免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: ShadowStar
打印 上一主题 下一主题

[网络管理] IPP2P模块修改版,最新0.99.16 [复制链接]

论坛徽章:
0
181 [报告]
发表于 2007-12-14 15:04 |只看该作者
*filter
:INPUT DROP [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP
-A FORWARD -m string --algo bm --string "sex.com" -j REJECT
-A FORWARD -m string --algo bm --string "色情电影" -j REJECT
-A FORWARD -m string --algo bm --string "激情图片" -j REJECT
-A FORWARD -m string --algo bm --string "成人电影" -j REJECT
-A FORWARD -m string --algo bm --string "电影" -j REJECT
-A FORWARD -m layer7 --l7proto xunlei -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m layer7 --l7proto chikka -j DROP
-A FORWARD -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m layer7 --l7proto goboogy -j DROP
-A FORWARD -m layer7 --l7proto h323 -j DROP
-A FORWARD -m layer7 --l7proto kugoo -j DROP
-A FORWARD -m layer7 --l7proto live365 -j DROP
-A FORWARD -m layer7 --l7proto mohaa -j DROP
-A FORWARD -m layer7 --l7proto poco -j DROP
-A FORWARD -m layer7 --l7proto zmaap -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -j DROP
COMMIT
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT

论坛徽章:
0
182 [报告]
发表于 2007-12-14 15:05 |只看该作者
晕了,无论怎么发都提示“非常感谢,管理员设置了需要对新回复的帖子进行审核”的信息

直接发短消息给你了

[ 本帖最后由 ShadowStar 于 2007-12-14 15:07 编辑 ]

论坛徽章:
0
183 [报告]
发表于 2007-12-14 15:42 |只看该作者
太难为ShadowStar兄了

能发到我的邮箱吗,地址:kaixinjiaer@yahoo.com.cn

非常感谢!

论坛徽章:
0
184 [报告]
发表于 2007-12-14 20:43 |只看该作者
原帖由 ShadowStar 于 2007-12-14 14:44 发表


你的Linux上架设有代理服务器么?


我没有架设代理服务器,我这个linux就做了个NAT和IP转发。

论坛徽章:
0
185 [报告]
发表于 2007-12-14 21:16 |只看该作者
原帖由 shined_zhang 于 2007-12-14 20:43 发表


我没有架设代理服务器,我这个linux就做了个NAT和IP转发。


从你162和166楼的状况来看,应该是没有限制住。

请你列出完整的iptables规则表,以及iptables的版本,内核的版本。

论坛徽章:
0
186 [报告]
发表于 2007-12-14 23:03 |只看该作者
原帖由 ShadowStar 于 2007-12-14 21:16 发表


从你162和166楼的状况来看,应该是没有限制住。

请你列出完整的iptables规则表,以及iptables的版本,内核的版本。


iptables的版本  iptables v1.2.11
内核版本           
[root@test ~]# uname -a
Linux test 2.6.9-42.EL #1 Wed Jul 12 23:16:43 EDT 2006 i686 athlon i386 GNU/Linux

完整的iptables规则表
[root@test ~]# more /etc/init.d/firewall
#!/bin/bash

#Our complete stateful firewall script.  This firewall can be customized for
#a laptop, workstation, router or even a server.
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"


#if you're a router (and thus should forward IP packets between interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"


#change this next line to the static IP of your uplink interface for static SNAT, or
#"dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to
#disable it.
NAT="224.42.78.10"

#change this next line so it lists all your network interfaces, including lo
INTERFACES="lo eth1 eth0"


#change this line so that it lists the assigned numbers or symbolic names (from
#/etc/services) of all the services that you'd like to provide to the general
#public.  If you don't want any services enabled, set it to ""
SERVICES="http ftp smtp ssh rsync"



if [ "$1" = "start" ]
then
        /bin/echo "Starting firewall..."
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
        /sbin/iptables -P INPUT DROP
        /sbin/iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
        /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        /sbin/iptables -A INPUT -p icmp -j ACCEPT
        /sbin/iptables -A INPUT -p udp --dport 161 -j ACCEPT
        /sbin/iptables -A INPUT -p tcp --dport 8001 -m state --state NEW -j ACCEPT

        for x in ${SERVICES}
        do
                /sbin/iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
        done




        if [ "$ROUTER" = "yes" ]
        then

                /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
           
                if [ "$NAT" = "dynamic" ]
                then

                        /bin/echo "Enabling masquerading (dynamic ip)..."
                        /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
                elif [ "$NAT" != "" ]
                then

                        /bin/echo "Enabling SNAT (static ip)..."

                        /sbin/iptables -t nat -A POSTROUTING -s 192.168.5.0/24  -o eth1 -j SNAT --to-source 224.42.78.10
                fi
        fi

       /sbin/iptables -A FORWARD -m ipp2p --ipp2p --xunlei -j DROP

elif [ "$1" = "stop" ]
then
        /bin/echo "Stopping firewall..."
        /sbin/iptables -F INPUT
        /sbin/iptables -F FORWARD
        /sbin/iptables -P INPUT ACCEPT
        /sbin/iptables -P FORWARD ACCEPT
        #turn off NAT/masquerading, if any
        /sbin/iptables -t nat -F

fi

[ 本帖最后由 shined_zhang 于 2007-12-14 23:04 编辑 ]

论坛徽章:
0
187 [报告]
发表于 2007-12-15 09:58 |只看该作者

请ShadowStar兄,把我的规则修改下,只给出限制p2p部分即可,谢谢!

如不能引用,可采用复制规则列表,修改后列出,辛苦下,我的总也限制不住p2p下载

或发往我的邮箱:kaixinjiaer@yahoo.com.cn

论坛徽章:
0
188 [报告]
发表于 2007-12-15 15:48 |只看该作者
谢谢ShadowStar兄,我已经应用新的规则,观察效果!



现在有两个问题:

1:-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP

这一条没有使用 -jj参数,不知是否对p2p的限制全面

2:运行iptbles的linux主机屏幕不停的交替出现下面内容:

layer7:matched edinkey

layer7:matched bittorrent

这个意思是已经限制电驴和bt成功了吗?
可我在规则里并没有使用 -j log参数,为什么屏幕上会出现这些呢,并且不停的刷新,造成无法停留在提示符,也无法输入命令,只能在PUTTY远端修改!

怎样去掉linux上的屏幕刷新呢



谢谢!

论坛徽章:
0
189 [报告]
发表于 2007-12-15 16:16 |只看该作者
原帖由 luojm_24680 于 2007-12-15 15:48 发表
2:运行iptbles的linux主机屏幕不停的交替出现下面内容:

layer7:matched edinkey

layer7:matched bittorrent

这个意思是已经限制电驴和bt成功了吗?

这个提示是因为
1、你的内核被 patch 了 l7-filter 的补丁
2、你在 menuconfig 的时候选择了 l7-filter debug

论坛徽章:
0
190 [报告]
发表于 2007-12-15 16:23 |只看该作者
谢谢白金兄,我把他编译去掉!
能不能只编译这修改的这部分,而不是编译整个内核!

[ 本帖最后由 luojm_24680 于 2007-12-15 16:28 编辑 ]
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP