iptables
netfilter [补丁包(ipp2p,iplimit,string,time)
layer-7层补丁包,协议包
内核编译时需要有TC流量控制,PPP等, 网络协议,网卡驱动等。
1.给netfilter/iptables 增加 模块请参考版主的文章。
2. 下载iptables1.3,并解包至
/ usr/src/iptables-1.3.5
3.增加layer-7
在官网下载:
http://l7-filter.sourceforge.net/
解包:
tar -jxvf  netfilter-layer7-v2.2.tar.gz
tar -jxvf l7-protocols-2006-06-03.tar.gz
cd /usr/src/ linux-2.4
patch -p1 < /root/netfilter-layer7-v2.2/ kernel-2.4-layer7-2.2.patch
cd /usr/src/iptables-1.3.5
patch -p1 < /root/netfilter-layer7-v2.2/iptables-layer7-2.2.patch
cd /root/l7-protocols-2006-06-03
make install
实际上它在/etc下创建个目录,然后把所有 文件拷贝过去了。并没有编译安装什么的。
然后编译内核,模组。并make install
重启 系统
service iptables stop
cd /usr/src/iptables-1.3.5
chmod +x extensions/.layer7-test
然后编译iptables
make KERNEL_DIR=/usr/src/linux-2.4
make install KERNEL_DIR=/usr/src/linux-2.4
重启系统后,iptables 即为新版本1.3.5,并能应用新加的模块。
测试下:
iptables -A FORWARD -m layer7 --l7proto ftp -j ACCEPT
iptables -A FORWARD -p tcp -m ipp2p --edk --kazzaa --bit -j DROP
iptables -p tcp -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

封QQ:
iptables -I FORWARD -m layer7 --l7proto qq -j DROP
可以封住非会员QQ,不能封住会员QQ,呵呵,用 手机申请了个会员QQ。
会员QQ在我的机器上测试地址。
在win2000下用netstat -a 查看:
TCP    xiongyi:2342           Smtpbg3.qq.com:12000   TIME_WAIT
使用:
iptables -I FORWARD -d Smtpbg3.qq.com -j DROP
封住上面的地址后,会员QQ也登录不了。