Install L7-filter

最新推荐文章于 2021-05-16 07:14:26 发布
最新推荐文章于 2021-05-16 07:14:26 发布
阅读量893 收藏
点赞数
分类专栏: Unix/Linux 文章标签: patch layer linux filter networking network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_man/article/details/3403473
版权
與一般的 Packet Filter 防火牆不同,應用層防火牆是在 OSI Model 中的第七層(應用層)運作,因此它可以針對各種應用程式的封包進行過濾。比較常見的應用有阻擋 MSN 通訊、限制 P2P 連線使用的頻寬、限制網路電視等等,只要是應用層防火牆有支援的協定皆可以管控。Linux 預設的情況下是不支援 L7 filter(應用層防火牆)功能的,必須要自己 patch kernel 與 netfilter 才能讓 Linux 支援此項功能。


所需套件:
1.kernel source (eg. linux-2.6.22.tar.gz)
官方網站: http://kernel.org/

2.netfilter source (eg. iptables-1.3.8.tar.bz2)
官方網站: http://netfilter.org/

3.l7-filter kernel version (eg. netfiilter-layer7-v2.13.tar.gz)
官方網站: http://sourceforge.net/project/showf...group_id=80085

4.Protocol definitions (eg. l7-protocols-2007-07-27.tar.gz)
官方網站: http://sourceforge.net/project/showf...group_id=80085

各個套件的用途如下。
1. kernel source:Linux 的核心原始程式碼
2. netfilter source:Linux 防火牆(netfilter)的原始程式碼
3. l7-filter kernel version:kernel 版的 l7 filter。(也有 userspace 版的)
4. Protocol definitions:定義各種應用層的協定的檔案。

註:
l7-filter 完整的支援協定列表可參考此網址:
http://l7-filter.sourceforge.net/protocols

實做的步驟:
  1. Patch, Configure and Compile Kernel
  2. Patch and Compile Netfilter
  3. 安裝Layer 7 Protocol定義檔
  4. 設定防火牆



一、Patch, Configure and Compile Kernel

假設使用的 kernel 版本為 2.6.22。

1. 將下載回來的 kernel source 解壓縮後,放到 /usr/src/kernels 目錄中
引用:
tar zxvf linux-2.6.22.tar.gz
mv linux-2.6.22 /usr/src/kernels

2. 將下載回來的 l7-filter kernel version 解壓縮
引用:
tar zxvf netfiilter-layer7-v2.13.tar.gz

裡面有幾個比較重要的檔案:
iptables-for-kernel-2.6.20forward-layer7-2.13.patch
==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之後的版本

iptables-for-kernel-pre2.6.20-layer7-2.13.patch
==>netfilter 的 patch 檔,適用於 kernel-2.6.20 之前的版本

kernel-2.4-layer7-2.13.patch
==>kernel 的 patch 檔,適用於 kernel-2.4

kernel-2.6.22-layer7-2.13.patch
==>kernel 的 patch 檔,適用於 kernel-2.6.22

3. 將 kernel 的 patch 檔複製到 kernel source tree 的根目錄(/usr/src/kernels/linux-2.6.22)
引用:
cp kernel-2.6.22-layer7-2.13.patch /usr/src/kernels/linux-2.6.22

4. Patch Kernel
引用:
cd /usr/src/kernels/linux-2.6.22
patch -p1 < kernel-2.6.22-layer7-2.13.patch

5. 設定 kernel
Patch Kernel 後,現在我們手上所擁有的 Kernel 已經可以支援 Layer 7 Filter,接下來我們必須要 "啟用" 此項功能。

引用:
cd /usr/src/kernels/linux-2.6.22
make menuconfig
Code maturity level options ---> Prompt for development and/or incomplete code/drivers

Networking ---> Networking options ---> Network packet filtering framework --> 將 Core Netfilter Configuration 與 IP: Netfilter Configuration 這兩個項目中所有的項目皆啟用。

註:
最重要的項目分別是 Netfilter Xtables support、Netfilter connection tracking support、Layer 7 match support,但官方手冊建議最好把與 netfilter 有關的選項都開啟。

