linux-2.6.19.7.tar.bz2
# cd linux-2.6.19.7
# patch -p1 < ../netfilter-layer7-v2.22/for_older_kernels/kernel-2.6.18-2.6.19-layer7-2.9.patch(给基础打上L7-filter的基石补丁)
# make menuconfig(选用好layer 7,地方如下)
率先,选载入原本的.config,然后再张开充实layer7-filter的扶植
Networking--->
Networking options --->
Network packet filtering (replaces ipchains)--->
IP: Netfilter Configuration--->
"layer7" match support 和 Layer 7 debugging output 
瞩目:假如上述接纳不正常看不到,那只怕是它后边信任的黄金时代对选项没选到,逐步探索下 
# cp /usr/src/kernels/2.6.18-164.el5-i686/.config  .  #利用原本的配备文件
# make bzImage # 链接程序代码和函数库
# make modules # 起头编写翻译外挂模块
# make modules_install # 安装编写翻译实现的模块
# make install # 将刚刚编写翻译实现的基业安装到系统之中
# reboot(选拔编写翻译好的水源运转系统,也足以在/etc/grub.conf中张开一下安装,就不用在开行的时候采纳了)
# uname -r (查看载入是新的基石)

         root (hd0,0)

后记:

3、更新进步Iptalbes的Layer7补丁
# cd /usr/src
# tar jxvf iptables-1.3.7.tar.bz2
# cd iptables-1.3.7
# patch -p1 < ../netfilter-layer7-v2.22/for_older_iptables/iptables-1.3-for-kernel-pre2.6.20-layer7-2.21.patch
# chmod x  extensions/.layer7-test
# make KERNEL_DIR=/usr/src/linux-2.6.19.7
# make install KERNEL_DIR=/usr/src/linux-2.6.19.7
# iptables -V(查看IPTABLES的版本)

layer7 match options:

MSN Messenger

L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (Application 应用层) 过滤效果, 限制封闭扼杀 P2P、即时通信软件

   tar -zxvf l7-protocols-2009-05-28.tar.gz -C /usr/src

安装通信定议档

3)安装ipp2p协议
# cd /usr/src
# tar zxvf ipp2p-0.8.2.tar.gz
# cd ipp2p-0.8.2/
注意:要修改Makefile文件中的这风流倜傥行
#ld -shared -o libipt_ipp2p.so libipt_ipp2p.o(注释掉),不然iptables指令将不可能应用ipp2p模块
$(CC) -shared -o libipt_ipp2p.so libipt_ipp2p.o(改为那神采奕奕行的从头到尾的经过)
# make
# cp libipt_ipp2p.so /usr/local/lib/iptables/
# cp ipt_ipp2p.ko /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/
# chmod x /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
# depmod -a
# echo 'modprobe ipt_ipp2p' >> /etc/rc.local

             -E old-chain new-chain

BitTorrent

1、测验境况

   make install

  • iptables 1.4.1.1 (含) 之后版本

禁止192.168.1.0/24网段内的客商机(假如:192.168.1.2/24该台湾乘客商机)使用一些p2p软件下载东西,恐怕利用MSN等广播发表工具

 biff.pat                  gopher.pat                nbns.pat              skypetoskype.pat  unset.pat

行使 layer7 模组时,会参照他事他说加以考察 /etc/l7-protocols 目录下的定议档,各通信协定的封包特徵会在 l7-protocols 的套件里,解开之后一向设置就能够。

                                 Print the rules in a chain or all chains

  • kernel:2.6.24.4
  • iptables:1.4.0
  • l7-filter patch:2.17
  • l7-filter protocols:2008-02-20

L7-filter
# wget http://nchc.dl.sourceforge.net/project/l7-filter/l7-filter kernel version/2.22/netfilter-layer7-v2.22.tar.gz 

   iptables-1.4.3.2.tar.bz2           

编译并安装新版宗旨

图片 5

 

革新 iptables 需在意是不是在现存的 kernel 中 netfilter 子系统相切合,若采纳了不在 kernel 所救助的模组,在设定 iptables 会出现谬误。以下指令可增加生产总量 laery7 模组的指令。

设定 KERNEL_DIR 与 IPTABLES_DI逍客 意况变数,并初阶编写翻译安装。

一、L7-filter简介

        iptables -[FZ] [chain] [options]

以下测量检验会拒绝连出 MSN Menssenger 封包,在 iptables 的 OUTPUT 政策里,我们在 X-Window 实施 GAIM 连出时,会开掘 msnmessenger 的封包被 DROP。

1)给iptables的ipp2p补丁
# cd /usr/src
# tar jxvf patch-o-matic-ng-20100218.tar.bz2
# cd patch-o-matic-ng-20100218
# export KERNEL_DIR=/usr/src/linux-2.6.19.7
# export IPTABLES_DIR=/usr/src/iptables-1.3.7
# ./runme ipp2p

在那之中樱桃红部分就在我们用命令# ls /etc/l7-protocols/protocols/所看见的列表中。

  • linux kernel source
  • iptables source
  • l7-filter patch
  • l7-filter protocols

iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

风姿罗曼蒂克、安装前企图

iptables-1.3.7
# wget

2.3 设置新基础为暗中同意运营的水源,假使是长途连接服务器,必供给修改那项,不然重启后暗中认可加载旧的kernel

                                   Layer 7 debugging output   必选 

                                 Delete rule rulenum (1 = first) from chain

三、利用l7filter来封禁迅雷、qq、msn….

图片 6

 aimwebcontent.pat         fasttrack.pat             live365.pat           replaytv-ivs.pat  telnet.pat

 applejuice.pat            finger.pat                liveforspeed.pat      rlogin.pat        tesla.pat

         kernel /boot/vmlinuz-2.6.18-164.el5 ro root=LABEL=/ rhgb quiet

大家得以看出,l7filter支持的封禁公约一定丰富,並且辅助都很好。

qq的总是退步新闻:

                                 network interface name ([ ] for wildcard)

                                 source specification

         IP: Netfilter Configuration  --->    该项下的具有品种必需都选上

         kernel /boot/vmlinuz-2.6.28 ro root=LABEL=/ rhgb quiet

     --l7dir <directory> : Look for patterns here instead of /etc/l7-protocols/

                  Core Netfilter Configuration  --->   该项下的享有项目建议都选上

 [!] --in-interface -i input name[ ]

    0     0 DROP       all  --  any    any     anywhere             anywhere            LAYER7 l7proto aim

 dhcp.pat                  imesh.pat                 qq.pat                stun.pat          yahoo.pat

二、安装layer7

 保存退出

        iptables -[LS] [chain [rulenum]] [options]

             -X [chain]          Delete a user-defined chain

 [!] --destination -d address[/mask]

        iptables -R chain rulenum rule-specification [options]

本文由澳门威利斯人发布于网络资讯,转载请注明出处:封包过滤

关键词: 澳门威利斯人