linux2.6.32 layer7,Iptables之七层过滤模块(六)

最新推荐文章于 2022-11-02 17:18:23 发布
最新推荐文章于 2022-11-02 17:18:23 发布
阅读量322 收藏
点赞数
文章标签: linux2.6.32 layer7

Layer7模块介绍

在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协议。

L7 filter是基于数据流工作的,建立在Netfilter connstrack功能之上。因为一个数据流或者说一个连接的所有数据都是属于同一个应用的,所以L7 filter没有必要对所以的数据包进行模式匹配,而只匹配一个流的前面几个数据包 (比如10个数据包)。当一个流的前面几个数据包包含了某种应用层协议的特征码时 (比如QQ),则这个数据流被L7 filter识别;当前面几个数据包的内容没有包含某种应用层协议的特征码时,则L7 filter放弃继续做模式匹配,这个数据流也就没有办法被识别,L7 filter所支持的协议可以去这个网址查看http://l7-filter.sourceforge.net/protocols

7层过滤首先需要内核支持,但是遗憾的是Centos内核中并没有layer7的模块。在Layer7官方测试中,内核版本2.6.28都是经过官方测试可用的(Centos5系列使用的是2.6.28)。在Centos6中使用的内核是2.6.32版本的,接下来我们使用Centos6去测试Layer7这个模块。具体对模块的测试可以去这个网址可以查看http://l7-filter.sourceforge.net/kernelcompat

PS:安装前可以查看一下/boot目录和grup.conf文件状态,然后比较跟安装后有什么变化。

Centos6.4实现Iptables七层过滤

一、下载需要的软件包(要注意版本)

kernel-2.6.32-431.5.1.el6.src.rpm

netfilter-layer7-v2.23.tar.gz

l7-protocols-2009-05-28.tar.gz

iptables-1.4.21.tar.gz

1

2

3

4

kernel-2.6.32-431.5.1.el6.src.rpm

netfilter-layer7-v2.23.tar.gz

l7-protocols-2009-05-28.tar.gz

iptables-1.4.21.tar.gz

二、内核打Netfilter补丁

$ date 112414442015

$ tar xvf netfilter-layer7-v2.23.tar.gz -C /usr/src

$ useradd mockbuild

$ rpm -ihv kernel-2.6.32-431.5.1.el6.src.rpm

$ cd rpmbuild/SOURCES/

$ tar xvf linux-2.6.32-431.5.1.el6.tar.bz2 -C /usr/src/

$ ln -sv /usr/src/linux-2.6.32-431.5.1.el6 /usr/src/linux

$ cd /usr/src/linux

$ patch -p1 < ../netfilter-layer7-v2.23/kernel-2.6.32-layer7-2.23.patch

1

2

3

4

5

6

7

8

9

$date112414442015

$tarxvfnetfilter-layer7-v2.23.tar.gz-C/usr/src

$useraddmockbuild

$rpm-ihvkernel-2.6.32-431.5.1.el6.src.rpm

$cdrpmbuild/SOURCES/

$tarxvflinux-2.6.32-431.5.1.el6.tar.bz2-C/usr/src/

$ln-sv/usr/src/linux-2.6.32-431.5.1.el6/usr/src/linux

$cd/usr/src/linux

$patch-p1<..>

三、内核配置安装

# 复制2.6.32内核自带的.config文件拿来修改即可,以免出错.

$ cp /boot/config-2.6.32-431.el6.x86_64 /usr/src/linux/.config

# 在菜单模式开始编译前配置内核,需要做以下配置.

$ make menuconfig

1

2

3

4

5

# 复制2.6.32内核自带的.config文件拿来修改即可,以免出错.

$cp/boot/config-2.6.32-431.el6.x86_64/usr/src/linux/.config

# 在菜单模式开始编译前配置内核,需要做以下配置.

$makemenuconfig

1)取消模块签名认证

选择[*]  Enable loadable module support —> 取消[ ] Module signature verification (EXPERIMENTAL)

选择-*- Cryptographic API  —> 取消[ ] In-kernel signature checker (EXPERIMENTAL)

2)查看IPV4(IPV6)要支持以下功能

-*- Networking support  —>   Networking options  —>  [*] Network packet filtering framework (Netfilter)  —>  IP: Netfilter Configuration  —>   IPv4 connection tracking support (required for NAT)

   Full NAT

     MASQUERADE target support

     NETMAP target support

     REDIRECT target support

-*- Networking support  —>   Networking options  —>  [*] Network packet filtering framework (Netfilter)  —>  IPv6: Netfilter Configuration

3)开启layer7模块

-*- Networking support  —>   Networking options  —>  [*] Network packet filtering framework (Netfilter)  —>  Core Netfilter Configuration

  Netfilter connection tracking support

  “layer7” match support

  “string” match support

  “time”  match support

  “iprange”  match support

  “connlimit”  match support

  “state”  match support

  “conntrack”  connection  match support

  “mac”  address  match support

  “multiport” Multiple port match support

4)给内核起一个命令便于识别

General setup  —>  (-2.6.28.ywnds) Local version – append to kernel release

d626bc8776b9dde91a23a970ff3b72b4.png

四、内核开始编译安装

# 编译整个内核模块.

$ make

# 先安装模块.

$ make modules_install

# 再安装内核.

$ make install

1

2

3

4

5

6

7

8

# 编译整个内核模块.

$make

# 先安装模块.

$makemodules_install

# 再安装内核.

$makeinstall

五、卸载原有Iptables

$ cp /etc/init.d/iptables ~/iptables

$ cp /etc/sysconfig/iptables-config ~/iptables-config

# 备份服务脚本,脚本配置文件,规则表.

$ cp /etc/sysconfig/iptables ~/iptables-rule

# 卸载现有的iptables(如果有iptstate包也要卸载).

$ rpm -ve iptables-ipv6 iptables --nodeps

1

2

3

4

5

6

7

$cp/etc/init.d/iptables~/iptables

$cp/etc/sysconfig/iptables-config~/iptables-config

# 备份服务脚本,脚本配置文件,规则表.

$cp/etc/sysconfig/iptables~/iptables-rule

# 卸载现有的iptables(如果有iptstate包也要卸载).

$rpm-veiptables-ipv6iptables--nodeps

六、重启系统

e8e1c65f5575a427c626e7584bb8b695.png

PS:重启系统默认就会应用新的内核,主要是因为内核安装完之后,就会在/boot目录和grup.conf文件中添加相应的设置,如下:

5dc3df2cd402c5fc289bcf97f38d2501.png

66b6c6f90554dc00589204c07781e980.png

七、安装新Iptables

$ tar xvf iptables-1.4.21.tar.bz2 -C /usr/src/

$ cd /usr/src/iptables-1.4.21

# 复制layer7头文件和帮助文件到Iptables目录下(使iptbales能够支持layer7)

$ cp /usr/src/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.* ./extensions/

# 编译安装

$ ./configure --prefix=/usr --with-ksource=/usr/src/linux

$ make && make install

# 恢复脚本,脚本配置文件以及规则表.

$ cp /root/iptables /etc/rc.d/init.d/

$ cp /root/iptables-config /etc/sysconfig/

# 启动服务.

$ ln -sv /usr/sbin/iptables /sbin/iptables

$ chkconfig --add iptables

$ service iptables start

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

$tarxvfiptables-1.4.21.tar.bz2-C/usr/src/

$cd/usr/src/iptables-1.4.21

# 复制layer7头文件和帮助文件到Iptables目录下(使iptbales能够支持layer7)

$cp/usr/src/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.*./extensions/

# 编译安装

$./configure--prefix=/usr--with-ksource=/usr/src/linux

$make&&makeinstall

# 恢复脚本,脚本配置文件以及规则表.

$cp/root/iptables/etc/rc.d/init.d/

$cp/root/iptables-config/etc/sysconfig/

# 启动服务.

$ln-sv/usr/sbin/iptables/sbin/iptables

$chkconfig--addiptables

$serviceiptablesstart

八、安装协议特征包l7-protocol-2009

$ tar xvf l7-protocols-2009-05-28.tar.gz -C /usr/src

$ cd /usr/src/l7-protocols-2009-05-28/

$ make install

$ mkdir -p /etc/l7-protocols

$ cp -R * /etc/l7-protocols

$ service iptables restart

$ ls /etc/l7-protocols/protocols/

#此目录下保存的都是7层过滤支持的所有协议

1

2

3

4

5

6

7

8

$tarxvfl7-protocols-2009-05-28.tar.gz-C/usr/src

$cd/usr/src/l7-protocols-2009-05-28/

$makeinstall

$mkdir-p/etc/l7-protocols

$cp-R */etc/l7-protocols

$serviceiptablesrestart

$ls/etc/l7-protocols/protocols/

#此目录下保存的都是7层过滤支持的所有协议

九、验证七层过滤QQ

# 查看版本.

$ iptables -V

iptables v1.4.21

# 查看帮助.

$ iptables -m layer7 --help

1

2

3

4

5

6

# 查看版本.

$iptables-V

iptablesv1.4.21

# 查看帮助.

$iptables-mlayer7--help

1.开启iptables路由转发功能.

$ sysctl -w net.ipv4.ip_forward=1

1

$sysctl-wnet.ipv4.ip_forward=1

2.设置SNAT(固定公网IP).

$ iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 192.168.60.10

1

$iptables-tnat-APOSTROUTING-s192.168.10.0/24-jSNAT--to-source192.168.60.10

3.不允许转发QQ协议.

$ iptables -A FORWARD -s 192.1681.10.0/24 -m layer7 --l7proto qq -j DROP

1

$iptables-AFORWARD-s192.1681.10.0/24-mlayer7--l7protoqq-jDROP

4.控制QQ可以使用的时间.

$ iptables -A FORWARD -s 192.168.10.0/24 -m layer7 --l7proto qq -m time --timestart 08:00:00 --timestop 12:00:00 -j DROP

1

$iptables-AFORWARD-s192.168.10.0/24-mlayer7--l7protoqq-mtime--timestart08:00:00--timestop12:00:00-jDROP

如果您觉得本站对你有帮助,那么可以支付宝扫码捐助以帮助本站更好地发展,在此谢过。

图院长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptableslayer7
独孤柯灵的博客
11-25 2909
iptableslayer7
centos6.5下系统编译定制iptables防火墙扩展layer7应用层访问控制功能及应用限制QQ2016上网...
reblue520的专栏
03-03 250
iptables防火墙扩展之layer7应用层访问控制 概述: iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ、迅雷等)安装netfilter-layer7补丁包的作用是为Linux内核、ip...
Netfilter/Iptables Layer7 应用层过滤策略部署
weixin_33739646的博客
11-22 257
Netfilter/Iptables Layer7 应用层过滤策略部署环境:内核版本:Linux version 2.6.32-431.el6.x86_64 iptables版本:iptables v1.4.7 gcc版本:4.6.1软件准备:wget http://download.clearfoundation.com/l7-filter/netfilt...
基于layer7应用层过滤配置解析
weixin_34293141的博客
04-17 346
前提介绍: 我们有时候在公司需要限制员工的上网,如:QQ、迅雷、MSN、P2P等一些比较常见的协议,那么如果要是简单的配置下,可以装一台Linux服务器,配置好防火墙策略及安装好l7(补丁包)的配合使用,做好安装之后,我们就可以配置规则来限制公司的员工上网限制,这里简单的介绍下,具体的还需要看文章中配置:一、安装包:netfilter-layer7-v2.22.tar....
Gentoo 安装日记 13 (配置内核 :可执行文件安格式和网络)
weixin_30553777的博客
04-02 163
接:http://nvd11.blog.163.com/blog/static/20001831220127254852277/Executable file formats / Emulations ---> [*] Kernel support for ELF binaries //ELF是开放平台下最常用的二进制文件格式,支持动态连接, 支持不同的硬件平台.除非你...
linux-2.6.32.tar.gz
06-30
Linux内核详解:聚焦2.6.32版本》 在开源软件的世界里,Linux内核无疑是最为耀眼的一颗星。它以其强大的稳定性和灵活性,被广泛应用于各种操作系统和设备之中。当我们谈论"linux-2.6.32.tar.gz"时,我们实际上是...
linux2.6.32 内核纯净版
12-14
这个是linux2.6.32内核源码,没有做任何修改。可以放心下载。
spi.rar_linux2.6.32 spi_site:www.pudn.com_spi_友善之臂T4 spi
09-23
Linux内核中,SPI驱动程序通常分为两部分:核心层(core layer)和设备驱动层(device driver layer)。核心层提供通用的SPI总线管理,包括时钟配置、片选管理和传输调度等。设备驱动层则针对特定的SPI设备编写,...
linux2.6.32exp
08-29
Linux 2.6.32 是一个历史悠久的Linux内核版本,发布于2009年11月,由Linux之父Linus Torvalds主导。这个版本在Linux内核的发展历程中扮演了重要的角色,引入了许多新特性、优化和改进,提升了系统的稳定性和性能。...
linux-2.6.32 kdb补丁 修改编译错误
05-02
Linux内核是操作系统的核心部分,负责管理系统的进程、内存、设备驱动、文件系统以及网络等。在2.6.32版本中,内核调试工具KDB(Kernel Debugger)是用于对内核进行动态调试的重要组件。KDB允许开发者在内核运行时...
l7-protocols-2009-05-28.tar.gz layer7
08-20
layer7 l7-protocols-2009-05-28.tar.gz
RHEL4升级2.6.19内核+L7补丁彻底封QQ,MSN
weixin_34143774的博客
03-20 161
前言:          通常有众多Boss级人物会要求你封锁公司的QQ,msn通信,哪个心里是一百个不愿意啊,现实就是现实     冒着被公司众JJMMDD吐口水的危险你也不得不干啊,说干就干不废话ing了。 主要目的彻底封锁QQ,MSN通信 流程: 打上layer-7补丁 升级内核至2.6.19.7 升级iptables至1.3.7 适用环境:透过NAT共享上网的...
编译内核让netfilter支持过滤layer7应用层协议
weixin_33709609的博客
11-02 269
netfilter/layer7默认情况下,netfilter只能过滤二、三、四层的数据,但是对于应用层的数据(比如qq,迅雷视频等等)是无法过滤掉的。我们又知道netfilter是工作在内核当中的,因此要让netfilter支持过滤layer7应用层协议的数据必须要重新编译内核。由于iptables是规则编辑工具,因此也要重新编译iptables让其能够支持对layer7应...
Linux流负载均衡中Layer7的数据流(连接跟踪)识别问题
Netfilter
02-08 7604
1.支持Layer7的nf_conntrack真的没有必要做走火入魔之后,你会觉得需要赶紧将“基于五元组的数据流”改成“基于应用层协议固定偏移的数据流”,赶紧动手,越快越好!于是此人在支持zone conntrack的Linux 3.17内核上为nf_conn增加了几个字段:bool l7; //布尔型,表示是否要进行layer7的匹配。u32 offset; //应用层流标识的偏移u32 off
[转载]linux iptables layer7 模块 中文howto
weixin_34376562的博客
09-14 99
linux iptables layer7 模块 中文howto 线  linux iptables layer7 模块 中文howto axburst 于 2005年 03月02日 发表 这两天在研究iptables layer7的文档,窃以为这个模块会弥补iptables在应用层控制方面的一些短处,今天闲来无事,恰巧一位故人也提到了layer7这个东西,干脆花了大半天的时间...
Layer7 - soa相关解决方案
纸上得来终觉浅,绝知此事要躬行
09-16 419
这个公司在soa、xml相关领域的产品好强啊,关注
卷积核(kernel)和过滤器(filter)的区分
最新发布
l_kiki_l的博客
11-02 1767
卷积核(kernel)和过滤器(filter)的区分
linux2.6.32 layer7,为iptables增加layer7补丁(Linux2.6.25内核
weixin_42342626的博客
05-16 96
iptables增加layer7补丁(Linux 2.6.25内核) ################################################################系统环境:RHEL5 [ 2.6.18 -8.el5xen ]软件环境:http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.25.19.tar....
定制linux内核(linux2.6.32)汇编.pdf
11-05
本文主要介绍了定制 Linux 内核( linux-2.6.32)的过程。虽然 Linux 内核看似庞大复杂,但对于初学者和应用开发者来说,并不需要一开始就深入研究内核代码之中。熟练掌握配置内核的常用选项,并成功编译内核并下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值