免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 iptables Layer7封不住QQ.........
最近访问板块 发新帖
查看: 1981 | 回复: 5
打印 上一主题 下一主题

[网络管理] iptables Layer7封不住QQ......... [复制链接]

errai

论坛徽章:
1
IT运维版块每日发帖之星 日期:2016-03-09 06:20:00
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-10-25 21:39 |只看该作者 |倒序浏览
内核已经打补丁
也有将支持LAYER7编译进去
iptables也已经重新编译。

[root@Gateway /]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@Gateway /]# /usr/local/sbin/iptables -t mangle -A PREROUTING -m mac --mac-source 00:0c:29:6d:fd:ef -j MARK --set-mark 001
[root@Gateway /]# /usr/local/sbin/iptables -t nat -A POSTROUTING -m mark --mark 001 -j MASQUERADE

将MAC地址的打上MARK 001
并且让001上网,上网OK。

[root@Gateway /]# /usr/local/sbin/iptables -I FORWARD -m mark --mark 001 -m layer7 --l7proto qq -j DROP

其中如下两行是发现上面禁止QQ那行无效后补充的,依然无效,独立使用也无效,QQ依然可以登录,好像没禁止过一样。
[root@Gateway /]# /usr/local/sbin/iptables -I FORWARD -s 10.0.0.99 -m layer7 --l7proto qq -j DROP
[root@Gateway /]# /usr/local/sbin/iptables -t mangle -m mark --mark 001 -I POSTROUTING -m layer7 --l7proto qq -j DROP

[root@Gateway etc]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  10.0.0.99            anywhere            LAYER7 l7proto qq
DROP       all  --  anywhere             anywhere            MARK match 0x1 LAYER7 l7proto qq

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@Gateway etc]#

各位有经验的老大给点建议,谢谢
errai

论坛徽章:
1
IT运维版块每日发帖之星 日期:2016-03-09 06:20:00
2 [报告]
发表于 2012-10-25 21:48 |只看该作者
我擦,貌似有顺序,刚调了顺序,好像禁止了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
errai

论坛徽章:
1
IT运维版块每日发帖之星 日期:2016-03-09 06:20:00
3 [报告]
发表于 2012-10-25 22:08 |只看该作者
但是在命令行里好像有顺序,写到文件里就不行了....................昏倒
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zongg

论坛徽章:
21
白羊座 日期:2013-08-23 15:49:17金牛座 日期:2013-10-08 17:00:03处女座 日期:2013-10-12 11:54:11CU十二周年纪念徽章 日期:2013-10-24 15:41:34午马 日期:2013-11-27 14:07:21巨蟹座 日期:2013-12-04 10:56:03水瓶座 日期:2013-12-04 15:58:00亥猪 日期:2014-05-24 16:02:3115-16赛季CBA联赛之辽宁 日期:2016-11-07 13:52:53戌狗 日期:2013-08-23 16:15:31白羊座 日期:2013-08-24 21:59:24巨蟹座 日期:2013-08-25 16:34:24
4 [报告]
发表于 2012-10-26 10:24 |只看该作者
这个我做过实验,QQ是可以封住的,迅雷是封不住的.

http://blog.chinaunix.net/uid-24250828-id-2621431.html

如果你想做免费的流控,建议上panabit.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
errai

论坛徽章:
1
IT运维版块每日发帖之星 日期:2016-03-09 06:20:00
5 [报告]
发表于 2012-10-26 13:09 |只看该作者
本帖最后由 errai 于 2012-10-26 13:10 编辑

我碰到的情况是:

[root@Gateway /]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@Gateway /]# /usr/local/sbin/iptables -t mangle -A PREROUTING -m mac --mac-source 00:0c:29:6d:fd:ef -j MARK --set-mark 001
[root@Gateway /]# /usr/local/sbin/iptables -I FORWARD -m mark --mark 001 -m layer7 --l7proto qq -j DROP
[root@Gateway /]# /usr/local/sbin/iptables -t nat -A POSTROUTING -m mark --mark 001 -j MASQUERADE

如果在命令行中敲入这几条,就封了QQ,网页可以上

如果写在脚本里,就不行

QQ依然可以登录。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dooros

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:29:07CU大牛徽章 日期:2013-03-13 15:29:49CU大牛徽章 日期:2013-03-13 15:30:192015年迎新春徽章 日期:2015-03-04 09:57:09
6 [报告]
发表于 2012-10-27 10:26 |只看该作者
QQ这东西不好封啊,用户可以用代理走ssh一样能上。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP