为iptables增加layer7补丁(Linux2.6.25内核)
七层过滤
一、重新编译内核
1、合并kernel+layer7补丁
[root@localhost ~]# tar -jxvf linux-2.6.25.19.tar.gz2 -C /usr/src/
[root@localhost ~]# tar -zxvf netfilter-layer7-v2.20.tar.gz -C /usr/src/
[root@localhost ~]# cd /usr/src/linux-2.6.25.19/
[root@localhost linux-2.6.25.19]# patch -p1 < /usr/src/netfilter-layer7-v2.20/kernel-2.6.25-layer7-2.20.patch
2、配置新内核
[root@localhost linux-2.6.25.19]# cp /boot/config-2.6.18-128.el5 .config
//沿用旧的内核配置
[root@localhost linux-2.6.25.19]# make menuconfig
//配置内核时,在“Networking ---> Networking Options ---> Network Packet filtering framework (Netfilter) ”处主要注意两个地方:
1) ---> Core Netfilter Configuration
//将“Netfilter connection tracking suport (NEW)”选择编译为模块(M),需选取此项才能看到layer7支持的配置。
//将layer7、string、state、time、IPsec、iprange、connlimit……等编译成模块,根据需要看着办。
2) ---> IP: Netfilter Configuration
//将“IPv4 connection tracking support (require for NAT)”编译成模块。
//将“Full NAT”下的“MASQUERADE target support”和“REDIRECT target support”编译成模块。
3、编译及安装模块、新内核
[root@localhost ~]# make && make modules_install && make install
//编译安装成后后,重启选择使用新的内核(2.6.25.19)引导系统
二、重新编译iptables
[root@localhost ~]#cd /etc/init.d
[root@localhost init.d]#cp iptables iptables.bak //控制脚本
1、卸载现有iptables
[root@localhost ~]# rpm -e iptables –nodeps
//–nodeps表示取消依赖关系
2、合并iptables+layer7补丁
[root@localhost ~]# tar -jxvf iptables-1.4.2.tar.bz2 -C /usr/src
[root@localhost src]# cd /usr/src/netfilter-layer7-v2.20/iptables-1.4.1.1-for-kernel-2.6.20forward/
[root@localhost iptables-1.4.1.1-for-kernel-2.6.20forward]# cp libxt_layer7.c libxt_layer7.man /usr/src/iptables-1.4.2/extensions/
[root@localhost iptables-1.4.2]# mv /etc/init.d/iptables.bak /etc/init.d/iptables //拷贝原来控制脚本
3、编译安装
[root@localhost ~]# cd /usr/src/iptables-1.4.2/
[root@localhost ~]# ./configure --prefix=/ --with-ksource=/usr/src/linux-2.6.25.19
[root@localhost ~]# make && make install
4、安装l7-protocols模式包
[root@localhost ~]# tar -zxvf l7-protocols-2008-10-04.tar.gz -C /etc/
[root@localhost ~]# mv /etc/l7-protocols-2008-10-04/ /etc/l7-protocols
案例
一、实验拓扑图:
二、实验准备:
1.打开数据包转发功能
vim /etc/sysctl.conf
sysctl -p 重新生效
2.加载ftp模块
modprobe ip_nat_ftp
vim /etc/modprobe.conf //永久加入模块
lsmod |grep ftp
//查看详细信息
3.设置SNAT
iptables -t nat –A POSTRUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE(地址伪装)//如果是eth1端口为动态地址,需要地址伪装
4.指令
iptables
-A --append 追加 例:iptables -t nat -A PREROUTING
-R --replace 替换 例:iptables -t nat -R POSTRUTING 1
-D --delete 删除 例:iptables -t nat -D POSTROUTING 1
-I --insert 插入 例:iptables -t nat –I POSTRUTING 1
-N --new 用户自定义链
-X 删除用户自定义的空链
-F --flush 清空链
-L -n -v --line-number 查看详细信息和条目号
5.查看版本号
[root@localhost ~]#iptables //iptables版本
iptables v1.4.2
[root@localhost ~]# uname –r //内核版本
2.6.25.19
6.控制脚本启动服务
[root@localhost ~]# service iptables save
[root@localhost ~]# service iptables restart
7.查看时间
[root@localhost ~]# date
实验要求:
公司有三个部门,分别为:
工程部门
地址:2.10--2.20
软件部门
地址:2.21-2.30
经理办公室 地址:2.31-2.40
上班时间
(周一到周五 08:20:00)
工程部门
允许ftp 下班后无限制
软件部门
允许http。不允许访问非法站点sina,连接数最多3个,不允许聊天,下班后无限制
经理办公室 允许http、qq ,下班后无限制
dmz区域
允许www服务器进行发布,地址:3.100
三、实验配置:
1.防火墙链权限为默认值配置
iptables -A INPUT -s 192.168.2.8 -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP 修改INPUT链默认规则为拒绝
iptables -A OUTPUT -d 192.168.2.8 -p tcp --sport 22 -j ACCEPT
