platinum请进 关于iptables Layer7

kanglin

redhat EL4.0做的服务器双网卡
想限制内网的讯雷 Vagaa bt 电驴 的下载速度
规则是这样写的 很简单仅做测试
172.16.0.0/24是内网
192.168.0.180是外网网卡

modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

modprobe ip_nat_irc
modprobe ip_conntrack_irc

modprobe ipt_REJECT
modprobe ipt_limit
echo "Starting firewall...."

echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j SNAT --to-source 192.168.0.180
之后加入这样一条规则
iptables -t mangle -I POSTROUTING -m layer7 --l7proto xunlei -j DROP
这样是不是就应该可以阻止内网的 讯雷下载
可是内网一点反映也没有
iptables -nvxL -t mangle
也没有匹配包
不知是协议摸板的问题还是我规则的问题

platinum

首先明确一点，过滤要在 filter 表的 FORWARD 链里做，并不是说 mangle 不行，只是不好，要专表专用专链专用

其次，要理解“迅雷”，迅雷不是一个协议，而是一个应用软件，它利用 P2SP 的原理传输，获取到迅雷服务器的一个 server list，然后根据 server list 里列出的 server 去逐个连接，通过正常的 HTTP 或者 FTP 协议下载（有没有迅雷自己的我还真不太清楚），所以，即使你 DROP 了仍然用迅雷能下也是很正常的，因为此时的迅雷就是一个 FLASHGET 而已了。

至于为什么匹配不到数据包，我不太清楚了，如果 xunlei.pat 写的没有问题，如果规则策略的逻辑上没有问题，应该是可以匹配到的，建议换到 filter 表的 FORWARD 链再试试看效果如何，前提是注意策略的逻辑顺序问题。