IPP2P模块修改版，最新0.99.16

hb2k

club.qingdaonews.com
只能看贴，不能回。
撤掉规则后就正常了。

楼主测试下。

个别网站只能打开一半。
iptables -A FORWARD -m ipp2p --xunlei -j DROP
iptables -A FORWARD -m ipp2p --ipp2p -j DROP

IPP2P0.99.6

[ 本帖最后由 hb2k 于 2007-12-12 10:38 编辑 ]

luojm_24680

[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -m layer7 --l7proto xunlei -j DROP
-A INPUT -m layer7 --l7proto bittorrent -j DROP
-A INPUT -m layer7 --l7proto chikka -j DROP
-A INPUT -m layer7 --l7proto edonkey -j DROP
-A INPUT -m layer7 --l7proto goboogy -j DROP
-A INPUT -m layer7 --l7proto h323 -j DROP
-A INPUT -m layer7 --l7proto kugoo -j DROP
-A INPUT -m layer7 --l7proto live365 -j DROP
-A INPUT -m layer7 --l7proto mohaa -j DROP
-A INPUT -m layer7 --l7proto poco -j DROP
-A INPUT -m layer7 --l7proto zmaap -j DROP
-A INPUT -m iprange --src-range 10.8.32.1-10.8.35.1 -m ipp2p --ipp2p -j DROP
-A INPUT -p tcp -m ipp2p --edk --soul -j DROP
-A INPUT -p tcp -m ipp2p --bit -j DROP
-A INPUT -p udp -m ipp2p --bit -j DROP
-A INPUT -m ipp2p --bit -j DROP
-A INPUT -p udp -m ipp2p --xunlei -j DROP
-A INPUT -p tcp -m ipp2p --xunlei -j DROP
-A INPUT -m ipp2p --xunlei -j DROP
-A INPUT -p udp -m ipp2p --pp -j DROP
-A INPUT -p tcp -m ipp2p --pp -j DROP
-A INPUT -m ipp2p --pp -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m ipp2p --ipp2p -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -m ipp2p --xunlei -j DROP
-A INPUT -m ipp2p --pp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m string --algo bm --string "sex.com" -j REJECT
-A INPUT -m string --algo bm --string "色情电影" -j REJECT
-A INPUT -m string --algo bm --string "激情图片" -j REJECT
-A INPUT -m string --algo bm --string "成人电影" -j REJECT
-A INPUT -m string --algo bm --string "电影" -j REJECT
-A INPUT -j DROP
COMMIT
# Completed on Tue Dec 11 12:33:51 2007
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Tue Dec 11 12:33:51 2007


flashget 1.8版本
请ShadowStar精灵帮忙分析,谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-12 11:35 编辑 ]

ShadowStar

原帖由 hb2k 于 2007-12-12 10:36 发表
club.qingdaonews.com
只能看贴，不能回。
撤掉规则后就正常了。

楼主测试下。

个别网站只能打开一半。
iptables -A FORWARD -m ipp2p --xunlei -j DROP
iptables -A FORWARD -m ipp2p --ipp2p -j DR ...

我这边测试没什么问题啊，都很正常。

要不你换0.99.9版的试验一下？

ShadowStar

原帖由 luojm_24680 于 2007-12-12 11:09 发表
[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042: ...

7层过滤因为是关键字过滤，并不会出现在数据流的初始化数据包中，所以你应该将所有的7层过滤规则放在

1. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

复制代码

之前。

我不清楚你为什么使用INPUT链进行过滤？你在Linux下使用flashget，或迅雷？而且迅雷的过滤是针对于查找候选资源的发出数据包的，放在INPUT链也没用。

另外，ipp2p模块不需要特别指定-p tcp/udp。

[ 本帖最后由 ShadowStar 于 2007-12-12 11:21 编辑 ]

luojm_24680

谢谢!

我不清楚你为什么使用INPUT链进行过滤？你在Linux下使用flashget，或迅雷？而且迅雷的过滤是针对于查找候选资源的发出数据包的，放在INPUT链也没用。

既然P2P是针对发出的数据包,那么放在OUTPUT链呢,还是放在forward链,还是针对不同的应用程序(迅雷\flashget)放在不同的链呢?

有没有完整的例子,包括输入\输出\转发的,


谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-12 11:52 编辑 ]

ShadowStar

通常使用Linux作为网关、防火墙、路由、NAT的话，应该放在FORWARD链来进行过滤。

INPUT/OUTPUT链针对的是计算机本身的接受/发出。
FORWARD链针对的是网络转发。

luojm_24680

[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A FORWARD -m layer7 --l7proto xunlei -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m layer7 --l7proto chikka -j DROP
-A FORWARD -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m layer7 --l7proto goboogy -j DROP
-A FORWARD -m layer7 --l7proto h323 -j DROP
-A FORWARD -m layer7 --l7proto kugoo -j DROP
-A FORWARD -m layer7 --l7proto live365 -j DROP
-A FORWARD -m layer7 --l7proto mohaa -j DROP
-A FORWARD -m layer7 --l7proto poco -j DROP
-A FORWARD -m layer7 --l7proto zmaap -j DROP
-A FORWARD -m iprange --src-range 10.8.32.1-10.8.35.1 -m ipp2p --ipp2p -j DROP
-A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
-A FORWARD -p tcp -m ipp2p --bit -j DROP
-A FORWARD -p udp -m ipp2p --bit -j DROP
-A FORWARD -m ipp2p --bit -j DROP
-A FORWARD -m ipp2p --xunlei -j DROP
-A FORWARD -m ipp2p --pp -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m ipp2p --ipp2p -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -m string --algo bm --string "sex.com" -j REJECT
-A INPUT -m string --algo bm --string "色情电影" -j REJECT
-A INPUT -m string --algo bm --string "激情图片" -j REJECT
-A INPUT -m string --algo bm --string "成人电影" -j REJECT
-A INPUT -m string --algo bm --string "电影" -j REJECT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Tue Dec 11 12:33:51 2007
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Tue Dec 11 12:33:51 2007

谢谢!

vadera

为什么我加载内核模块儿会出错
成功编译了，iptables -m ipp2p --help无误，但是insmod时出错

1. [root@localhost ipp2p-0.99.9]# ls
   
2. COPYING      ipt_ipp2p.h   ipt_ipp2p.mod.c  ipt_ipp2p.o  libipt_ipp2p.c  libipt_ipp2p.so  Module.symvers
   
3. ipt_ipp2p.c  ipt_ipp2p.ko  ipt_ipp2p.mod.o  ipt.sh       libipt_ipp2p.o  Makefile         README
   
4. [root@localhost ipp2p-0.99.9]# iptables -m ipp2p --help
   
5. iptables v1.2.11
   
6. 
   
7. Usage: iptables -[AD] chain rule-specification [options]
   
8.        iptables -[RI] chain rulenum rule-specification [options]
   
9.        iptables -D chain rulenum [options]
   
10.        iptables -[LFZ] [chain] [options]
    
11.        iptables -[NX] chain
    
12.        iptables -E old-chain-name new-chain-name
    
13.        iptables -P chain target [options]
    
14.        iptables -h (print this help information)
    
15. 
    
16. Commands:
    
17. Either long or short options are allowed.
    
18.   --append  -A chain            Append to chain
    
19.   --delete  -D chain            Delete matching rule from chain
    
20.   --delete  -D chain rulenum
    
21.                                 Delete rule rulenum (1 = first) from chain
    
22.   --insert  -I chain [rulenum]
    
23.                                 Insert in chain as rulenum (default 1=first)
    
24.   --replace -R chain rulenum
    
25.                                 Replace rule rulenum (1 = first) in chain
    
26.   --list    -L [chain]          List the rules in a chain or all chains
    
27.   --flush   -F [chain]          Delete all rules in  chain or all chains
    
28.   --zero    -Z [chain]          Zero counters in chain or all chains
    
29.   --new     -N chain            Create a new user-defined chain
    
30.   --delete-chain
    
31.             -X [chain]          Delete a user-defined chain
    
32.   --policy  -P chain target
    
33.                                 Change policy on chain to target
    
34.   --rename-chain
    
35.             -E old-chain new-chain
    
36.                                 Change chain name, (moving any references)
    
37. Options:
    
38.   --proto       -p [!] proto    protocol: by number or name, eg. `tcp'
    
39.   --source      -s [!] address[/mask]
    
40.                                 source specification
    
41.   --destination -d [!] address[/mask]
    
42.                                 destination specification
    
43.   --in-interface -i [!] input name[+]
    
44.                                 network interface name ([+] for wildcard)
    
45.   --jump        -j target
    
46.                                 target for rule (may load target extension)
    
