IPP2P模块修改版，最新0.99.16

luojm_24680

谢谢ShadowStar兄和白金兄!

现在有两个问题:

1:-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP

这一条没有使用 -jj参数,不知是否对p2p的限制全面

2:运行iptbles的linux主机屏幕不停的交替出现下面内容:

layer7:matched edinkey
layer7:couldn't get conntrack
layer7:matched bittorrent

这个意思是已经限制电驴和bt成功了吗?
couldn't get conntrack代表什么,感觉是conntrack功能不正常造成的,怎么解决呢

内核:2.6.23.8
iptables:1.3.8

[ 本帖最后由 luojm_24680 于 2007-12-15 17:32 编辑 ]

luojm_24680

运行了新的规则,经测试,还是无法限制flashget、超级旋风等p2p软件，规则如下，请帮忙分析：

[root@sushe ~]# iptables-save -L
iptables-save: invalid option -- L
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*nat
REROUTING ACCEPT [4808941:293006417]
OSTROUTING ACCEPT [253:36240]
:OUTPUT ACCEPT [13:1056]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.139.251
COMMIT
# Completed on Sat Dec 15 21:29:35 2007
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [58772897:27650870129]
:OUTPUT ACCEPT [23641:9384127]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
%

luojm_24680

运行了新的规则,经测试,还是无法限制flashget、超级旋风等p2p软件，规则如下，请帮忙分析：

[root@sushe ~]# iptables-save -L
iptables-save: invalid option -- L
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*nat
REROUTING ACCEPT [4808941:293006417]
OSTROUTING ACCEPT [253:36240]
:OUTPUT ACCEPT [13:1056]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.139.251
COMMIT
# Completed on Sat Dec 15 21:29:35 2007
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [58772897:27650870129]
:OUTPUT ACCEPT [23641:9384127]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
%

luojm_24680

运行了新的规则,经测试,还是无法限制flashget、超级旋风等p2p软件，规则如下，请帮忙分析：

[root@sushe ~]# iptables-save -L
iptables-save: invalid option -- L
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*nat
REROUTING ACCEPT [4808941:293006417]
OSTROUTING ACCEPT [253:36240]
:OUTPUT ACCEPT [13:1056]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.139.251
COMMIT
# Completed on Sat Dec 15 21:29:35 2007
# Generated by iptables-save v1.3.8 on Sat Dec 15 21:29:35 2007
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [58772897:27650870129]
:OUTPUT ACCEPT [23641:9384127]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
%

platinum

原帖由 luojm_24680 于 2007-12-15 17:29 发表
谢谢ShadowStar兄和白金兄!

现在有两个问题:

1:-A FORWARD -m ipp2p --ipp2p --xunlei --mute --waste --xdcc -j DROP

这一条没有使用 -jj参数,不知是否对p2p的限制全面

2:运行iptbles的linux主机屏 ...

第二个问题我不是已经告诉你该如何去解决了吗？
如果你嫌编译内核需要很长时间，我想到你发这个贴子的时候也应该已经 ok 了吧？
如果你只想编译内核，可以 make modules、make modules_install

ShadowStar

原帖由 luojm_24680 于 2007-12-15 21:42 发表
运行了新的规则,经测试,还是无法限制flashget、超级旋风等p2p软件，规则如下，请帮忙分析：

[root@sushe ~]# iptables-save -L
iptables-save: invalid option -- L
# Generated by iptables-save v1.3.8  ...

不知道你要限制flashget的什么下载？
QQ超级旋风的情况和迅雷是一样的，应该不影响从原始资源下载，但是搜索不到候选资源。

luojm_24680

谢谢ShadowStar兄和白金兄:

我编译确实完成了,还没有去主机上去看

对于p2p下载,原来是不能去搜索候选资源,而不是不能下载了,是这样吗
可以我使用了iptables后还是感觉打开网页比原来快了不少,好像是限制了部分p2p下载

seacon

太强了！感谢楼主的付出！