iptables防火墙详解及使用layer7阻止qq,酷狗,等P2P软件

iptables防火墙详解及使用layer7阻止qq,酷狗,等P2P软件

 

    防火墙其实就是一个加固主机或者网络安全的一个设备或者软件而已,通过防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍风险区域的访问.当然需要注意的是世界上没有绝对的安全,防火墙也只是启到一定的安全防护,那么下面来说下防火墙的几种分类,

第一种软件防火墙,软件防火墙需要运行在特定的计算机上,而且需要计算机的操作系统的支持,
第二种硬件防火墙,硬件防火墙其实就是一个普通pc机的架构,然后上面跑有专门的操作系统.
第三种芯片级的防火墙,这种防火墙基于专门的硬件平台,没有操作系统,专有的ASIC芯片使它们比其他类的防火墙速度更快,处理能力极强,性能更高,但是价格却极其昂贵,

从技术方面实现的防火墙也可分为三种,
第一种包过滤型防火墙,这类的防火墙主要是工作在网络层,根据事先设定好的规则进行检查,检查结果根据事先设定好的处理机制进行处理
第二种应用层防火墙,它是工作在TCP/IP模型中的最高层应用层,相比较来说速度要慢一点
第三种状态监视器,状态监视做为防火墙其安全性为最佳,但配置比较复杂,且网络速度较慢

一般在企业中防火墙的部署有以下几种
一,单宿主堡垒主机  ,由于使用的rhel6.2的系统,做图不是很好做,所以没有图,只有简单的介绍
    单宿主堡垒主机其实就是单台服务器有防火墙,只为单台服务器防护,
二,双宿主堡垒主机,
     双宿主堡垒主机是一台装有两块网卡的堡垒主机,一般这台堡垒主机应用在网关,防护局域网跟广域网之间通信等安全
三,三宿主堡垒主机
     三宿主堡垒主机是一台装有三块网卡的堡垒主机,那么他将外网,内网,DMZ 三个区域隔离开来,同时保护内网已经DMZ区域的安全等
四,背靠背,  这个的话没图解释起来比较复杂,我在网上搜一张图片吧

不用解释一看图就知道是怎么回事了. 实际上前端防火墙是防护外网到DMZ区域以及到内网,后端防火墙是防护内网到DMZ区域的安全

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
说了这么多下面来说说linux上面的iptables的应用吧,
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
目录
一,IPTABLES的简介
二,IPTABLES的表和链
三,IPTABLES的几个状态
四,IPTABLES的命令及使用
五,IPTABLES的脚本编写
六,给内核打layer7补丁,并重新编译内核及IPTABLES来实现封杀QQ,酷狗,迅雷,等软件

注:个人的总结,当然也从一些书籍里面找了一些资料,写的不全,还望大家多多指点,thx！
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

一,IPTABLES的简介
1.  简介
     IPTABLES/netfilter(http://www.netfilter.org) 其实大多数人都认为iptables是linux系统上的一个服务,其实不是的. 我们linux系统上的服务比如说httpd服务在启动起来的时候,是不是在后台启动一个相应的服务进程且在网卡上监听一个端口,而iptables却不然,那么iptables到底是什么呢？其实iptables只是一个工具而已.我们的linux系统有用户空间,和内核空间,而iptables有两个组件,一是netfilter,  netfilter组件只是用来过滤防火墙规则,及作出相应的处理机制的,它是集成在内核中的一部分,也就是说它是工作在内核空间的,那么大家都知道用户是不可能直接跟内核空间打交道的,那么netfilter只是工作在内核空间对规则进行处理的,那么规则从何而来呢? 是从iptables的第二个组件iptables而来的,我们上面说了IPTABLES只是一个工作在用户空间的一个工具而已,那么用户就使用这个工具的一个命令来跟工作在内核空间中的netfiter组件打交道的.其实IPTABLES防火墙就是这样的.

二,IPTABLES的表和链
     IPTABLES常用的表和链有三个filter表 nat表 mangle表, 和五个链 INPUT链 OUTPUT链 FORWARE链 POSTROUTING链 PREROUTING链,  下面来介绍下它们的各个功能呢个功能,
1.filter表
   filter表主要是过滤数据包的,IPTABLES几乎所有的数据包过滤都在此表中实现的,filter表也是IPTABLES中默认的表,此表中还包含三个链如下
1.1 INPUT链
      过滤所有的目标地址是本机的数据包
1.2 OUTPUT链
      过滤所有从本机出去的数据包
1.3 FORWORD链
      过滤所有从本机路过的数据包

2.nat表
   nat表主要是用于做网络地址转换的(NAT) 在IPTABLES中可以做SNAT(源地址转换),DNAT(目标地址转换),PANT(即跟SNAT差不多,不一样的是SNAT的源地址是固定的,而PNAT的源地址是不固定的,当使用ppp 或pppoe的方式连接互联网的时候一般适应这中) 。 nat表中包含两个链如下
2.1 PREROUTING链
      在数据包到达防火墙的时候改变目标地址 DNAT应用于此链.
2.2 OUTPUT链
      可以改变本地产生的数据包的目标地址
2.3 POSTROUTING链
      在数据包离开防火墙的时候改变源地址,SNAT应用于次链

3. mangle表
    mangle表主要是修改数据包头部信息的,此表中包含以下5条链
3.1 PREROUTING链,
      在数据包进入防火墙之后,也称为路由前,
3.2 POSTROUTING链,
       在数据包确定目标地址后,也称为路由后,
3.3 OUTPUT链
       从本机出去的时间包路由前
3.4 INPUT链
       数据包进入本机后,路由后
3.5 FORWARD链
       第一次路由判断之后,最后一次路由判断之前改变数据包

三,IPABLES的状态
     IPTABLES的状态跟踪连接有4种,分别是,NEW,ESTABLISHED,RELATED,INVALID,除了从本机出去的数据包有nat表的OUTPUT链处理外,其他说有的状态跟踪都在nat表中的PREROUTING链中处理,下面来说下4种状态是什么,
1,NEW状态
   NEW状态的数据包说明这个数据包是收到的第一个数据包,
2,ESTABLISHED状态,
   只要发送并接到应答,一个数据包的状态就从NEW变为ESTABLEISHED,而且该状态会继续匹配这个连接后继数据包,
3,RELATED状态
   当一个数据包的状态处于ESTABLSHED状态的连接有关系的时候,就会被认为是RELATED,也就是说一个链接想要是RELATED状态,首先要有一个ESTABLISHED的连接,
4,INVALID状态
   不能被识别属于哪个连接状态或没有任何关系的状态,一般这中数据包要被拒绝的

四,IPTABLES命令的使用详解
    iptables在RHEL的系统上默认安装的, IPTABLES的命令选项主要分为这么几大类,规则管理,链管理,默认管理,查看,匹配条件,处理动作,基本应该就这些了吧,下面来一一说名,
1,规则管理类

  
  
#iptables -A    添加一条新规则 
#iptables -I    插入一条新规则 -I 后面加一数字表示插入到哪行 
#iptables -D    删除一条新规则 -D 后面加一数字表示删除哪行 
#iptables -R    替换一条新规则 -R 后面加一数字表示替换哪行 

2.链管理类

  
  
#iptables -F    清空链中的所有规则 
#iptables -N    新建一个链 
#iptables -X    删除一个自定义链,删除之前要保证次链是空的,而且没有被引用 
#iptables -E    重命名链 

3.默认管理类

  
  
#iptables -P    设置默认策略 

4,查看类

  
  
#iptables -L    查看规则 -L还有几个子选项如下 
#iptables -L -n 以数字的方式显示 
#iptables -L -v 显示详细信息 
#iptables -L -x 显示精确信息 
#iptables -L --line-numbers  显示行号

5,条件匹配类
5.1 基本匹配

  
  
条件匹配也可以使用 ! 取反 
-s    源地址 
-d    目标地址 
-p    协议{tcp|udp|icmp} 
-i    从哪个网络接口进入,比如 -i eth0 
-o    从哪个网络接口出去,比如 -o eth0 

5.2扩展匹配
5.2.1隐含扩展匹配

  
  
-p {tcp|udp} --sport   指定源端口 
-p {tcp|udp} --dport   指定目标端口 

5.2.2显示扩展匹配

  
  
-m state --state   匹配状态的 
-m mutiport --source-port   端口匹配 ,指定一组端口 
-m limit --limit 3/minute   每三分种一次 
-m limit --limit-burst  5   只匹配5个数据包 
-m string --string --algo bm|kmp --string "xxxx"  匹配字符串 
-m time --timestart 8:00 --timestop 12:00  表示从哪个时间到哪个时间段 
-m time --days    表示那天 
-m mac --mac-source xx:xx:xx:xx:xx:xx 匹配源MAC地址 
-m layer7 --l7proto qq   表示匹配腾讯qq的 当然也支持很多协议,这个默认是没有的,需要我们给内核打补丁并重新编译内核及iptables才可以使用 -m layer7 这个显示扩展匹配,  

6,处理动作类

  
  
-j ACCEPT     允许 
-j REJECT     拒绝 
-j DROP       拒绝并提示信息 
-j SNAT       源地址转换 
-j DNAT       目标地址转换 
-j REDIRECT   重定向 
-j MASQUERAED 地址伪装 
-j LOG --log-prefix "说明信息,自己随便定义"      记录日志 

五,IPTABLES脚本的编写
     IPTABLES 脚本里面其实就是敲的一系列命令而已下面给个例子,介绍下iptables命令的使用及IPTABLES脚本的编写
1.IPTABLES脚本实例

  
  
#vim /ipt.sh
#!/bin/bash 
# 2012,07,09 
# andy_f 
#定义变量 
mynet=192.168.0.0/24 
myip=192.168.0.100 
IPT=/sbin/iptables 
 
#加载ftp模块 
modprobe ip_conntrack-ftp 
modprobe ip_nat_ftp 
 
#开启路由转发功能 
echo "1" /proc/sys/net/ipv4/ip_forward 
 
#清空所有表中的规则 
$IPT -F 
$IPT -t nat -F 
$IPT -t mangle -F 
 
#删除所有自定义链 
$IPT -X 
$IPT -t nat -X 
$IPT -t mangle -X 
 
#设置默认策略 
$IPT -P INPUT DROP 
$IPT -P OUTPUT DROP 
$IPT -P FORWARD ACCEPT 
 
#允许状态为ESTABLISHED,RELATED的访问本机,及状态为NEW的从本机出去 
$IPT -A INOUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
 
#允许本地环回口访问 
$IPT -A INPUT -i lo -j ACCEPT 
$IPT -A OUTPUT -o lo -j ACCEPT 
 
#允许管理员主机访问本地ssh服务 
$IPT -A INPUT -s $myip -m state --state NEW -p tcp --dport 22 -j ACCEPT 
$IPT -A OUTPUT -d $myip -p tcp --sport 22 -j ACCEPT 
 
#允许局域网的ping请求 
$IPT -A INPUT -s $mynet -p icmp --icmp-type 8 -j ACCEPT 
$IPT -A OUTPUT -d $mynet -p icmp --icmp-type 0 -j ACCEPT 
 
#为局域网做SNAT 
$IPT -t nat -A POSTROUTING -s $mynet -j SNAT --to-source 172.16.100.1 
 
#为局域网内部的web服务器做DNAT 
$IPT -t nat -A PREROUTING -d 172.16.100.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2 

  
  
让下次开机自动加载脚本 
#echo "/bin/bash /ipt.sh" >> /etc/rc.local 

六,给内核打layer7补丁,并重新编译内核及IPTABLES来实现封杀QQ,酷狗,迅雷,等软件
     做为网络管理员,对P2P,QQ,酷狗,等软件是又爱又恨,大多数公司,为了提高工作效率禁止公司员工上QQ,看视频等,  在市场上买专门的上网行为管理设备,随便都是好几W,而使用linux来做网关,一样可以禁止qq,酷狗等软件,成本才几千块,下面将介绍下怎么实现的,
1.重新编译内核
1.1 ,安装基本来发库及相关依赖软件,这里使用yum安装