47.   --match       -m match
    
48.                                 extended match (may load extension)
    
49.   --numeric     -n              numeric output of addresses and ports
    
50.   --out-interface -o [!] output name[+]
    
51.                                 network interface name ([+] for wildcard)
    
52.   --table       -t table        table to manipulate (default: `filter')
    
53.   --verbose     -v              verbose mode
    
54.   --line-numbers                print line numbers when listing
    
55.   --exact       -x              expand numbers (display exact values)
    
56. [!] --fragment  -f              match second or further fragments only
    
57.   --modprobe=<command>          try to insert modules using this command
    
58.   --set-counters PKTS BYTES     set the counter during insert/append
    
59. [!] --version   -V              print package version.
    
60. 
    
61. IPP2P v0.99.9 options:
    
62. --ipp2p        Grab all known p2p packets
    
63. --edk          [TCP&UDP]       All known eDonkey/eMule/Overnet packets
    
64. --dc           [TCP]           All known Direct Connect packets
    
65. --kazaa        [TCP&UDP]       All known KaZaA packets
    
66. --gnu          [TCP&UDP]       All known Gnutella packets
    
67. --bit          [TCP&UDP]       All known BitTorrent packets
    
68. --apple        [TCP]           All known AppleJuice packets
    
69. --winmx        [TCP]           All known WinMX
    
70. --soul         [TCP]           All known SoulSeek
    
71. --ares         [TCP]           All known Ares
    
72. --pp           [TCP&UDP]       All known PPLive/PPStream/UUSee/QQLive packets (Please send feedback to: [email]liulei@syiae.edu.cn[/email])
    
73. --xunlei       [TCP]           All known xunlei/QQCyclone packets
    
74. EXPERIMENTAL protocols (please send feedback to: [email]ipp2p@ipp2p.org[/email]) :
    
75. --mute         [TCP]           All known Mute packets
    
76. --waste        [TCP]           All known Waste packets
    
77. --xdcc         [TCP]           All known XDCC packets (only xdcc login)
    
78. 
    
79. DEBUG SUPPPORT, use only if you know why
    
80. --debug                Generate kernel debug output, THIS WILL SLOW DOWN THE FILTER
    
81. 
    
82. Note that the follwing options will have the same meaning:
    
83. '--ipp2p' is equal to '--edk --dc --kazaa --gnu --bit --apple --winmx --soul --ares --pp'
    
84. 
    
85. IPP2P was intended for TCP only. Due to increasing usage of UDP we needed to change this.
    
86. You can now use -p udp to search UDP packets only or without -p switch to search UDP and TCP packets.
    
87. 
    
88. See README included with this package for more details or visit [url]http://www.ipp2p.org[/url]
    
89. 
    
90. Examples:
    
91. iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01
    
92. iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP
    
93. iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
    
94. [root@localhost ipp2p-0.99.9]# insmod /lib/modules/2.6.12-1.1381_FC3/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
    
95. insmod: error inserting '/lib/modules/2.6.12-1.1381_FC3/kernel/net/ipv4/netfilter/ipt_ipp2p.ko': -1 Invalid module format
    
96. 
    

复制代码

注，文件已正确拷贝至相关目录下
相关环境:

1. [root@localhost ipp2p-0.99.9]# iptables -V
   
2. iptables v1.2.11
   
3. [root@localhost ipp2p-0.99.9]# rpm -qa|grep gcc
   
4. gcc-3.4.4-2.fc3
   
5. libgcc-3.4.4-2.fc3
   
6. [root@localhost ipp2p-0.99.9]# rpm -qa|grep kernel
   
7. kernel-utils-2.4-13.1.39
   
8. kernel-2.6.12-1.1381_FC3
   
9. kernel-devel-2.6.12-1.1372_FC3
   

复制代码

[ 本帖最后由 vadera 于 2007-12-12 15:00 编辑 ]

vadera

不会是因为devel包和内核版本不一致的原因吧？
但是1381的devel包好象没有的啊？

ShadowStar

原帖由 luojm_24680 于 2007-12-12 13:26 发表
[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042: ...

不清楚你这个到底是做什么用处的。
如果是过滤网关的话，所有的过滤都应该放在FORWARD链上来做，包括string。
另外在INPUT链中的有2条-m state --state ESTABLISHED,RELATED -j ACCEPT规则，后面那条的没有用。