IPP2P模块修改版，最新0.99.16

ShadowStar

*filter
:INPUT DROP [1924:209294]
:FORWARD ACCEPT [8:499]
:OUTPUT ACCEPT [1042:79046]
-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP
-A FORWARD -m string --algo bm --string "sex.com" -j REJECT
-A FORWARD -m string --algo bm --string "色情电影" -j REJECT
-A FORWARD -m string --algo bm --string "激情图片" -j REJECT
-A FORWARD -m string --algo bm --string "成人电影" -j REJECT
-A FORWARD -m string --algo bm --string "电影" -j REJECT
-A FORWARD -m layer7 --l7proto xunlei -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m layer7 --l7proto chikka -j DROP
-A FORWARD -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m layer7 --l7proto goboogy -j DROP
-A FORWARD -m layer7 --l7proto h323 -j DROP
-A FORWARD -m layer7 --l7proto kugoo -j DROP
-A FORWARD -m layer7 --l7proto live365 -j DROP
-A FORWARD -m layer7 --l7proto mohaa -j DROP
-A FORWARD -m layer7 --l7proto poco -j DROP
-A FORWARD -m layer7 --l7proto zmaap -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -j DROP
COMMIT
*nat
REROUTING ACCEPT [124:20532]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT

ShadowStar

晕了，无论怎么发都提示“非常感谢，管理员设置了需要对新回复的帖子进行审核”的信息

直接发短消息给你了

[ 本帖最后由 ShadowStar 于 2007-12-14 15:07 编辑 ]

luojm_24680

太难为ShadowStar兄了

能发到我的邮箱吗,地址:kaixinjiaer@yahoo.com.cn

非常感谢!

shined_zhang

原帖由 ShadowStar 于 2007-12-14 14:44 发表


你的Linux上架设有代理服务器么？

我没有架设代理服务器，我这个linux就做了个NAT和IP转发。

ShadowStar

原帖由 shined_zhang 于 2007-12-14 20:43 发表


我没有架设代理服务器，我这个linux就做了个NAT和IP转发。

从你162和166楼的状况来看，应该是没有限制住。

请你列出完整的iptables规则表，以及iptables的版本，内核的版本。

shined_zhang

原帖由 ShadowStar 于 2007-12-14 21:16 发表


从你162和166楼的状况来看，应该是没有限制住。

请你列出完整的iptables规则表，以及iptables的版本，内核的版本。

iptables的版本  iptables v1.2.11
内核版本           
[root@test ~]# uname -a
Linux test 2.6.9-42.EL #1 Wed Jul 12 23:16:43 EDT 2006 i686 athlon i386 GNU/Linux

完整的iptables规则表
[root@test ~]# more /etc/init.d/firewall
#!/bin/bash

#Our complete stateful firewall script.  This firewall can be customized for
#a laptop, workstation, router or even a server.
#change this to the name of the interface that provides your "uplink"
#(connection to the Internet)
UPLINK="eth1"


#if you're a router (and thus should forward IP packets between interfaces),
#you want ROUTER="yes"; otherwise, ROUTER="no"
ROUTER="yes"


#change this next line to the static IP of your uplink interface for static SNAT, or
#"dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to
#disable it.
NAT="224.42.78.10"

#change this next line so it lists all your network interfaces, including lo
INTERFACES="lo eth1 eth0"


#change this line so that it lists the assigned numbers or symbolic names (from
#/etc/services) of all the services that you'd like to provide to the general
#public.  If you don't want any services enabled, set it to ""
SERVICES="http ftp smtp ssh rsync"



if [ "$1" = "start" ]
then
        /bin/echo "Starting firewall..."
        modprobe ip_conntrack_ftp
        modprobe ip_nat_ftp
        /sbin/iptables -P INPUT DROP
        /sbin/iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
        /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        /sbin/iptables -A INPUT -p icmp -j ACCEPT
        /sbin/iptables -A INPUT -p udp --dport 161 -j ACCEPT
        /sbin/iptables -A INPUT -p tcp --dport 8001 -m state --state NEW -j ACCEPT

        for x in ${SERVICES}
        do
                /sbin/iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
        done




        if [ "$ROUTER" = "yes" ]
        then

                /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
           
                if [ "$NAT" = "dynamic" ]
                then

                        /bin/echo "Enabling masquerading (dynamic ip)..."
                        /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
                elif [ "$NAT" != "" ]
                then

                        /bin/echo "Enabling SNAT (static ip)..."

                        /sbin/iptables -t nat -A POSTROUTING -s 192.168.5.0/24  -o eth1 -j SNAT --to-source 224.42.78.10
                fi
        fi

       /sbin/iptables -A FORWARD -m ipp2p --ipp2p --xunlei -j DROP

elif [ "$1" = "stop" ]
then
        /bin/echo "Stopping firewall..."
        /sbin/iptables -F INPUT
        /sbin/iptables -F FORWARD
        /sbin/iptables -P INPUT ACCEPT
        /sbin/iptables -P FORWARD ACCEPT
        #turn off NAT/masquerading, if any
        /sbin/iptables -t nat -F

fi

[ 本帖最后由 shined_zhang 于 2007-12-14 23:04 编辑 ]

luojm_24680

如不能引用,可采用复制规则列表,修改后列出,辛苦下,我的总也限制不住p2p下载

或发往我的邮箱:kaixinjiaer@yahoo.com.cn

luojm_24680

谢谢ShadowStar兄,我已经应用新的规则,观察效果!



现在有两个问题:

1:-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP

这一条没有使用 -jj参数,不知是否对p2p的限制全面

2:运行iptbles的linux主机屏幕不停的交替出现下面内容:

layer7:matched edinkey

layer7:matched bittorrent

这个意思是已经限制电驴和bt成功了吗?
可我在规则里并没有使用 -j log参数,为什么屏幕上会出现这些呢,并且不停的刷新,造成无法停留在提示符,也无法输入命令,只能在PUTTY远端修改!

怎样去掉linux上的屏幕刷新呢



谢谢!

platinum

原帖由 luojm_24680 于 2007-12-15 15:48 发表
2:运行iptbles的linux主机屏幕不停的交替出现下面内容:

layer7:matched edinkey

layer7:matched bittorrent

这个意思是已经限制电驴和bt成功了吗?

这个提示是因为
1、你的内核被 patch 了 l7-filter 的补丁
2、你在 menuconfig 的时候选择了 l7-filter debug

luojm_24680

谢谢白金兄,我把他编译去掉!
能不能只编译这修改的这部分,而不是编译整个内核!

[ 本帖最后由 luojm_24680 于 2007-12-15 16:28 编辑 ]