iptables Layer 7模块使用问题

wangpenghua

经过CUer们的帮忙已经安装好Layer 7模块，但使用当中遇到一个问题。
iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP
运行上面的语句后没有报错，可是测试qq还是可以上,难道还有哪里没有设置？
iptables -A FORWARD -m layer7 --l7proto qq -j DROP 也不行
有人说先把qq退出然后重新登录就可以禁止了，可我试了试还是不行。请大侠们帮忙解决

[ 本帖最后由 wangpenghua 于 2008-10-15 16:08 编辑 ]

ssffzz1

你帖iptables-save看看。

wangpenghua

[root@ftp2 protocols]# iptables-save
# Generated by iptables-save v1.4.2 on Wed Oct 15 17:45:21 2008
*mangle
REROUTING ACCEPT [284662:348227745]
:INPUT ACCEPT [258406:344611153]
:FORWARD ACCEPT [21241:2905243]
:OUTPUT ACCEPT [126426:7221887]
OSTROUTING ACCEPT [147360:10083158]
-A PREROUTING -m layer7 --l7proto msnmessenger -j DROP
-A POSTROUTING -m layer7 --l7proto qq -j DROP
-A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
-A POSTROUTING -m layer7 --l7proto qq -j DROP
COMMIT
# Completed on Wed Oct 15 17:45:21 2008
# Generated by iptables-save v1.4.2 on Wed Oct 15 17:45:21 2008
*filter
:INPUT ACCEPT [258457:344615162]
:FORWARD ACCEPT [20992:2868416]
:OUTPUT ACCEPT [126460:7225647]
-A FORWARD -m layer7 --l7proto msnmessenger -j DROP
-A FORWARD -m layer7 --l7proto msnmessenger -j DROP
-A FORWARD -p tcp -m layer7 --l7proto socks -j DROP
-A FORWARD -p udp -m udp --dport 8000 -j DROP
-A FORWARD -p tcp -m multiport --dports 80,443 -m layer7 --l7proto qq -j DROP
COMMIT
# Completed on Wed Oct 15 17:45:21 2008

wangpenghua

能用的规则都用上了可是还是可以上qq msn:em11:

ssffzz1

你用个别的规则测试一下L7试试。

root0

你的l7-proto日期是多久的？
我是4月份的。不能封。
最新有10月份的。你试下

wangpenghua

我用的是l7-protocols-2008-10-04.tar.gz的，应该是比较新的

wangpenghua

这是我把所有规则清除后重新执行了过滤策略，还是不行，下面是我执行的命令与iptables-save
[root@ftp2 ~]# iptables -t mangle -I PREROUTING -m layer7 --l7proto qq -j DROP
[root@ftp2 ~]# iptables-save
# Generated by iptables-save v1.4.2 on Thu Oct 16 10:37:47 2008
*mangle
REROUTING ACCEPT [340734:364160915]
:INPUT ACCEPT [297998:358179619]
:FORWARD ACCEPT [27522:3771796]
:OUTPUT ACCEPT [133434:7890288]
OSTROUTING ACCEPT [160641:11617250]
-A PREROUTING -m layer7 --l7proto qq -j DROP
COMMIT
# Completed on Thu Oct 16 10:37:47 2008
# Generated by iptables-save v1.4.2 on Thu Oct 16 10:37:47 2008
*filter
:INPUT ACCEPT [298050:358183668]
:FORWARD ACCEPT [27267:3734417]
:OUTPUT ACCEPT [133468:7894148]
COMMIT
# Completed on Thu Oct 16 10:37:47 2008

wangpenghua

[root@ftp2 ~]# iptables -t mangle -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto qq

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

ssffzz1

你试试L7能封别的不。

这个可以直接判断出是IPTABLES的问题，还是L7的匹配问题。