iptables -P OUTPUT DROP 修改OUTPUT链默认规则为拒绝
iptables -P FORWARD DROP修改FORWARD链默认规则为拒绝 //对xshell连接无影响
2.工程部门配置
允许ftp
有两种配置方法:ftp标准的包过滤、状态包过滤
ftp标准的包过滤:
iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.10-192.168.2.20 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --deport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 20 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -F FORWARD
状态包过滤(端口,协议,ip地址过滤)
iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.10-192.168.2.20 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --deport 21 -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
下班无限制
iptables -t filter -A FORWARD -s 192.168.2.0/24 -o eth1 -m time --timestart 20:01 --timestop 07:59 -j ACCEPT
3.软件部门配置
允许http
iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.21-192.168.2.30 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.21-192.168.2.30 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p udp --dport 53 -j ACCEPT // 允许DNS解析通过
不允许访问非法站点sina
iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.21-192.168.2.30 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -m string --string "sina" --algo bm -j DROP //条目顺序会影响访问sina网址,被拒绝的限制要放在最前面
不允许登录qq
iptables -I FORWARD 2 -m iprange --src-range 192.168.2.21-192.168.2.30 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto qq -j DROP //运用七层过滤
连接数最多3个
iptables -I FORWARD 2 -m iprange --src-range 192.168.2.21-192.168.2.30 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --syn --dport 80 -m connlimit --connlimit-above 3 -j DROP
测试:
iptables –L –v –n //查看是否有数据包匹配
13 4798 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.2.21-192.168.2.30 TIME from 08:00:00 to 20:00:00 on Mon,Tue,Wed,Thu,Fri STRING match "sina" ALGO name bm TO 65535
8706 511 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.2.21-192.168.2.30 TIME from 08:00:00 to 21:00:00 on Mon,Tue,Wed,Thu,Fri tcp dpt:80
158 9646 ACCEPT
udp -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.2.21-192.168.2.30 TIME from 08:00:00 to 20:00:00 on Mon,Tue,Wed,Thu,Fri udp dpt:53
58 3684 ACCEPT all -- * eth1 192.168.2.0/24 0.0.0.0/0 TIME from 20:01:00 to 07:59:00
4.经理办公室配置
允许http
iptables -A FORWARD -m iprange --src-range 192.168.2.31-192.168.2.40 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 192.168.2.31-192.168.2.40 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -p tcp --dport 80 -j ACCEPT
允许qq
iptables -A FORWARD -m iprange --src-range 192.168.2.31-192.168.2.40 -m time --timestart 08:00 --timestop 20:00 --weekdays Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto qq -j ACCEPT
5.DMZ配置
dnat设置
iptables -t nat -A PREROUTING -d 192.168.101.101 -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.3.100
iptables -t filter -A FORWARD -d 192.168.3.100 -p tcp --dport 80 -j ACCEPT
iptables 模块介绍
1. string(字符串匹配,可以用做内容过滤)
# cat string/info
iptables -I FORWARD -m string --string "腾讯" -j DROP
iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP
iptables -I FORWARD -d 192.168.3.0/24 -m string --string "宽频影院" -j DROP
iptables -I FORWARD -d 192.168.3.0/24 -m string --string "×××" -j DROP
iptables -I FORWARD -d 192.168.3.0/24 -p tcp --sport 80 -m string --string "广告" -j DROP
至于怎么灵活运用就要看自己的需要了.
2. comment (备注匹配,可以支持最多256个字符)
#Supported options:
--comment COMMENT
翻译:这个选项增加CONFIG_IP_NF_MATCH_COMMENT,补充一个注释匹配模块.这个匹允许你增加一个备注都任何规则,这个备注最多支持256个字符,例如
Example:(例子:)
-A INPUT -s 192.168.0.0/16 -m comment --comment "A privatized IP block"
译者:我是这样测试使用这个comment
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online"
iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"
这样在iptables -L时,就看到每条规则后面出现备注的内容.可以提高可读和理解该条规则的作用.
这个comment 在2.6.x中已经被正式收录.
3. connlimit(同时连接个数限制匹配)
# cat connlimit/info
:这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数.
Examples: 例子:
# allow 2 telnet connections per client host (允许每个客户机同时两个telnet连接)
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
# you can also match the other way around:(你也可以匹配其他的方法:)
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT
# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求)
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT
模块 connlimit 作用:连接限制
--connlimit-above n 限制为多少个
--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip.
这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用
例如:只允许每个ip同时5个80端口转发,超过的丢弃:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
例如:只允许每组C类ip同时10个80端口转发:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
4. time(时间匹配)
Match only if today is one of the given days. (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday)
(只是匹配已经给出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun ;默认每天)
(开始日期 日期)
Match only if it is after `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 1970)
(只是匹配这个开始日期值之后的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是1970):
Match only if it is before `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 2037)
(只是匹配这个开始日期值之前的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是2037):
Example: (例子:)
-A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri
will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday to Friday.
(上面将匹配从到达日期是星期一至星期五时间从8:00至18:00的包)
-A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon --date-stop 2010
will match the packets (locally generated) that have a departure timestamp in the range 8:00->18:00 on Monday only, until 2010
(上面将匹配本地产生的时间范围直到2010年为止的每个星期一8:00至18:00的包)
NOTE: the time match does not track changes in daylight savings time
5. iprange (ip范围匹配)
This patch makes possible to match source/destination IP addresses against inclusive IP address ranges.
翻译: 这个补丁令匹配源/目标 IP地址可以倚着给出的地址范围进行匹配
Examples:(例子)
iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT
这个例子是允许源ip地址范围192.168.1.5-192.168.1.124的包通过
iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.255.255.255 -j ACCEPT
这个例子是允许目标ip地址范围10.0.0.0-10.255.255.255的包通过
6. geoip(根据地理位置匹配)
This patch makes possible to match a packet by its source or destination country.
翻译:这个补丁令一个包能够根据源或目的国家(地区)匹配
GeoIP options: (选项:)
--src-cc, --source-country country
Match packet coming from (one of) the specified country(ies)
根据包的来源(或非来源)地区匹配
--dst-cc, --destination-country country
Match packet going to (one of) the specified country(ies)
根据包的去向(或非去向)地区匹配
NOTE: The country is inputed by its ISO3166 code.
注意:这个国家地区列表放在ISO3166编码里
The only extra files you need is a binary db (geoipdb.bin) & its index file (geoipdb.idx).Both files are generated from a countries & subnets database with the csv2bin tool,available at www.cookinglinux.org/geoip/. Both files MUST also be moved in /var/geoip/ as the shared library is statically looking for that pathname (ex.: /var/geoip/geoipdb.bin).
这个你需要额外的二进位文件geoipdb.bin 和它的索引文件geoipdb.idx.这两个文件是国家地区网络数据库,是用csv2bin 工具生成的,可以在www.cookinglinux.org/geoip/得到.这些文件必须放在/var/geoip/下,作为一个共享库查找路径名字如/var/geoip/geoipdb.bin
7. Nth(第n个包匹配)
# cat nth/info
Title: iptables nth match (标题: iptables第N个匹配)
Author: Fabrice MARIE (作者:名字,email地址)
Status: Works (状况:运作)
Repository: base (贮仓库: 基础的)
# cat nth/help
This option adds an iptables `Nth' match, which allows you to match every Nth packet encountered. By default there are 16 different counters that can be used.
