iptables模块添加--七层过滤、防CC、DDOS

 

#!/bin/bash
# BY kerryhu
# QQ:263205768
# MAIL:[email protected]
# BLOG:http://kerry.blog.51cto.com
IPT=/sbin/iptables
/*
当前系统版本centos5.3,内核版本2.6.18-128.el5，对现有系统内核进行升级、优化，并添加L7-filter模块，使iptables支持L7filter，对七层应用进行过滤
*/

#============================ 下载安装包 ========================================
#kernel 2.6.28.10
wget  http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.10.tar.bz2
#iptables
#wget  http://www.netfilter.org/projects/iptables/files/iptables-1.4.7.tar.bz2
wget  ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.0.tar.bz2
#l7-protocols
wget  http://ncu.dl.sourceforge.net/project/l7-filter/Protocol%20definitions/2009-05-28/l7-protocols-2009-05-28.tar.gz
#netfilter-layer7
wget  http://ncu.dl.sourceforge.net/project/l7-filter/l7-filter%20kernel%20version/2.21/netfilter-layer7-v2.21.tar.gz
#patch-o-matic-ng
wget  ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20100218.tar.bz2

#============================= 内核编译 ===========================================
cd /opt
tar jxvf iptables-1.4.3.tar.bz2 
tar zxvf ipp2p-0.99.16.tar.gz
tar zxvf netfilter-layer7-v2.22.tar.gz
tar jxvf linux-2.6.28.10.tar.bz2
mv linux-2.6.28.10 /usr/src/

 

#
#给内核打L7-filter补丁,将以上各软件包都解压到 /usr/src 目录
cd /usr/src/linux-2.6.28.10
patch -p1 < /opt/netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch

#检查有无不正确的.o文件和依赖关系，使用刚下载的完整的源程序包进行编译，所以本步可以省略。而如果你多次使用了这些源程序编译内核，那么最好要先运行一下这个命令
#make mrproper

#使用make oldconfig可以继承老的kernel的配置，为自己的配置省去很多麻烦 
make oldconfig

#make menuconfig是文字界面下推荐一种方式，在这里可以选择你需要编译到核心的模块
make menuconfig

/*
空格键用于选择配置类型
对不同功能的配置选择
[   ]：空选时表示不需要在新内核中使用该功能
[ M ]：表示将此项功能编译为模块，以便在需要时加载  Module
[ * ]：将此项功能直接编入新内核，作为新内核的一部分需要配置哪些内核编译参数
*/

#Networking support  --->  

阅读全文>>