免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: ShadowStar
打印 上一主题 下一主题

[网络管理] IPP2P模块修改版,最新0.99.16 [复制链接]

论坛徽章:
0
141 [报告]
发表于 2007-12-12 10:36 |只看该作者

有误杀。

club.qingdaonews.com
只能看贴,不能回。
撤掉规则后就正常了。

楼主测试下。

个别网站只能打开一半。
iptables -A FORWARD -m ipp2p --xunlei -j DROP
iptables -A FORWARD -m ipp2p --ipp2p -j DROP

IPP2P0.99.6

[ 本帖最后由 hb2k 于 2007-12-12 10:38 编辑 ]

论坛徽章:
0
142 [报告]
发表于 2007-12-12 11:09 |只看该作者

我使用了下面的规则,为什么flashget还能下载,我规则哪儿有问题

[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -m layer7 --l7proto xunlei -j DROP
-A INPUT -m layer7 --l7proto bittorrent -j DROP
-A INPUT -m layer7 --l7proto chikka -j DROP
-A INPUT -m layer7 --l7proto edonkey -j DROP
-A INPUT -m layer7 --l7proto goboogy -j DROP
-A INPUT -m layer7 --l7proto h323 -j DROP
-A INPUT -m layer7 --l7proto kugoo -j DROP
-A INPUT -m layer7 --l7proto live365 -j DROP
-A INPUT -m layer7 --l7proto mohaa -j DROP
-A INPUT -m layer7 --l7proto poco -j DROP
-A INPUT -m layer7 --l7proto zmaap -j DROP
-A INPUT -m iprange --src-range 10.8.32.1-10.8.35.1 -m ipp2p --ipp2p -j DROP
-A INPUT -p tcp -m ipp2p --edk --soul -j DROP
-A INPUT -p tcp -m ipp2p --bit -j DROP
-A INPUT -p udp -m ipp2p --bit -j DROP
-A INPUT -m ipp2p --bit -j DROP
-A INPUT -p udp -m ipp2p --xunlei -j DROP
-A INPUT -p tcp -m ipp2p --xunlei -j DROP
-A INPUT -m ipp2p --xunlei -j DROP
-A INPUT -p udp -m ipp2p --pp -j DROP
-A INPUT -p tcp -m ipp2p --pp -j DROP
-A INPUT -m ipp2p --pp -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m ipp2p --ipp2p -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -m ipp2p --xunlei -j DROP
-A INPUT -m ipp2p --pp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m string --algo bm --string "sex.com" -j REJECT
-A INPUT -m string --algo bm --string "色情电影" -j REJECT
-A INPUT -m string --algo bm --string "激情图片" -j REJECT
-A INPUT -m string --algo bm --string "成人电影" -j REJECT
-A INPUT -m string --algo bm --string "电影" -j REJECT
-A INPUT -j DROP
COMMIT
# Completed on Tue Dec 11 12:33:51 2007
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Tue Dec 11 12:33:51 2007


flashget 1.8版本
请ShadowStar精灵帮忙分析,谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-12 11:35 编辑 ]

论坛徽章:
0
143 [报告]
发表于 2007-12-12 11:15 |只看该作者
原帖由 hb2k 于 2007-12-12 10:36 发表
club.qingdaonews.com
只能看贴,不能回。
撤掉规则后就正常了。

楼主测试下。

个别网站只能打开一半。
iptables -A FORWARD -m ipp2p --xunlei -j DROP
iptables -A FORWARD -m ipp2p --ipp2p -j DR ...


我这边测试没什么问题啊,都很正常。

要不你换0.99.9版的试验一下?

论坛徽章:
0
144 [报告]
发表于 2007-12-12 11:19 |只看该作者
原帖由 luojm_24680 于 2007-12-12 11:09 发表
[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042: ...


7层过滤因为是关键字过滤,并不会出现在数据流的初始化数据包中,所以你应该将所有的7层过滤规则放在
  1. -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
复制代码
之前。

我不清楚你为什么使用INPUT链进行过滤?你在Linux下使用flashget,或迅雷?而且迅雷的过滤是针对于查找候选资源的发出数据包的,放在INPUT链也没用。

另外,ipp2p模块不需要特别指定-p tcp/udp。

[ 本帖最后由 ShadowStar 于 2007-12-12 11:21 编辑 ]

论坛徽章:
0
145 [报告]
发表于 2007-12-12 11:39 |只看该作者
谢谢!

我不清楚你为什么使用INPUT链进行过滤?你在Linux下使用flashget,或迅雷?而且迅雷的过滤是针对于查找候选资源的发出数据包的,放在INPUT链也没用。

既然P2P是针对发出的数据包,那么放在OUTPUT链呢,还是放在forward链,还是针对不同的应用程序(迅雷\flashget)放在不同的链呢?

有没有完整的例子,包括输入\输出\转发的,


谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-12 11:52 编辑 ]

论坛徽章:
0
146 [报告]
发表于 2007-12-12 12:19 |只看该作者
通常使用Linux作为网关、防火墙、路由、NAT的话,应该放在FORWARD链来进行过滤。

INPUT/OUTPUT链针对的是计算机本身的接受/发出。
FORWARD链针对的是网络转发。

论坛徽章:
0
147 [报告]
发表于 2007-12-12 13:26 |只看该作者

麻烦ShadowStar给看下,下面的规则还有什么问题,我修改过了

[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A FORWARD -m layer7 --l7proto xunlei -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m layer7 --l7proto chikka -j DROP
-A FORWARD -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m layer7 --l7proto goboogy -j DROP
-A FORWARD -m layer7 --l7proto h323 -j DROP
-A FORWARD -m layer7 --l7proto kugoo -j DROP
-A FORWARD -m layer7 --l7proto live365 -j DROP
-A FORWARD -m layer7 --l7proto mohaa -j DROP
-A FORWARD -m layer7 --l7proto poco -j DROP
-A FORWARD -m layer7 --l7proto zmaap -j DROP
-A FORWARD -m iprange --src-range 10.8.32.1-10.8.35.1 -m ipp2p --ipp2p -j DROP
-A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
-A FORWARD -p tcp -m ipp2p --bit -j DROP
-A FORWARD -p udp -m ipp2p --bit -j DROP
-A FORWARD -m ipp2p --bit -j DROP
-A FORWARD -m ipp2p --xunlei -j DROP
-A FORWARD -m ipp2p --pp -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m ipp2p --ipp2p -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -m string --algo bm --string "sex.com" -j REJECT
-A INPUT -m string --algo bm --string "色情电影" -j REJECT
-A INPUT -m string --algo bm --string "激情图片" -j REJECT
-A INPUT -m string --algo bm --string "成人电影" -j REJECT
-A INPUT -m string --algo bm --string "电影" -j REJECT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Tue Dec 11 12:33:51 2007
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Tue Dec 11 12:33:51 2007

谢谢!

论坛徽章:
0
148 [报告]
发表于 2007-12-12 14:56 |只看该作者
为什么我加载内核模块儿会出错
成功编译了,iptables -m ipp2p --help无误,但是insmod时出错
  1. [root@localhost ipp2p-0.99.9]# ls
  2. COPYING      ipt_ipp2p.h   ipt_ipp2p.mod.c  ipt_ipp2p.o  libipt_ipp2p.c  libipt_ipp2p.so  Module.symvers
  3. ipt_ipp2p.c  ipt_ipp2p.ko  ipt_ipp2p.mod.o  ipt.sh       libipt_ipp2p.o  Makefile         README
  4. [root@localhost ipp2p-0.99.9]# iptables -m ipp2p --help
  5. iptables v1.2.11

  6. Usage: iptables -[AD] chain rule-specification [options]
  7.        iptables -[RI] chain rulenum rule-specification [options]
  8.        iptables -D chain rulenum [options]
  9.        iptables -[LFZ] [chain] [options]
  10.        iptables -[NX] chain
  11.        iptables -E old-chain-name new-chain-name
  12.        iptables -P chain target [options]
  13.        iptables -h (print this help information)

  14. Commands:
  15. Either long or short options are allowed.
  16.   --append  -A chain            Append to chain
  17.   --delete  -D chain            Delete matching rule from chain
  18.   --delete  -D chain rulenum
  19.                                 Delete rule rulenum (1 = first) from chain
  20.   --insert  -I chain [rulenum]
  21.                                 Insert in chain as rulenum (default 1=first)
  22.   --replace -R chain rulenum
  23.                                 Replace rule rulenum (1 = first) in chain
  24.   --list    -L [chain]          List the rules in a chain or all chains
  25.   --flush   -F [chain]          Delete all rules in  chain or all chains
  26.   --zero    -Z [chain]          Zero counters in chain or all chains
  27.   --new     -N chain            Create a new user-defined chain
  28.   --delete-chain
  29.             -X [chain]          Delete a user-defined chain
  30.   --policy  -P chain target
  31.                                 Change policy on chain to target
  32.   --rename-chain
  33.             -E old-chain new-chain
  34.                                 Change chain name, (moving any references)
  35. Options:
  36.   --proto       -p [!] proto    protocol: by number or name, eg. `tcp'
  37.   --source      -s [!] address[/mask]
  38.                                 source specification
  39.   --destination -d [!] address[/mask]
  40.                                 destination specification
  41.   --in-interface -i [!] input name[+]
  42.                                 network interface name ([+] for wildcard)
  43.   --jump        -j target
  44.                                 target for rule (may load target extension)
  45.   --match       -m match
  46.                                 extended match (may load extension)
  47.   --numeric     -n              numeric output of addresses and ports
  48.   --out-interface -o [!] output name[+]
  49.                                 network interface name ([+] for wildcard)
  50.   --table       -t table        table to manipulate (default: `filter')
  51.   --verbose     -v              verbose mode
  52.   --line-numbers                print line numbers when listing
  53.   --exact       -x              expand numbers (display exact values)
  54. [!] --fragment  -f              match second or further fragments only
  55.   --modprobe=<command>          try to insert modules using this command
  56.   --set-counters PKTS BYTES     set the counter during insert/append
  57. [!] --version   -V              print package version.