  
  
#yum -y groupinstall "Development Libraries" "Development Tools" 
#yum -y install ncurses-devel 

1.2下载内核源代码,及layer7补丁,并重修编译内核,这里使用的内核版本是2.6.28
      准备两个源码包
       linux-2.6.28.10.tar.gz
       netfilter-layer7-v2.22.tar.gz  准备好了之后讲其复制到/usr/src目录下然后如下

  
  
#cd /usr/scr 
#tar xzvf linux-2.6.28.10.tar.gz  
#tar xavf netfilter-layer7-v2.22.tar.gz 
#ln -s linux-2.6.28.10 linux 
#cd /usr/src/linux 
#patch -p1 < ../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch 
#cp /boot/config-2.6.28-164.el5 /usr/src/linux/.config 
#make menuconfig  执行之后会出现一个让用户选择内核模块的界面,进入相应的菜单,将下面的模块选上 
Networking support -->>Networking Options -->>Network packet filtering framework -->>Core Netfilter Configuration 
<M>  Netfilter connection tracking support  
<M>  “layer7” match support 
<M>  “string” match support 
<M>  “time”  match support 
<M>  “iprange”  match support 
<M>  “connlimit”  match support 
<M>  “state”  match support 
<M>  “conntrack”  connection  match support 
<M>  “mac”  address  match support 
<M>   "multiport" Multiple port match support 
 
 
Networking support -->Networking Options -->Network packet filtering framework -->IP: Netfilter Configuration 
<M> IPv4 connection tracking support (required for NAT) 
<M>   Full NAT 
    <M>     MASQUERADE target support    
    <M>     NETMAP target support                           
    <M>     REDIRECT target support  
 
 
 
 
选择完成后保存退出, 
#make 
#make modules_install 
#make install 
编译完成后重启 
#shutdown -r now 
需要注意的是系统默认是启动原先的内核的,在开机的时候在grub界面选择启动新的内核 

2.编译安装iptables
2.1卸载系统上自带的rpm格式的iptables

  
  
在卸载之前我们先把iptables的启动脚本及脚本配置文件拷贝到/目录下待会有用 
#cp /etc/init.d/iptables / 
#cp /etc/sysconfig/iptables-config / 
卸载iptables 
#rpm -e iptables-ipv6  iptables iptstate --nodeps 

2.2编译安装iptables
     首先下载iptables-1.4.6.tar.bz2包到系统的/usr/src目录,然后如下

  
  
#cd /usr/src
#tar jxvf iptables-1.4.6.tar.bz2 
#cd iptables-1.4.6 
#cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.* ./extensions/ 
#./configure --prefix=/usr --with-ksource=/usr/src/linux 
#make 
#make install 

3.安装l7protocols 
    l7protocols 是layer7所能够支持的协议包
   下载l7-protocols-2009-05-28.tar.gz到/usr/src目录,然后如下,

  
  
#cd /usr/src 
#tar xzvf l7-protocols-2009-05-28.tar.gz 
#cd l7-protocols-2009-05-28 
#make install 

4.修改iptables启动脚本
    就是上面2.1复制的两个文件,在根目录下
4.1 修改iptables启动脚本

  
  
首先将脚本跟配置文件复制到相应的目录然后再做修改  
#cp /iptables-config /etc/sysconfig/  
#cp /iptables /etc/init.d/  
#chmod a+x /etc/init.d/iptables  
#vim /etc/init.d/iptables 把所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES   在vim命令模式下:%s@/sbin/$IPTABLES@/usr/sbin/$IPTABLES@g  然后保存退出,  
我们把修改后的/etc/init.d/iptables 脚本文件贴出来,如下  
 
#!/bin/sh 
# 
# iptables  Start iptables firewall 
# 
# chkconfig: 2345 08 92 
# description:  Starts, stops and saves iptables firewall 
# 
# config: /etc/sysconfig/iptables 
# config: /etc/sysconfig/iptables-config 
 
# Source function library. 
. /etc/init.d/functions 
 
IPTABLES=iptables 
IPTABLES_DATA=/etc/sysconfig/$IPTABLES 
IPTABLES_CONFIG=/etc/sysconfig/${IPTABLES}-config 
IPV=${IPTABLES%tables} # ip for ipv4 | ip6 for ipv6 
PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names 
VAR_SUBSYS_IPTABLES=/var/lock/subsys/$IPTABLES 
 
if [ ! -x /usr/sbin/$IPTABLES ]; then 
    echo -n $"/usr/sbin/$IPTABLES does not exist."; warning; echo 
    exit 0 
fi 
 
if lsmod 2>/dev/null | grep -q ipchains ; then 
    echo -n $"ipchains and $IPTABLES can not be used together."; warning; echo 
    exit 1 
fi 
 
# Old or new modutils 
/sbin/modprobe --version 2>&1 | grep -q module-init-tools \ 
    && NEW_MODUTILS=1 \ 
    || NEW_MODUTILS=0 
 
# Default firewall configuration: 
IPTABLES_MODULES="" 
IPTABLES_MODULES_UNLOAD="yes" 
IPTABLES_SAVE_ON_STOP="no" 
IPTABLES_SAVE_ON_RESTART="no" 
IPTABLES_SAVE_COUNTER="no" 
IPTABLES_STATUS_NUMERIC="yes" 
IPTABLES_SYSCTL_LOAD_LIST="" 
 
# Load firewall configuration. 
[ -f "$IPTABLES_CONFIG" ] && . "$IPTABLES_CONFIG" 
 
rmmod_r() { 
    # Unload module with all referring modules. 
    # At first all referring modules will be unloaded, then the module itself. 
    local mod=$1 
    local ret=0 
    local ref= 
 
    # Get referring modules. 
    # New modutils have another output format. 
    [ $NEW_MODUTILS = 1 ] \ 
    && ref=`lsmod | awk "/^${mod}/ { print \\\$4; }" | tr ',' ' '` \ 
    || ref=`lsmod | grep ^${mod} | cut -d "[" -s -f 2 | cut -d "]" -s -f 1` 
 
    # recursive call for all referring modules 
    for i in $ref; do 
    rmmod_r $i 
    let ret+=$?; 
    done 
 
    # Unload module. 
    # The extra test is for 2.6: The module might have autocleaned, 
    # after all referring modules are unloaded. 
    if grep -q "^${mod}" /proc/modules ; then 
    modprobe -r $mod > /dev/null 2>&1 
    let ret+=$?; 
    fi 
 
    return $ret 
} 
 
flush_n_delete() { 
    # Flush firewall rules and delete chains. 
    [ -e "$PROC_IPTABLES_NAMES" ] || return 1 
 
    # Check if firewall is configured (has tables) 
    tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null` 
    [ -z "$tables" ] && return 1 
 
    echo -n $"Flushing firewall rules: " 
    ret=0 
    # For all tables 
    for i in $tables; do 
        # Flush firewall rules. 
    $IPTABLES -t $i -F; 
    let ret+=$?; 
 
        # Delete firewall chains. 
    $IPTABLES -t $i -X; 
    let ret+=$?; 
 
    # Set counter to zero. 
    $IPTABLES -t $i -Z; 
    let ret+=$?; 
    done 
 
    [ $ret -eq 0 ] && success || failure 
    echo 
    return $ret 
} 
 
set_policy() { 
    # Set policy for configured tables. 
    policy=$1 
 
    # Check if iptable module is loaded 
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 1 
 
    # Check if firewall is configured (has tables) 
    tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null` 
    [ -z "$tables" ] && return 1 
 
