iptables防火墙详解(四)使用layer7添加应用层过滤功能 推荐
2013-08-07 01:25
357 查看
在前面的几遍文章中我学习了Linux防火墙iptables,大家也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)
安装netfilter-layer7补丁包的作用
通过为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。
通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义,便于更新。
整体实施过程
添加内核补丁,重新编译内核,并以新内核引导系统。
卸载原有的iptables,给下载的iptables包打上补丁,并重新编译安装。
安装i7-protocols协议定义包。
使用iptables命令设置应用层过滤规则。
使用的软件包列表如下:
Linux内核源码包:linux-2.6.28.tar.bz2 可点击这里下载其他linux内核版本
iptables源码包:iptables-1.4.2.tar.bz2 可点击这里下载其他iptables源码包
layer7补丁包源码包:netfilter-layer-v2.21.tar.gz 可点击这里下载layer7和协议定义包
协议定义包:l7-protocols-20090510.tar.gz
作者使用的是2.6.18的内核,iptables版本是1.3.5,所以使用上述软件包可以满足,如果大家使用的内核版本较高,可以根据实际情况下载相应的版本软件包。
操作工程如下:
释放内核源码包,并合并补丁。
复制当前系统使用的内核配置文件到内核源码目录改名为“.config”,以此作为基础进行配置内参数。
执行完"make menuconfig"命令后会进入内核编辑模式,在内核编辑模式中,操作方式如下:
方向键á、a、、à用于定位功能项,菜单项。
菜单项<Select>,<Exit>,<Help>。
空格键用于选择配置内型。
[ ]:空选型表示不需要再新内核中使用该功能。
[M]:表示将此项功能编译为模块,以便在需要时加载。
[*]:将此功能直接编入新内核,作为内核的一部分。
如下:进入内核后选择“1”所在的选择,直接回车进入。
接着选择“2”所在的选项,直接回车进入。
接着选择“3”所在的选项,回车进入。
选择“4”所在的选项,回车进入。
使用空格键将“5”所在的选项改为“[M]”。
将“6”和“7”所在的选项改为“[M]”。
将“8”和“9”所在的选项改为“[M]”。
<Exit>访问上层,选择“10”所在的选项,回车进入。
将“11”所在的选项改为“[M]”。
将“12”所在的选项改为“[M]”。
<Exit>返回顶层,选择“yes”保存退出。
此时内核的编译配置算是完成了,是不是感觉很麻烦啊!现在将编译好的内核使用“make”命令安装即可,安装的时间可能比较长,取决于你的电脑配置,此时不妨去喝杯咖啡,看会报纸。
编译安装后重启系统,在grub菜单中选择新内核系统进入。
重新进入系统后,需要将以前的iptables防火墙卸载掉,给下载的iptables包打上补丁,并重新编译安装。
安装l7-protocols协议包
此时整个环境算是搭建完成了,现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。
设置使用应用层过滤规则
layer7应用层协议匹配
匹配格式:-m layer7 --l7proto 协议名
协议定义文件位于:/etc/l7-protocols/protocols
支持以下常见应用层协议过滤
QQ:腾讯公司QQ程序的通讯协议。
msnmessenger:微软公司MSN程序的通讯协议。
msn-filetransfer:MSN程序的文件传输协议。
bittorrent:BT下载类软件使用的通讯协议。
xunlei:迅雷下载工具使用的通讯协议。
edonkey:电驴下载工具使用的通讯协议。
其他各种应用层协议:ftp、http、dns、imap、pop3...
规则实例:过滤使用QQ协议的转发数据包
[root@localhost /]#iptables -A FORWARD -m layer7 --l7proto qq -j DROP
除了上述的针对应用层协议过滤之外,还支持一下过滤方式。
根据时间过滤
匹配格式:-m time --timestart 起始时间 --timestop 结束时间 --weekdays 每周的那些天
时间以24小时制表示,列如早9:00 晚18:00
每周的那些以对应的英文缩写表示,列如:周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun
根据并发连接数过滤
匹配格式:-m connlimit --connlimit-above 上限数
根据字符串过滤
匹配格式:-m string --string “字符串” --algo
algo是一种算法(算法指的是用于比对数据包字符串的特定方法),可以为bm或kmp,其中任意即可。
安装netfilter-layer7补丁包的作用
通过为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。
通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义,便于更新。
整体实施过程
添加内核补丁,重新编译内核,并以新内核引导系统。
卸载原有的iptables,给下载的iptables包打上补丁,并重新编译安装。
安装i7-protocols协议定义包。
使用iptables命令设置应用层过滤规则。
使用的软件包列表如下:
Linux内核源码包:linux-2.6.28.tar.bz2 可点击这里下载其他linux内核版本
iptables源码包:iptables-1.4.2.tar.bz2 可点击这里下载其他iptables源码包
layer7补丁包源码包:netfilter-layer-v2.21.tar.gz 可点击这里下载layer7和协议定义包
协议定义包:l7-protocols-20090510.tar.gz
作者使用的是2.6.18的内核,iptables版本是1.3.5,所以使用上述软件包可以满足,如果大家使用的内核版本较高,可以根据实际情况下载相应的版本软件包。
操作工程如下:
释放内核源码包,并合并补丁。
复制当前系统使用的内核配置文件到内核源码目录改名为“.config”,以此作为基础进行配置内参数。
执行完"make menuconfig"命令后会进入内核编辑模式,在内核编辑模式中,操作方式如下:
方向键á、a、、à用于定位功能项,菜单项。
菜单项<Select>,<Exit>,<Help>。
空格键用于选择配置内型。
[ ]:空选型表示不需要再新内核中使用该功能。
[M]:表示将此项功能编译为模块,以便在需要时加载。
[*]:将此功能直接编入新内核,作为内核的一部分。
如下:进入内核后选择“1”所在的选择,直接回车进入。
接着选择“2”所在的选项,直接回车进入。
接着选择“3”所在的选项,回车进入。
选择“4”所在的选项,回车进入。
使用空格键将“5”所在的选项改为“[M]”。
将“6”和“7”所在的选项改为“[M]”。
将“8”和“9”所在的选项改为“[M]”。
<Exit>访问上层,选择“10”所在的选项,回车进入。
将“11”所在的选项改为“[M]”。
将“12”所在的选项改为“[M]”。
<Exit>返回顶层,选择“yes”保存退出。
此时内核的编译配置算是完成了,是不是感觉很麻烦啊!现在将编译好的内核使用“make”命令安装即可,安装的时间可能比较长,取决于你的电脑配置,此时不妨去喝杯咖啡,看会报纸。
编译安装后重启系统,在grub菜单中选择新内核系统进入。
重新进入系统后,需要将以前的iptables防火墙卸载掉,给下载的iptables包打上补丁,并重新编译安装。
安装l7-protocols协议包
此时整个环境算是搭建完成了,现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。
设置使用应用层过滤规则
layer7应用层协议匹配
匹配格式:-m layer7 --l7proto 协议名
协议定义文件位于:/etc/l7-protocols/protocols
支持以下常见应用层协议过滤
QQ:腾讯公司QQ程序的通讯协议。
msnmessenger:微软公司MSN程序的通讯协议。
msn-filetransfer:MSN程序的文件传输协议。
bittorrent:BT下载类软件使用的通讯协议。
xunlei:迅雷下载工具使用的通讯协议。
edonkey:电驴下载工具使用的通讯协议。
其他各种应用层协议:ftp、http、dns、imap、pop3...
规则实例:过滤使用QQ协议的转发数据包
[root@localhost /]#iptables -A FORWARD -m layer7 --l7proto qq -j DROP
除了上述的针对应用层协议过滤之外,还支持一下过滤方式。
根据时间过滤
匹配格式:-m time --timestart 起始时间 --timestop 结束时间 --weekdays 每周的那些天
时间以24小时制表示,列如早9:00 晚18:00
每周的那些以对应的英文缩写表示,列如:周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun
根据并发连接数过滤
匹配格式:-m connlimit --connlimit-above 上限数
根据字符串过滤
匹配格式:-m string --string “字符串” --algo
algo是一种算法(算法指的是用于比对数据包字符串的特定方法),可以为bm或kmp,其中任意即可。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- iptables防火墙详解(四)使用layer7添加应用层过滤功能
- 使用dedecms自带采集功能的文字过滤与替换的方法
- 在Servlet中使用开源fileupload包实现文件上传功能 推荐
- 使用SQL Server Analysis Services数据挖掘的关联规则实现商品推荐功能(四)
- 推荐几个提高访问量的博客插件:为你的博客添加分享按钮、智能关联推荐功能
- 使用 JavaScript 实现简单候选项推荐功能(模糊搜索)
- hibernate使用@where实现条件过滤功能
- Android Studio使用技巧---良心推荐的实用功能
- html_angular 增删改查+批量发货 删除 范围查找(条件)+米/*过滤(使用功能大集合)
- 使用nginx-http-concat添加nginx资源请求合并功能
- android平台 使用Talarik Platform给项目添加登陆注册云端保存功能
- RunJS推荐用于个人使用(使用方便JS、css实时预览、编辑、管理等功能)
- 使用NBAR来基于应用层过滤流量 推荐
- 使用WordPress添加新页面功能使用页面模板
- 使用T4模板为EF框架添加实体根据数据库自动生成字段注释的功能
- OpenGrok添加根据文件名后缀进行查询过滤的功能
- Graylog 使用drools功能过滤不需要的日志
- UIView基础动画(推荐多使用Block)---能实现很多效果,透明--不透明 缩放--从无到整 Block之间添加代码也就是开始动画与结束动画之间
- 使用分发列表过滤BGP路由 推荐
- 使用xml给类、方法、属性添加智能感知功能