  58. IPP2P v0.99.9 options:
  59. --ipp2p        Grab all known p2p packets
  60. --edk          [TCP&UDP]       All known eDonkey/eMule/Overnet packets
  61. --dc           [TCP]           All known Direct Connect packets
  62. --kazaa        [TCP&UDP]       All known KaZaA packets
  63. --gnu          [TCP&UDP]       All known Gnutella packets
  64. --bit          [TCP&UDP]       All known BitTorrent packets
  65. --apple        [TCP]           All known AppleJuice packets
  66. --winmx        [TCP]           All known WinMX
  67. --soul         [TCP]           All known SoulSeek
  68. --ares         [TCP]           All known Ares
  69. --pp           [TCP&UDP]       All known PPLive/PPStream/UUSee/QQLive packets (Please send feedback to: [email]liulei@syiae.edu.cn[/email])
  70. --xunlei       [TCP]           All known xunlei/QQCyclone packets
  71. EXPERIMENTAL protocols (please send feedback to: [email]ipp2p@ipp2p.org[/email]) :
  72. --mute         [TCP]           All known Mute packets
  73. --waste        [TCP]           All known Waste packets
  74. --xdcc         [TCP]           All known XDCC packets (only xdcc login)

  75. DEBUG SUPPPORT, use only if you know why
  76. --debug                Generate kernel debug output, THIS WILL SLOW DOWN THE FILTER

  77. Note that the follwing options will have the same meaning:
  78. '--ipp2p' is equal to '--edk --dc --kazaa --gnu --bit --apple --winmx --soul --ares --pp'

  79. IPP2P was intended for TCP only. Due to increasing usage of UDP we needed to change this.
  80. You can now use -p udp to search UDP packets only or without -p switch to search UDP and TCP packets.

  81. See README included with this package for more details or visit [url]http://www.ipp2p.org[/url]

  82. Examples:
  83. iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01
  84. iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP
  85. iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
  86. [root@localhost ipp2p-0.99.9]# insmod /lib/modules/2.6.12-1.1381_FC3/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
  87. insmod: error inserting '/lib/modules/2.6.12-1.1381_FC3/kernel/net/ipv4/netfilter/ipt_ipp2p.ko': -1 Invalid module format

复制代码


注,文件已正确拷贝至相关目录下
相关环境:
  1. [root@localhost ipp2p-0.99.9]# iptables -V
  2. iptables v1.2.11
  3. [root@localhost ipp2p-0.99.9]# rpm -qa|grep gcc
  4. gcc-3.4.4-2.fc3
  5. libgcc-3.4.4-2.fc3
  6. [root@localhost ipp2p-0.99.9]# rpm -qa|grep kernel
  7. kernel-utils-2.4-13.1.39
  8. kernel-2.6.12-1.1381_FC3
  9. kernel-devel-2.6.12-1.1372_FC3
复制代码

[ 本帖最后由 vadera 于 2007-12-12 15:00 编辑 ]

论坛徽章:
0
149 [报告]
发表于 2007-12-12 15:35 |只看该作者
不会是因为devel包和内核版本不一致的原因吧?
但是1381的devel包好象没有的啊?

论坛徽章:
0
150 [报告]
发表于 2007-12-12 15:45 |只看该作者
原帖由 luojm_24680 于 2007-12-12 13:26 发表
[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 12:33:51 2007
*filter
:INPUT ACCEPT [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042: ...


不清楚你这个到底是做什么用处的。
如果是过滤网关的话,所有的过滤都应该放在FORWARD链上来做,包括string。
另外在INPUT链中的有2条-m state --state ESTABLISHED,RELATED -j ACCEPT规则,后面那条的没有用。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP