iptables之layer7

最新推荐文章于 2022-11-06 10:08:19 发布
最新推荐文章于 2022-11-06 10:08:19 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: iptables 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014721096/article/details/78629523
版权

iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。

iptables工作于2,3,4层,本身不具备7层过滤功能,第三方开发者为iptables新增了layer7模块,能检测每一个报文的内部应用层协议是什么,并根据协议对请求进行过滤,但不支持对应用层协议的方法进行过滤

安装netfilter-layer7补丁包的作用是为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。通过独立的l7-protocols协议包提供对各种应用层协议的特征识别与定义,便于更新

实现过程

 a.给内核的netfilter打补丁layer7,重新编译内核
 b.给iptables打补丁layer7,重新编译iptables
 c.安装l7-protocols包
 d.使用iptables命令设置应用层规则,禁止QQ等聊天工具

使用的软件包

linux-2.6.35.9.tar.bz2 下载地址
iptables-1.4.21.tar.bz2 下载地址
netfilter-layer7-v2.23.tar.gz 下载地址
l7-protocols-2009-05-28.tar.gz 下载地址

下载好这4个包放在/root目录下

系统环境

1.系统版本,内核版本,iptables版本

[root@localhost ~]# cat /etc/centos-release 
CentOS release 6.9 (Final)
[root@localhost ~]# uname -r
2.6.32-696.el6.x86_64
[root@localhost ~]# rpm -qa | grep iptables
iptables-ipv6-1.4.7-16.el6.x86_64
iptables-1.4.7-16.el6.x86_64

2.编译时候依赖于Development tools” 和”Server Platform Development”两个组件,用yum安装即可

[root@localhost ~]# yum -y groupinstall "Development tools" "Server Platform Development"

给内核打补丁layer7,并重新编译

1.给内核打补丁

[root@localhost ~]# tar xf linux-2.6.35.9.tar.bz2 -C /usr/src
[root@localhost ~]# tar xf netfilter-layer7-v2.23.tar.gz 
[root@localhost ~]# cd /usr/src
[root@localhost src]# ln -sv linux-2.6.35.9 linux    <==为内核创建软链接linux,也可以重命名内核文件为linux,建议创建链接文件
[root@localhost src]# cd linux
[root@localhost linux]# patch -p1 < /root/netfilter-layer7-v2.23/kernel-2.6.35-layer7-2.23.patch    <==给内核打上layer7补丁

2.编译安装内核

[root@localhost linux]# cp /boot/config-2.6.32-696.el6.x86_64 .config   <==拷贝当前系统的config编译配置文件为模板编译内核
[root@localhost linux]# make menuconfig
    Networking support ---> Networking Options ---> Network Packet filtering framework (Netfilter) --->Core Netfilter Configuration
    下的“layer 7”match support选为M
    Networking support ---> Networking Options ---> Network Packet filtering framework (Netfilter)---> Netfilter Configuration
    下除了proc/sysctrl compatibility with old connection tracking为空外,其余均为M

这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述

[root@localhost linux]# make
[root@localhost linux]# make modules_install
[root@localhost linux]# make install

编译过程非常耗时,可是使用make –j 4加速编译过程,视虚拟机或者物理机的硬件性能而定

3.重启系统,从新版内核启动
这里写图片描述

查看内核版本

[root@localhost ~]# uname -r
2.6.35.9

为iptables打补丁,并重新编译

1.卸载系统自带的iptables
在卸载之前,先把iptables的服务脚本和配置文件备份一下,这样编译安装新版本的iptables可以复制过来再略微修改下就能直接使用

[root@localhost ~]# cp /etc/rc.d/init.d/iptables /tmp
[root@localhost ~]# cp /etc/sysconfig/iptables-config /tmp
[root@localhost ~]# rpm -e iptables iptables-ipv6 --nodeps

2.为iptables打补丁

[root@localhost ~]# tar xf iptables-1.4.21.tar.bz2
[root@localhost ~]# cp netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/* iptables-1.4.21/extensions/

3.编译iptables并配置

[root@localhost ~]# cd iptables-1.4.21
[root@localhost iptables-1.4.21]# ./configure --prefix=/usr --with-ksource=/usr/src/linux    <==需要指定内核源码文件目录
[root@localhost iptables-1.4.21]# make && make install
[root@localhost ~]# iptables --version    <==查看iptables版本
iptables v1.4.21
[root@localhost ~]# which iptables    <==查看iptables路径,跟脚本文件的路径不一致,所以要修改脚本文件路径
/usr/sbin/iptables
[root@localhost ~]# cp /tmp/iptables-config /etc/sysconfig/
[root@localhost ~]# cp /tmp/iptables /etc/rc.d/init.d/
[root@localhost ~]# vim /iptables /etc/rc.d/init.d/iptables   <==修改脚本iptables路径

这里写图片描述

[root@localhost ~]# service iptables restart

4.为layer7模块提供其所识别的协议的特征码

[root@localhost ~]# tar xf l7-protocols-2009-05-28.tar.gz
[root@localhost ~]# cd l7-protocols-2009-05-28
[root@localhost l7-protocols-2009-05-28]# make install
mkdir -p /etc/l7-protocols
cp -R * /etc/l7-protocols

5.装载所需要的模块
使用layer7模块前,需要启用内核中的ACCT功能

[root@localhost ~]# vim /etc/sysctl.conf
net.netfilter.nf_conntrack_acct = 1
[root@localhost ~]# sysctl -p

注意:此内核参数需要装载了nf_conntrack模块后方能生效(一般都装载了)

测试

假设内网主机由服务器代理上网,为提高工作效率,禁止内网用户登录QQ

代理服务器:虚拟机,系统:CentOS 6.9 x64
10.1.1.20/24(eth0,网卡类型为桥接,可以访问网络),192.168.0.254/24(eth1,网卡类型为Vmnet2)

客户端:虚拟机,系统:Windows 7 x64
192.168.0.20/24(网卡类型为Vmnet2)

192.168.0.0/24网络在Vmnet2内

网络设置

代理服务器
这里写图片描述
网关和DNS均为10.1.1.1

客户端
这里写图片描述

代理服务器开启核心转发功能

[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p

设置代理服务器防火墙NAT规则,使客户端能访问网络

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 10.1.1.20

这里写图片描述

验证是否能上网
这里写图片描述
此时是可以登录的,下线QQ,代理服务器设置防火墙规则,禁用QQ

lay7模块的使用语法:

iptables <specify table & chain> -m layer7 --l7proto <protocol name> -j <action>

代理服务器设置规则禁用QQ

[root@localhost ~]# iptables -A FORWARD -m layer7 --l7proto qq -j REJECT

这里写图片描述

此时客户端无法登录QQ了(已登录的QQ不受影响,其它应用也不受影响)
这里写图片描述

再次查看iptables
这里写图片描述
已经有报文匹配到了

至此iptables基于layer7实现应用层过滤以实现,需要禁止其他程序,请自行添加相应规则,支持的程序在/etc/l7-protocols/protocols/目录下