翻译: 这个选项增加一个第N个匹配,允许你匹配每隔N个包,默认有16不同的计算方法可以使用
This match functions in one of two ways
1) Match ever Nth packet, and only the Nth packet.
example:(例子)
iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP
This rule will drop every 10th packet.
这个规则将丢弃每隔10个包
2) Unique rule for every packet. This is an easy and quick method to produce load-balancing for both inbound and outbound.
为每一个包应用一个独特的规则,这样是一个容易和快速的负载均衡方法
example: (例如)
iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 0 -j SNAT --to-source 10.0.0.5
iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 1 -j SNAT --to-source 10.0.0.6
iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 2 -j SNAT --to-source 10.0.0.7
This example evenly splits connections between the three SNAT addresses.
上面例子由三个源ip地址平滑分割连接
By using the mangle table and iproute2, you can setup complex load-balanced routing. There's lot of other uses. Be creative!
配合iptables 的mangle表和高级路由iproute2,你能设置一个复合的负载平衡路由.还有其他的用途,具有创造性的设置
Suppported options are: (支持选项有:)
--every Nth Match every Nth packet (匹配每N 个包)
num Use counter 0-15 (default:0) (用计算器(默认是0))
num Initialize the counter at the number 'num' instead of 0. Must be between 0 and Nth-1
(初始化一个计算器,用这个num值而不是0. 必需是在0和N减1之间的数
num Match on 'num' packet. Must be between 0 and Nth-1. If --packet is used for a counter than
there must be Nth number of --packet rules, covering all values between 0 and Nth-1 inclusively.
匹配'num' 包,必需是在0和N减1之间的数,如果该包被用一个计算器,必需是第Nth数字包规则,并覆盖0至Nth-1的所有值(这个翻译得不好,请指正)
8. ipp2p(点对点匹配)
# cat ipp2p/info
Title: Detects some P2P packets (标题: 侦查P2P包)
Author: Eicke Friedrich (作者:名字,email地址)
Status: Stable (状况:稳定的)
Repository: extra (贮仓库: 额外的)
Recompile: netfilter, iptables (重新编译:netfilter|iptables)
# cat ipp2p/help
This option makes possible to match some P2P packets therefore helps controlling such traffic.
Dropping all matches prohibits P2P networks.
Combined with conntrack,CONNMARK and a packet scheduler it can be used for accounting or shaping of P2P traffic.
这个选项能够匹配某些P2P包,帮助控制流量.丢弃所有匹配的P2P.结合连接跟踪,和一个包的调度器,它能被用作计算和×××一个P2流量
Examples: (例如:)
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
上例可以封杀很多bt等的P2P软件.
更多参数更详细的参考还有ipp2p/iptables/extensions/libipt_ipp2p.man或http://www.ipp2p.org
9. quota(配额匹配)
# cat quota/info Title: iptables quota match (标题: iptables配额匹配)
Author: Sam Johnston (作者:名字,email地址)
Status: worksforme (状况:运作的)
Repository: base (贮仓库: 基础的)
# cat quota/help
This option adds CONFIG_IP_NF_MATCH_QUOTA, which implements network quotas by decrementing a byte counter with each packet.
这个选项增加一个模块匹配包实现网络包通过的配额
Supported options are: (支持选项有:)
--quota
The quota in bytes. (用bytes为单位)
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j DROP
上例是这样的,在ip192.168.3.159的目标端口为80匹配的500个字节内,将被丢弃.直到匹配完这500字节后,才不会丢弃,就是说,才可以打开网页.
KNOWN BUGS: this does not work on SMP systems.
知道的bug:这个不能工作在SMP系统上,(SMP, symmetric multiprocessing 多处理技术)