    echo -n $"Setting chains to policy $policy: " 
    ret=0 
    for i in $tables; do 
    echo -n "$i " 
    case "$i" in 
        raw) 
        $IPTABLES -t raw -P PREROUTING $policy \ 
            && $IPTABLES -t raw -P OUTPUT $policy \ 
            || let ret+=1 
        ;; 
        filter) 
                $IPTABLES -t filter -P INPUT $policy \ 
            && $IPTABLES -t filter -P OUTPUT $policy \ 
            && $IPTABLES -t filter -P FORWARD $policy \ 
            || let ret+=1 
        ;; 
        nat) 
        $IPTABLES -t nat -P PREROUTING $policy \ 
            && $IPTABLES -t nat -P POSTROUTING $policy \ 
            && $IPTABLES -t nat -P OUTPUT $policy \ 
            || let ret+=1 
        ;; 
        mangle) 
            $IPTABLES -t mangle -P PREROUTING $policy \ 
            && $IPTABLES -t mangle -P POSTROUTING $policy \ 
            && $IPTABLES -t mangle -P INPUT $policy \ 
            && $IPTABLES -t mangle -P OUTPUT $policy \ 
            && $IPTABLES -t mangle -P FORWARD $policy \ 
            || let ret+=1 
        ;; 
        *) 
            let ret+=1 
        ;; 
        esac 
    done 
 
    [ $ret -eq 0 ] && success || failure 
    echo 
    return $ret 
} 
 
load_sysctl() { 
    # load matched sysctl values 
    if [ -n "$IPTABLES_SYSCTL_LOAD_LIST" ]; then 
        echo -n $"Loading sysctl settings: " 
        ret=0 
        for item in $IPTABLES_SYSCTL_LOAD_LIST; do 
            fgrep $item /etc/sysctl.conf | sysctl -p - >/dev/null 
            let ret+=$?; 
        done 
        [ $ret -eq 0 ] && success || failure 
        echo 
    fi 
    return $ret 
} 
 
start() { 
    # Do not start if there is no config file. 
    [ -f "$IPTABLES_DATA" ] || return 1 
 
    echo -n $"Applying $IPTABLES firewall rules: " 
 
    OPT= 
    [ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c" 
 
    $IPTABLES-restore $OPT $IPTABLES_DATA 
    if [ $? -eq 0 ]; then 
    success; echo 
    else 
    failure; echo; return 1 
    fi 
     
    # Load additional modules (helpers) 
    if [ -n "$IPTABLES_MODULES" ]; then 
    echo -n $"Loading additional $IPTABLES modules: " 
    ret=0 
    for mod in $IPTABLES_MODULES; do 
        echo -n "$mod " 
        modprobe $mod > /dev/null 2>&1 
        let ret+=$?; 
    done 
    [ $ret -eq 0 ] && success || failure 
    echo 
    fi 
     
    # Load sysctl settings 
    load_sysctl 
 
    touch $VAR_SUBSYS_IPTABLES 
    return $ret 
} 
 
stop() { 
    # Do not stop if iptables module is not loaded. 
    [ -e "$PROC_IPTABLES_NAMES" ] || return 1 
 
    flush_n_delete 
    set_policy ACCEPT 
     
    if [ "x$IPTABLES_MODULES_UNLOAD" = "xyes" ]; then 
    echo -n $"Unloading $IPTABLES modules: " 
    ret=0 
    rmmod_r ${IPV}_tables 
    let ret+=$?; 
    rmmod_r ${IPV}_conntrack 
    let ret+=$?; 
    [ $ret -eq 0 ] && success || failure 
    echo 
    fi 
     
    rm -f $VAR_SUBSYS_IPTABLES 
    return $ret 
} 
 
save() { 
    # Check if iptable module is loaded 
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 1 
 
    # Check if firewall is configured (has tables) 
    tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null` 
    [ -z "$tables" ] && return 1 
 
    echo -n $"Saving firewall rules to $IPTABLES_DATA: " 
 