6. 編譯與安裝 kernel
引用:
make clean
清除已前complie留下的舊檔案,由於我們是第一次compile,此指令可有可無。


引用:
make bzImage
編譯 Linux 系統核心。


引用:
make modules
編譯模組。


引用:
make modules_install
安裝模組,預設會安裝到 /lib/modules/2.6.22 目錄下。


引用:
make install
安裝 Linux 系統核心,會自動進行下列事項:
a. 將 bzImage 改名為 vmlinuz-2.6.22 並複製到 /boot
b. 建立 initrd-2.6.22.img 並複製到 /boot
c. 將 System.map 複製到 /boot 並改名為 System.map-2.6.22
d. 修改 /boot/grub/grub.conf


二、Patch and Compile Netfilter

假設使用的 netfilter 版本為 1.3.8。

1. 將下載回來的 netfilter source 解壓縮後,放到 /usr/local/src 目錄中
引用:
tar jxvf iptables-1.3.8.tar.bz2
mv iptables-1.3.8 /usr/local/src

2. Patch Netfilter
引用:
cp iptables-for-kernel-2.6.20forward-layer7-2.13.patch /usr/local/src/iptables-1.3.8

cd /usr/local/src/iptables-1.3.8

patch -p1 < iptables-for-kernel-2.6.20forward-layer7-2.13.patch

3. 編譯 netfilter
引用:
make KERNEL_DIR=/usr/src/kernels/linux-2.6.22
註:KERNEL_DIR 必須要指到我們之前已經 patch 好的 kernel source


4.安裝 netfilter
引用:
make install KERNEL_DIR=/usr/src/kernels/linux-2.6.22
這裡務必要注意,netfilter 預設是會安裝到 /usr/local/sbin 目錄下,不會覆蓋系統原來的版本(在 /sbin 目錄),所以當你執行 "iptables" 這個指令時會使用到的依然是系統原來的版本,而不是你自己編譯的版本。若要使用自己編譯的 netfilter 務必要使用絕對路徑來呼叫,例如 /usr/local/sbin/iptables。


當kernel與netfilter都編譯與安裝完成後,記得要重新開機並使用新的系統核心啟動Linux。


三、安裝Layer 7 Protocol定義檔
tar zxvf l7-protocols-2007-07-27.tar.gz]
cd l7-protocols-2007-07-27
make install

註:定義檔預設會安裝到 /etc/l7-protocols。


四、設定防火牆

當一切都準備就緒時就可以使用netfilter來過濾Layer 7的封包,指令格式如下:
引用:
iptables [specify table & chain] -m layer7 --l7proto [name of protocol] -j [action]
例如若我們要阻擋MSN通訊,則可以使用以下指令:
引用:
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP

 发表于: 2007-09-24,修改于: 2007-09-24 20:13 已浏览357次,有评论2条 推荐 投诉

  网友评论
  本站网友 时间:2008-06-04 16:30:59 IP地址:218.22.21.★


 
楼主,我照你的步骤进行到make bzlmage时,出现下列信息:

  HOSTCC  scripts/basic/fixdep

  HOSTCC  scripts/basic/docproc

  HOSTCC  scripts/kconfig/conf.o

  HOSTCC  scripts/kconfig/kxgettext.o

  HOSTCC  scripts/kconfig/zconf.tab.o

  HOSTLD  scripts/kconfig/conf

scripts/kconfig/conf -s arch/i386/Kconfig

make: *** 没有规则可以创建目标“bzlmage”。 停止。
 
Z_man
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
L7Filter-OpenCAPWAP
11-22
L7Filter-OpenCAPWAP source code
install-filter-win.exe
09-17
libwin32 开发过程中安装过滤器的工具 libwin32 开发过程中安装过滤器的工具 摘要必须大于50个字!
L7-filter总结
09-21 7103
<br /><br />1、概述<br /> <br />  L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的一个外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (OSI应用层) 过滤功能, 限制封杀 P2P、即时通讯(MSN、QQ、AIM)软件。<br /> <br />官方站点http://l7-filter.sourceforge.net/<br /> <br />2
linux l7,linux iptables L7-filter
weixin_34312149的博客
05-16 263
一、L7-filter介绍TCP/IP模块总共包含四层,在L7-filter之前,netfilter可以过滤前三层数据,分别为网络接口层,网络层,传输层,具体实现方法如下:Network access layer: iptables -A CHAIN -m mac --mac-source …"Internet: iptables -A CHAIN -s IP_ADDRESS …"Transpor...
linux l7filter命令行,Linux下使用l7-filter过滤QQ、迅雷、电驴等
weixin_31202821的博客
05-01 288
环境:RHEL6.6-x86_64iptables-1.4.21.tar.bz2l7-protocols-2009-05-28.tar.gznetfilter-layer7-v2.23.tar.gzkernel-2.6.35.8-l7想禁止员工上班期间玩扣扣,下载电影浪费宝贵的带宽吗?l7-filter是个不错的选择。。1、给内核打补丁#tar xf linux-2.6.35.8.tar.gz ...
L7-filter 安装
binyao02123202的专栏
01-03 2003
L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能让 Linux 的 iptables 支持 Layer 7 (Application 应用层) 封包过滤功能, 限制 P2P、实时通讯等使用动态端口口的网络软件. 以下是在 Fedora Core 3 的安装过程: 下载 L
maven-install-plugin-2.4.jar
01-15
maven-install-plugin-2.4.jar
npm install --global --production windows-build-tools
12-31
如果命令长时间执行不成功,手工执行安装包。重启后在此运行启动
InstallGuide--openstack--ocata.pdf
01-02
InstallGuide--openstack--ocata.pdf
maven-install-plugin-2.5.2.jar
01-15
maven-install-plugin-2.5.2.jar
linux l7filter命令行,iptables--L7-filter实现高级管理
weixin_33558072的博客
05-01 336
l7-filter是一个定义在应用层上的来过滤数据包的。它可以按照不同的应用进行过滤,比如过滤聊天工具QQ、MSN、eDonkey等应用。接下来讲述l7-filter的编译安装和使用:1、准备工作:内核:linux-2.6.28.10.tar.gzl7协议:l7-protocols-2009-05-28.tar.gzl7过滤包:netfilter-layer7-v2.22.tar.gz2、解压内核...
linux l7,L7 linux shell编程练习
weixin_29768055的博客
05-16 171
1、描述shell程序的运行原理(可附带必要的图形说明);2、总结shell编程中所涉及到的所有知识点(如:变量、语法、命令状态等等等,要带图的哟);3、总结课程所讲的所有循环语句、条件判断的使用方法及其相关示例;4、写一个脚本:如果某路径不存在,则将其创建为目录;否则显示其存在,并显示内容类型;(不要怀疑,就是这么简单)#!/bin/bash#if[$#-ne1]thenecho"U...
Linux下利用l7filter封杀迅雷、QQ、MSN
binyao02123202的专栏
01-02 1941
CentOS 5.2-----------------------------------------------------最稳定的linux服务器     Linux-2.6.19.tar.gz ------------------------------------------2.6.19内核     iptables-1.4.1.1.tar.gz--------------------
linux l7,linux 下安装l7_filter
weixin_26516551的博客
05-16 134
范先生工程师 / 中科院在fedora2 core kernel-2.6.5-1.358需要文件 iptables-1.3.3.tar.bz2, netfilter-layer7-v2.1.tar.gz ,l7-protocols-2006-03-13.tar.gz下面是具体安装l7_filter的过程与测试6 tar -zxvf netfilter-layer7-v2.1.tar.gz -C ...
实例简释iptables + l7-filter配置及使用
martin2350的专栏
12-08 1155
本文将以实例分析的方式简单介绍iptables实现防火墙,源/目的地址转换,iptables拓展模块,以及通过重新编译内核凭借l7-filter模块过滤QQ、迅雷等应用程序通信等内容。 52b*[tZ   iptables是linux中的一款强大的防火墙工具,它通过设置定义规则来实现控制网页通信的作用。由其访问控制的实现,主要是依靠filter表、nat表和mangle表配合五条netf
linux ibus install
知行合一
04-12 635
$ sudo apt-get update$ sudo aptitude install ibus ibus-gtk ibus-pinyin ibus-qt4 ibus-table ibus-table-wubi$ im-switch -s ibus 
iptables之7层过滤(封QQ、MSN、P2P等)
eydwyz的专栏
11-26 2381
简介   在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协
ubuntu虚拟机下载并安装l7-filter模块的详细步骤
最新发布
05-25
sudo apt-get install l7-filter-userspace ``` 3. 下载 l7-protocols 模块: ``` wget http://downloads.sourceforge.net/project/l7-filter/l7-protocols/2.1.0/l7-protocols-2.1.0.tar.gz ``` 4. 解压 l7-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值