[网络配置] RHEL5, l7-filter不能阻断QQ协议 [复制链接]

论坛徽章:: 0

发表于 2012-11-21 08:16 |显示全部楼层

本帖最后由 sdtcf 于 2012-11-22 11:51 编辑

日志中可以匹配qq协议但是不能阻断啥原因

升级内核到2.6.88，iptables升级到1.4.3，netfilter-layer7用v2.22，安装正常
测试环境：一台RHEL5.4虚拟机，双网卡做NAT，iptables没有其他规则；一台windows虚拟机通过这台RHEL5上网（两台虚拟机与物理机桥接）
RHEL5上设置协议过滤规则：iptables -t mangle -A FORWARD -m layer7 --l7proto qq -j DROP后，在系统日志中可以看到matched qq，
但是上网机上qq聊天正常，用wireshark抓包发现qq的包是oicq和udp的，但包特征确实都是^\x02.+\x03$

指点下这个情况咋进行定位

文库|博客

zongg

巨富豪门

论坛徽章:: 21

发表于 2012-11-21 08:25 |显示全部楼层

上QQ那台机器的网关指到i7这里了吗?
阻断QQ是没有问题的.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

sdtcf

白手起家

论坛徽章:: 0

发表于 2012-11-21 08:34 |显示全部楼层

指定了，RHEL5内网网卡
eth1 Link encap:Ethernet HWaddr 00:0C:29

4:E4

D
      inet addr:2.2.2.254  Bcast:2.2.2.255  Mask:255.255.255.0

windows虚拟机
Ethernet adapter 本地连接:

      Connection-specific DNS Suffix  . :
      IP Address. . . . . . . . . . . . : 2.2.2.1
      Subnet Mask . . . . . . . . . . . : 255.255.255.0
      Default Gateway . . . . . . . . . : 2.2.2.254

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

chenyx

版主

论坛徽章:: 381

发表于 2012-11-21 10:32 |显示全部楼层

怎么搞定的?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

sdtcf

白手起家

论坛徽章:: 0

发表于 2012-11-21 10:34 |显示全部楼层

这不是还没定位原因吗

路漫漫其修远兮……

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zongg

巨富豪门

论坛徽章:: 21

发表于 2012-11-21 11:12 |显示全部楼层

http://blog.chinaunix.net/uid-24250828-id-2621431.html

这个是我写的。你参考一下。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

sdtcf

白手起家

论坛徽章:: 0

发表于 2012-11-21 12:55 |显示全部楼层

回复 6# zongg

我的安装过程几乎和你的操作步骤一样，规则设置在FORWARD链还是POSTROUTING链效果都是一样的
不是规则设置的问题

重启linux服务器，设置阻断qq规则，然后在windows上登陆qq，登陆失败
删除规则后（iptables -t mangle -F）
在windows登陆qq成功，然后开启规则

这个时候qq退出后重新登陆、收发消息好像都没收到规则限制
（抓到的包oicq和udp的都有，并且包中的data符合qq.pat中的特征）

费解