iptables - L7
文章平均质量分 88
eydwyz
AA123456123456
展开
-
iptables之7层过滤(封QQ、MSN、P2P等)
简介 在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协转载 2016-11-26 17:00:07 · 2343 阅读 · 0 评论 -
利用iptables+l7-filter+opendpi封QQ和迅雷
1、 前言参加2011架构师大会,有幸聆听白金大师的讲解,其中对于iptables封QQ以及迅雷等白金介绍了l7-filter和ipp2p两种插件,但是在笔者的实验中发现ipp2p目前官方已经停止维护,而是靠国内的兴趣爱好者对ipp2p进行维护和更新。同时ipp2p对各个版本的内核兼容性并不是很好,因此阅读了ipp2p官网推荐的其替代品opendpi的相关文档,发现国转载 2016-11-26 17:04:05 · 1389 阅读 · 0 评论 -
实例简释iptables + l7-filter配置及使用
本文将以实例分析的方式简单介绍iptables实现防火墙,源/目的地址转换,iptables拓展模块,以及通过重新编译内核凭借l7-filter模块过滤QQ、迅雷等应用程序通信等内容。 52b*[tZ iptables是linux中的一款强大的防火墙工具,它通过设置定义规则来实现控制网页通信的作用。由其访问控制的实现,主要是依靠filter表、nat表和mangle表配合五条netfi转载 2016-11-26 17:05:14 · 3542 阅读 · 0 评论 -
Linux运维第三阶段(十一)iptables
iptables linux防火墙:netfilter(框架framework);iptables(生成防火墙规则并将其附加在netfilter上,真正实现数据报文过滤、NAT、mangle等规则生成的工具);真正起作用的是规则,规则放在netfilter上才能生效 网络防火墙的功能根据TCP/IP首部实现的IP报文(见文末附图):fragment转载 2016-11-26 17:13:51 · 560 阅读 · 0 评论 -
iptables限制同一IP连接数
新版的 iptables 有个好用简单又有效率的功能,可以设定它阻止瞬间联机太多的来源 IP。这种阻挡功能在某些很受欢迎的,特别像是大型讨论区网站,每个网页都遭到「无知却故意」的人士。一瞬间太多的链接访问,导致服务器呈现呆滞状态。这时,就需要下列的三行指令:iptables -I INPUT -p tcp --dport 80 -d SERVER_IP -m state --state N转载 2016-11-26 17:16:03 · 3133 阅读 · 0 评论 -
编译内核实现iptables防火墙layer7应用层过滤 (三)
在前面的两篇文章中我们主要讲解了Linux防火墙iptables的原理及配置规则,想博友们也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ、迅雷等) 安装netfilter-layer7补丁包的作用是为Lin转载 2016-11-26 17:18:48 · 3056 阅读 · 0 评论 -
iptables+l7-filter 封QQ MSN和P2P
在网关上如果要封杀 QQ、MSN 或者 P2P 等软件的通讯,单纯用 iptables 逐一封服务端IP或者封通讯端口都不是很好的办法,最简单的方法是使用L7-filter。 L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的转载 2016-11-26 17:23:30 · 2378 阅读 · 0 评论