iptables之7层过滤(封QQ、MSN、P2P等)

简介

  在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协议。

  L7 filter是基于数据流工作的,建立在Netfilter connstrack功能之上。因为一个数据流或者说一个连接的所有数据都是属于同一个应用的,所以L7 filter没有必要对所以的数据包进行模式匹配,而只匹配一个流的前面几个数据包 (比如10个数据包)。当一个流的前面几个数据包包含了某种应用层协议的特征码时 (比如QQ),则这个数据流被L7 filter识别;当前面几个数据包的内容没有包含某种应用层协议的特征码时,则L7 filter放弃继续做模式匹配,这个数据流也就没有办法被识别,L7 filter所支持的协议如下图所示http://l7-filter.sourceforge.net/protocols
  为了学习iptables以及利用它进行应用层的过滤,所以必须先搭建好学习环境。我原来的测试机器装的是CentOS5的系统,而且只安装了基本的文本界面。在后续的学习中需要用到协议分析工具Wireshark,而该软件的很多功能都需要图形环境才能体现。原本以为在装好操作系统的情况下用安装光盘附加软件是件很容易的事,后来发现还没有这么简单。所以必须安装图形环境。当然可以先安装基本的iptables及7层的包然后再安装图形系统。
安装前的准备
  7层过滤首先需要内核支持,现在最新的内核是2.6.33但是L7 filter的支持列表只更新到2.6.30.5而且有部份的功能未经测试,而所有经过测试的版本的内核是2.6.28http://l7-filter.sourceforge.net/kernelcompat(如下图所示),为了保证其稳定所以决定将内核升级为2.6.28。
下载所需的软件包
1
2
3
4
wget http: //www .kernel.org /pub/linux/kernel/v2 .6 /linux-2 .6.28. tar .bz2
wget http: //netfilter .org /projects/iptables/files/iptables-1 .4.7. tar .bz2
wget http: //downloads .sourceforge.net /project/l7-filter/Protocol %20definitions /2009-05-28/l7-protocols-2009-05-28 . tar .gz?use_mirror=nchc
wget http: //downloads .sourceforge.net /project/l7-filter/l7-filter %20kernel%20version /2 .22 /netfilter-layer7-v2 .22. tar .gz?use_mirror=nchc


解压以上文件
1
2
3
4
tar  jxvf linux-2.6.28. tar .bz2 -C  /usr/src
tar  jxvf iptables-1.4.7. tar .bz2 -C  /usr/src
tar  zxvf l7-protocols-2009-05-28. tar .gz -C  /usr/src
tar  zxvf netfilter-layer7-v2.22. tar .gz -C  /usr/src


卸载系统自带的iptables
1
rpm -e --nodeps  `rpm -qa |  grep  iptables`


安装Layer 7
  以上操作完成后就可以开始编译内核加入Layer 7的支持了,需注意的是在编译内核中有些选项的选取上一定要注意,安装的成功与否很大程度上取决于内核编译是否成功,内核编译参数如下表所示。
1
2
3
4
5
6
7
8
9
10
General setup  ---
       Prompt for development and/or incomplete code/drivers       必选
    Networking  ---
        Networking options  ---
             Network packet filtering framework (Netfilter)  ---
                  Core Netfilter Configuration  ---                            该项下的所有项目建议都选上
                       Netfilter connection tracking support          必选
                                "layer7" match support                     必选                           
                                   Layer 7 debugging output                    必选
         IP: Netfilter Configuration  ---                                        必选
给新内核加入Layer 7补丁
1
2
cd  /usr/src/linux-2 .6.28/
patch -p1 <  /usr/src/netfilter-layer7-v2 .22 /kernel-2 .6.25-2.6.28-layer7-2.22.patch


编译内核
1
2
3
4
make  menuconfig
make
make  modules_install
make  install


更改启动项后并重启系统
1
vi  /etc/grup .conf


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /boot/, eg.
#          root (hd0,0)
#          kernel /vmlinuz-version ro root=/dev/VolGroup00/LogVol00
#          initrd /initrd-version.img
#boot=/dev/sda
default=0
timeout=5
splashimage=(hd0,0) /grub/splash .xpm.gz
hiddenmenu
title CentOS (2.6.28)
         root (hd0,0)
         kernel  /vmlinuz-2 .6.28 ro root= /dev/VolGroup00/LogVol00
         initrd  /initrd-2 .6.28.img
title CentOS (2.6.18-164.el5)
         root (hd0,0)
         kernel  /vmlinuz-2 .6.18-164.el5 ro root= /dev/VolGroup00/LogVol00
         initrd  /initrd-2 .6.18-164.el5.img
编译安装iptables并支持Layer 7
1
2
3
4
5
6
7
cd  iptables-1.4.7/
cp  /usr/src/netfilter-layer7-v2 .22 /iptables-1 .4.3forward- for -kernel-2.6.20forward/* extensions/
. /configure  --with-ksource= /usr/src/linux-2 .6.28/
cp  /usr/src/netfilter-layer7-v2 .22 /iptables-1 .4.3forward- for -kernel-2.6.20forward/*.* extensions/
. /configure  --with-ksource= /usr/src/linux-2 .6.28
make
make  install


安装Layer 7协议
1
2
cd  l7-protocols-2009-05-28/
make  install


测试
1
2
iptables -V
iptables -m layer7 –help


使用iptables layer-7 filter
1
2
3
4
5
6
7
iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto msnmessenger -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto xunlei -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto kugoo -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto yahoo -j DROP


本文出自 “虚拟的现实” 博客,请务必保留此出处http://waringid.blog.51cto.com/65148/290886

你可能感兴趣的:(iptables,-,L7)