免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: hujiansong
打印 上一主题 下一主题

请教关于iptables 加载L7组件的问题 [复制链接]

论坛徽章:
0
11 [报告]
发表于 2006-11-14 17:03 |只看该作者

回复 10楼 lihn 的帖子

iptables
netfilter [补丁包(ipp2p,iplimit,string,time)
layer-7层补丁包,协议包
内核编译时需要有TC流量控制,PPP等,网络协议,网卡驱动等。
1.给netfilter/iptables 增加模块请参考版主的文章。
2.下载iptables1.3,并解包至
/usr/src/iptables-1.3.5
3.增加layer-7
在官网下载:
http://l7-filter.sourceforge.net/
解包:
tar -jxvf  netfilter-layer7-v2.2.tar.gz
tar -jxvf l7-protocols-2006-06-03.tar.gz
cd /usr/src/linux-2.4
patch -p1 < /root/netfilter-layer7-v2.2/kernel-2.4-layer7-2.2.patch
cd /usr/src/iptables-1.3.5
patch -p1 < /root/netfilter-layer7-v2.2/iptables-layer7-2.2.patch
cd /root/l7-protocols-2006-06-03
make install
实际上它在/etc下创建个目录,然后把所有文件拷贝过去了。并没有编译安装什么的。
然后编译内核,模组。并make install
重启系统后
service iptables stop
cd /usr/src/iptables-1.3.5
chmod +x extensions/.layer7-test
然后编译iptables
make KERNEL_DIR=/usr/src/linux-2.4
make install KERNEL_DIR=/usr/src/linux-2.4
重启系统后,iptables 即为新版本1.3.5,并能应用新加的模块。
测试下:
iptables -A FORWARD -m layer7 --l7proto ftp -j ACCEPT
iptables -A FORWARD -p tcp -m ipp2p --edk --kazzaa --bit -j DROP
iptables -p tcp -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

封QQ:
iptables -I FORWARD -m layer7 --l7proto qq -j DROP
可以封住非会员QQ,不能封住会员QQ,呵呵,用手机申请了个会员QQ。
会员QQ在我的机器上测试地址。
在win2000下用netstat -a 查看:
TCP    xiongyi:2342           Smtpbg3.qq.com:12000   TIME_WAIT
使用:
iptables -I FORWARD -d Smtpbg3.qq.com -j DROP


我参考这个配置的,怎么把L7加载呢!

论坛徽章:
0
12 [报告]
发表于 2006-11-15 08:53 |只看该作者
depmod -a 了吗?

论坛徽章:
0
13 [报告]
发表于 2006-11-15 09:36 |只看该作者

回复 12楼 lihn 的帖子

做了啊!还是没有那L7模块
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP