"会被shell解析为重定向符号,所以需要转义或用引号包围 所以,也可以这样写$(shell expr $(MAKE_VERSION) “>=” 3.81) 转载于:h"> Linux下为iptables增加layer7补丁(Linux2.6.25内核) - 11GX
首页 > Linux下为iptables增加layer7补丁(Linux2.6.25内核)

Linux下为iptables增加layer7补丁(Linux2.6.25内核)

 

系统环境:RHEL5 [ 2.6.18-8.el5xen ]



软件环境:

http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.25.19.tar.bz2

http://www.netfilter.org/projects/iptables/files/iptables-1.4.2.tar.bz2

http://ie.archive.ubuntu.com/sourceforge/l/l7/l7-filter/netfilter-layer7-v2.20.tar.gz

http://ie.archive.ubuntu.com/sourceforge/l/l7/l7-filter/l7-protocols-2008-10-04.tar.gz

目标功能:

    为iptables增加layer7补丁,实现应用层过滤。



################################################################





一、重新编译内核

1、合并kernel+layer7补丁

shell> tar -jxvf linux-2.6.25.19.tar.bz2 -C /usr/src/

shell> tar -zxvf netfilter-layer7-v2.20.tar.gz -C /usr/src/

shell> cd /usr/src/linux-2.6.25.19/

shell> patch -p1 < /usr/src/netfilter-layer7-v2.20/kernel-2.6.25-layer7-2.20.patch



查看当前的内核



145327977.png

 

145330639.png

 

将新的内核和补丁下载到linux上

145330400.png

 

 

拆包内核和补丁
[root@localhost ~]# tar -jxvf linux-2.6.25.19.tar.bz2 -C /usr/src/
[root@localhost ~]# tar -jxvf netfilter-layer7-v2.20.tar.gz -C /usr/src/

145332222.png

 

 

2.配置内核

shell> cp /boot/config-2.6.18-8.el5 .config 

145333812.png

 

 

//配置内核时,在“Networking ---> Networking Options ---> Network Packet filtering framework (Netfilter) ”处主要注意两个地方:

    1) ---> Code Netfilter Configuration

        //将“Netfilter connection tracking suport (NEW)”选择编译为模块(M),需选取此项才能看到layer7支持的配置。

        //将layer7、string、state、time、IPsec、iprange、connlimit……等编译成模块,根据需要看着办。

 



145334843.png

 

145337111.png

 

 

 2) ---> IP: Netfilter Configuration

        //将“IPv4 connection tracking support (require for NAT)”编译成模块。

        //将“Full NAT”下的“MASQUERADE target support”和“REDIRECT target     support”编译成模块。



145339409.png

 

145343147.png

 

 

 3、编译及安装模块、新内核

shell> make && make modules_install && make install

        //编译安装成后后,重启选择使用新的内核(2.6.25.19)引导系统



145344752.png

 

 

这个过程会花费很多时间,不急,慢慢来

145345364.png

 

 

二、重新编译iptables

    1、卸载现有iptables

shell> rpm -e iptables iptstat --nodeps

145346765.png

 

 

 2、合并iptables+layer7补丁

shell> tar jxvf iptables-1.4.2.tar.bz2 -C /usr/src/

145346210.png

 

 

shell> cd /usr/src/netfilter-layer7-v2.20/iptables-1.4.1.1-for-kernel-2.6.20forward/

shell> cp libxt_layer7.c libxt_layer7.man /usr/src/iptables-1.4.2/extensions/

145347241.png

 

 

3、编译安装

    shell> cd /usr/src/iptables-1.4.2/

 

145348674.png

 

145349692.png

 

 

4、安装l7-protocols模式包

shell> tar zxvf l7-protocols-2008-10-04.tar.gz -C /etc/

shell> mv /etc/l7-protocols-2008-10-04 /etc/l7-protocols



145349296.png

 

145350559.png

 

三、layer7规则示例

    1、layer7 match

shell> iptables -A FORWARD -m layer7 --l7proto qq -j DROP

shell> iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP

shell> iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP

shell> iptables -A FORWARD -m layer7 --l7proto xunlei -j DROP

shell> iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP

shell> iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP

    2、string match

shell> iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" --algo bm -j DROP

shell> iptables -A FORWARD -p udp --dport 53 -m string --string "verycd" --algo bm -j DROP

shell> iptables -A FORWARD -p tcp --dport 80 -m string --string "sex" --algo bm -j DROP

    3、state match

shell> iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

shell> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    4、connlimit match

shell> iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100 --connlimit-mask 24 -j DROP

    5、time match

shell> iptables -A FORWARD -p tcp --dport 80 -m time --timestart 8:00 --timestop 17:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT

 



 

更多相关:

  • 在CentOS 6.3 64bit上利用iptables开放指定端口的方法

    可以python写的服务器在Ubuntu 14.04.3上测试时发现很正常,但是在CentOS 6.3上搭好环境后,发现对特定端口,比如8000,的http请求无法访问,真是百思不得其解。最后不断分析,发现是防火墙屏蔽了对特殊端口的访问。 当前主机上的开发端口是这样的 下面添加对特定端口开放的方法: 使用iptables开...

  • lunix开放端口

    以mysql服的3306端口为例。 1、直接打开端口:iptables -I INPUT -p tcp --dport 3306 -j ACCEPT 2、永久打开某端口首先,用vim打开防火墙配置文件:vim /etc/sysconfig/iptables然后,在iptables文件内容中加入如下内容:-A RH-Firewall-1...

  • 防火墙iptables介绍

    防火墙: netfilter/iptables是集成在Linux2.4.X版本内核中的包过滤防火墙系统。该架构可以实现数据包过滤,网络地址转换以及数据包管理功能。linux中防火墙分为两部分:netfilter和iptables。netfilter位于内核空间,目前是Linux内核的组成部分。netfilter可以对本机所有流入,流出...

  • CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网

    自从用 HAProxy 对服务器做了负载均衡以后,感觉后端服务器真的没必要再配置并占用公网IP资源。 而且由于托管服务器的公网 IP 资源是固定的,想上 Keepalived 的话,需要挤出来 3 个公网 IP 使用,所以更加坚定了让负载均衡后端服务器释放公网 IP 的想法。 可是,后端服务器也不是简单释放公网 IP 就能正常工作的,...

  • centos防火墙端口配置

    增加防火墙配置,允许8080端口:  # vi /etc/sysconfig/iptables 在允许ssh的下面增加一条: -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT  保存,重启iptables服务 : # service iptables...

  • 在Ubuntu 14.04 64bit上搭建单机本地节点Spark 1.3.0环境

    (running Spark in local mode on single computer) 1.参见本博客前面的文章完成以下准备工作: (1)安装JVM (2)安装Scala (3)安装Python或者IPython 2.官网下载Spark最新版并解压 登陆官网 http://spark.apache.or...

  • $(shell expr $(MAKE_VERSION) = 3.81) 这里“”的解释

    android/build/core/main.mk $(shell expr $(MAKE_VERSION) >= 3.81) 为什么要加多一个“”,因为">"会被shell解析为重定向符号,所以需要转义或用引号包围 所以,也可以这样写$(shell expr $(MAKE_VERSION) “>=” 3.81) 转载于:h...

©2024 11GX.COM