    OPT= 
    [ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c" 
 
    ret=0 
    TMP_FILE=`/bin/mktemp -q /tmp/$IPTABLES.XXXXXX` \ 
    && chmod 600 "$TMP_FILE" \ 
    && $IPTABLES-save $OPT > $TMP_FILE 2>/dev/null \ 
    && size=`stat -c '%s' $TMP_FILE` && [ $size -gt 0 ] \ 
    || ret=1 
    if [ $ret -eq 0 ]; then 
    if [ -e $IPTABLES_DATA ]; then 
        cp -f $IPTABLES_DATA $IPTABLES_DATA.save \ 
        && chmod 600 $IPTABLES_DATA.save \ 
        || ret=1 
    fi 
    if [ $ret -eq 0 ]; then 
        cp -f $TMP_FILE $IPTABLES_DATA \ 
        && chmod 600 $IPTABLES_DATA \ 
            || ret=1 
    fi 
    fi 
    [ $ret -eq 0 ] && success || failure 
    echo 
    rm -f $TMP_FILE 
    return $ret 
} 
 
status() { 
    tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null` 
 
    # Do not print status if lockfile is missing and iptables modules are not  
    # loaded. 
    # Check if iptable module is loaded 
    if [ ! -f "$VAR_SUBSYS_IPTABLES" -a -z "$tables" ]; then 
    echo $"Firewall is stopped." 
    return 1 
    fi 
 
    # Check if firewall is configured (has tables) 
    if [ ! -e "$PROC_IPTABLES_NAMES" ]; then 
    echo $"Firewall is not configured. " 
    return 1 
    fi 
    if [ -z "$tables" ]; then 
    echo $"Firewall is not configured. " 
    return 1 
    fi 
 
    NUM= 
    [ "x$IPTABLES_STATUS_NUMERIC" = "xyes" ] && NUM="-n" 
    VERBOSE=  
    [ "x$IPTABLES_STATUS_VERBOSE" = "xyes" ] && VERBOSE="--verbose" 
    COUNT= 
    [ "x$IPTABLES_STATUS_LINENUMBERS" = "xyes" ] && COUNT="--line-numbers" 
 
    for table in $tables; do 
    echo $"Table: $table" 
    $IPTABLES -t $table --list $NUM $VERBOSE $COUNT && echo 
    done 
 
    return 0 
} 
 
reload() { 
    IPTABLES_MODULES_UNLOAD="no" 
    restart 
} 
 
restart() { 
    [ "x$IPTABLES_SAVE_ON_RESTART" = "xyes" ] && save 
    stop 
    start 
} 
 
case "$1" in 
    start) 
    stop 
    start 
    RETVAL=$? 
    ;; 
    stop) 
    [ "x$IPTABLES_SAVE_ON_STOP" = "xyes" ] && save 
    stop 
    RETVAL=$? 
    ;; 
    reload) 
    [ -e "$VAR_SUBSYS_IPTABLES" ] && reload 
    ;;   
    restart) 
    restart 
    RETVAL=$? 
    ;; 
    condrestart) 
    [ -e "$VAR_SUBSYS_IPTABLES" ] && restart 
    ;; 
    status) 
    status 
    RETVAL=$? 
    ;; 
    panic) 
    flush_n_delete 
    set_policy DROP 
    RETVAL=$? 
        ;; 
    save) 
    save 
    RETVAL=$? 
    ;; 
    *) 
    echo $"Usage: $0 {start|stop|reload|restart|condrestart|status|panic|save}" 
    exit 1 
    ;; 
esac 
 
exit $RETVAL 

5.重新启动iptables 

  
  
#service iptables restart 

6.封qq,酷狗,迅雷等,

  
  
假如本机是一个网关的情况下 
封QQ 
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto qq -j DROP 
封酷狗 
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto kugoo -j DROP 
封迅雷 
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto xunlei -j DROP 

7,测试封QQ的效果
 

  我用的是rhel6.2的系统,所以qq的界面跟你们的不太一样,

 8,那有人说了,只能封这几个吗？, 不是的layer7 支持一百多种协议,如下命令查看

  
  
#ls /etc/l7-protocols/protocols/  只要里面有的都可以封杀,使用方法跟上面的一样,将其目录中对应文件的后缀名去掉, 
比如说,此目录里有个pplive.pat 的文件,想实现封杀pplive的方法如下 
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto pplive -j DROP 

 

ok 到这里此篇博客算是草草完工了, 写的不好还忘见谅.

http://www.linuxso.com/linuxrumen/37467.html