这里写图片描述

独孤柯灵
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iptables-1.4.9.tar.bz2 layer7
12-29
redhat 6.2 编译iptables 加载 layer7 工具。安装步骤见 http://blog.csdn.net/ks520813/article/details/8449987
编译内核实现iptables防火墙layer7应用层过滤
04-15
介绍七层防火墙的原理与功能,怎么实现软件封堵的过程。
【linux基础】22、iptables layer7 实现七层应用过滤
weixin_33716154的博客
01-02 294
一、iptables layer7简介iptables layer7模块根据应用层协议对访问请求进行过滤 iptables工作于二,三,四层,本身不具备7层过滤功能,第三方开发者为iptables新增了layer7模块,能检测每一个报文的内部应用层协议是什么,并根据协议对请求进行过滤,但不支持对应用层协议的方法进行过滤。 需要对内核中的netfilter打layer7...
基于layer7应用层过滤配置解析
weixin_34293141的博客
04-17 350
前提介绍: 我们有时候在公司需要限制员工的上网,如:QQ、迅雷、MSN、P2P等一些比较常见的协议,那么如果要是简单的配置下,可以装一台Linux服务器,配置好防火墙策略及安装好l7(补丁包)的配合使用,做好安装之后,我们就可以配置规则来限制公司的员工上网限制,这里简单的介绍下,具体的还需要看文章中配置:一、安装包:netfilter-layer7-v2.22.tar....
Centos5.4下安装Layer7禁止QQ、MSN、p2p软件
bobo now~
11-06 208
Centos5.4下安装Layer7禁止QQ、MSN、p2p软件
iptables及使用layer7七层过滤
weixin_34072458的博客
09-19 109
一:简介 iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、 服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则...
070604iptables应用L71
08-08
编译新内核后,需要重新编译 iptables,并安装 Layer7 协议。最后,重启系统并更新 iptables 规则。通过这些步骤,可以实现 iptables 应用 L7 过滤器,并限制应用层协议。 Layer 7 过滤器的优点是可以对应用层协议...
Linux iptables Pocket Refrence
04-04
iptables operates at OSI Layer 3 (Network). For OSI Layer 2 (Link), there are other technologies such as ebtables (Ether- net Bridge Tables). See ...
linux iptables搭建及内核升级步骤
05-27
patch -p1 < /root/soft/netfilter-layer7-v2.17/iptables-for-kernel-2.6.20forward-layer7-2.13.patch chmod +x extensions/.layer7-test make KERNEL_DIR=/root/soft/linux-2.6.22 make IPTABLES_DIR=/usr/src/...
l7-protocols-2009-05-28.tar.gz layer7
08-20
layer7 l7-protocols-2009-05-28.tar.gz
iptables之7层过滤(封QQ、MSN、P2P等)
eydwyz的专栏
11-26 2380
简介   在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协
iptables-layer7的应用
weixin_34205076的博客
09-18 114
如果让iptables支持七层过滤,我们首先需要打补丁,编译内核等等。这需要耗费一些时间。网上也有许多这样的文章。这里就不作介绍。 编译内核时根据自己需要酌情添加模块。下面是我的案例需要添加的模块支持。 /配置内核时,在“Networking ---&gt; Networking Options ---&gt; Network Packet filteri...
iptableslayer7扩展
weixin_34309435的博客
06-20 97
L7-filter: 提供了更多的netfilter模块,可以基于应用层为iptables提供更多功能。类似的还有ipp2p。 注意:软件官网上表明支持的最新内核版本为2.6.x,已经好久没有更新了。3.x的内核未测试。 需要软件包: kernel-xxx.tar.gz 内核源码包 iptables-xxx.tar.bz2 ipt...
安装layer-7,封QQ等
weixin_34248705的博客
07-17 108
iptablesnetfilter [补丁包(ipp2p,iplimit,string,time)layer-7层补丁包,协议包内核编译时需要有TC流量控制,PPP等,网络协议,网卡驱动等。1.给netfilter/iptables 增加模块请参考版主的文章。2.下载iptables1.3,并解包至/usr/src/iptables-1.3.53.增加layer-7在官...
linux命令:编译安装iptables
weixin_34268610的博客
03-18 430
如何编译安装iptables实例:先卸载系统已经安装的iptables,卸载前需备份三个文档:iptables启动脚本,iptables-config配置文档,以及已经建立好的iptables规则文档[root@johntest ~]# cp /etc/init.d/iptables ~/iptables #复制iptables启动脚本[root@johntest ~]# ...
Linux里的防火墙(下):iptables的扩展模块——l7-filter的安装与功能实现
shinfocom
08-21 406
如果在公司里做网络管理员,老板可能会让你屏蔽掉qq和xunlei,那么如果通过iptables来实现这些功能? 首先,要知道qq和xunlei都是特定的服务,它们在传送数据的时候,必然会由一些特征值在数据中,那么我们的iptables如果想要拦截这些数据,就需要知道它们的数据特征值。而l7-filter就是为了这个目的而存在。(当然,不止qq和xunlei,很多协议它都支持) iptabl...
layer弹出层详解
Kevinvcc200的博客
01-22 9456
前言:学习layer弹出框,之前项目是用bootstrap模态框,后来改用layer弹出框,在文章的后面,我会分享项目的一些代码(我自己写的)。 layer至今仍作为layui的代表作,她的受众广泛并非偶然,而是这五年多的坚持,不断完善和维护、不断建设和提升社区服务,使得猿们纷纷自发传播,乃至于成为今天的Layui最强劲的源动力。目前,layer已成为国内最多人使用的web弹层组件,GitHub...
iptables之NAT设置
最新发布
06-01
iptables可以通过NAT(Network Address Translation)技术实现网络地址转换,主要包括源地址转换(SNAT)和目标地址转换(DNAT)。SNAT将源IP地址替换为另一个IP地址,而DNAT将目标IP地址替换为另一个IP地址。 下面是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值