文档章节

centos 6 上安装l7 filter尝试过滤xunlei

hiwill
 hiwill
发布于 2015/11/13 17:26
字数 672
阅读 759
收藏 3
点赞 0
评论 0

平台:Centos 6 x86_64,默认内核版本2.6.34
1,准备
yum update -y
yum install -y ncurses-devel gcc make bc wget patch grub
2,下载相关安装包
wget http://download.clearfoundation.com/l7-filter/netfilter-layer7-v2.23.tar.gz
wget http://download.clearfoundation.com/l7-filter/l7-protocols-2009-05-28.tar.gz
wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.21.tar.bz2
wget https://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.35.8.tar.gz
3,编译新内核
tar xvf linux-2.6.35.8.tar.gz -C /usr/src
tar xvf netfilter-layer7-v2.23.tar.gz
cd /usr/src
ln -s linux-2.6.35.8 linux
cd linux
patch -p1 < /root/netfilter-layer7-v2.23/kernel-2.6.35-layer7-2.23.patch
zcat /proc/config.gz > .config
make oldconfig   #自选提示的新功能和驱动
make menuconfig    #需要增加的编译模块
Networking support → Networking Options → Network packet filtering framework → Core Netfilter Configuration
<M>  Netfilter connection tracking support
<M>  "connlimit"  match support
<M>  "conntrack"  connection  match support
<M>  "iprange"  match support
<M>  "mac"  address  match support
<M>  "multiport" Multiple port match support
<M>  "state"  match support
<M>  "layer7" match support
<M>  "string" match support
<M>  "time"  match support
Networking support → Networking Options →Network packet filtering framework → IP Netfilter Configuration
<M> IPv4 connection tracking support (required for NAT)
<M> Full NAT
<M> MASQUERADE target support
<M> NETMAP target support                            
<M> REDIRECT target support
sed -i 's/# CONFIG_SYSFS_DEPRECATED_V2 is not set/CONFIG_SYSFS_DEPRECATED_V2=y/' .config
make CONFIG_DEBUG_SECTION_MISMATCH=y 
make -j3 bzImage
make -j3 modules
make
make modules_install
make install    #出现‘Cannot find LILO.’不用管它,系统没装也不会用LILO,而且已生成/boot/vmlinuz文件
mv /boot/vmlinuz /boot/vmlinuz-2.6.35 
mkinitrd -o initrd-2.6.35.img
cd /boot
mv initramfs-2.6.34-x86_64-linode14.img initrd-2.6.35.img (实际上还是用原系统镜像启动滴)
vi /boot/grub/menu.lst
default 0
timeout 5
title           Custom Compiled, kernel 2.6.35
root            (hd0)
kernel          /boot/vmlinuz-2.6.35 root=/dev/xvda ro quite
initrd          /boot/initrd-2.6.35.img
linode manager里对profile修改kernel为pv-grub-x86_64
重启后验证
uname -a
4,安装iptables
cp /etc/init.d/iptables /tmp/
cp /etc/sysconfig/iptables-config /tmp/
rpm -e iptables-ipv6 iptables --nodeps
tar xvf iptables-1.4.21.tar.bz2
cp /root/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.* /root/iptables-1.4.21/extensions/
cd iptables-1.4.21
./configure --prefix=/usr --with-ksource=/usr/src/linux   #提示Iptables modules that will not be built:  connlabel不知道是否有关系,先忽略
make 
make install
mv /tmp/iptables-config /etc/sysconfig/ 
mv /tmp/iptables /etc/rc.d/init.d/
vi /etc/init.d/iptables
修改路径如下
if [ ! -x /usr/sbin/$IPTABLES ]; then
    echo -n $"${IPTABLES}:/usr/sbin/$IPTABLES does not exist."; warning; echo
    exit 5
fi
在   for i in $tables; do
        echo -n "$i "
        case "$i" in
加入以下内容------------------
            security)
                $IPTABLES -t filter -P INPUT $policy \
                    && $IPTABLES -t filter -P OUTPUT $policy \
                    && $IPTABLES -t filter -P FORWARD $policy \
                    || let ret+=1
                ;;
分界线  ------------------
            raw)
service iptables restart
iptables -V  #查看版本是否正确
5,安装协议特征包:
tar xvf l7-protocols-2009-05-28.tar.gz 
cd l7-protocols-2009-05-28
make install 
可查看支持的部分协议:
ls protocols/
6,设置iptables规则
iptables -t mangle -I POSTROUTING -m layer7 --l7proto xunlei -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP
7,经过测试也不行。找到一个网友的话说:禁止是没有用的,而人类是灵动的,总有人会绕过或者突破禁忌!
看来只有限速了。。

© 著作权归作者所有

共有 人打赏支持
hiwill
粉丝 11
博文 113
码字总数 70253
作品 0
朝阳
debian 6上安装l7 filter在应用层禁用xunlei

平台:debian 6 x86_64,在linode里选择内核版本2.6.28,l7 filter官网说改版本内核可用 1,准备环境 apt-get update apt-get upgrade -y apt-get install -y build-essential libncurses5-d......

hiwill ⋅ 2015/11/13 ⋅ 0

Iptables+layer7+squid的应用

Iptables+layer7+squid的应用 一、iptables+layer7+squid简介 (1)Iptables是网络层防火墙 ,主要用于网络层、传输层的过滤,对应用层的过滤较少,但是支持的应用比较多,如NAT转换 (2)L...

天涯悠客 ⋅ 2014/07/08 ⋅ 0

iptables模块添加--七层过滤、防CC、DDOS

#!/bin/bash # BY kerryhu # QQ:263205768 # MAIL:king_819@163.com # BLOG:http://kerry.blog.51cto.com IPT=/sbin/iptables /* 当前系统版本centos5.3,内核版本2.6.18-128.el5,对现有系统......

刘赤龙 ⋅ 2010/06/08 ⋅ 0

Netfilter/Iptables Layer7 应用层过滤策略

Netfilter/Iptables Layer7 应用层过滤策略 Netfilter/Iptables 作为一个典型的包过滤防火墙体系,对于网络层,传输层的数据包过滤具有非常优秀的性能和效率,然而,对于一些面向局域网上网用...

crushlinux ⋅ 2014/12/11 ⋅ 0

iptables从入门到精通

一.主要知识点: Iptables表链结构 数据包过滤流程 Iptables书写规则 Iptables条件匹配 Iptables数据包控制 Iptables七层过滤 Iptables脚本 二.具体的知识点介绍 1. Iptables表链结构 1)默...

gehailong ⋅ 2011/07/14 ⋅ 0

云计算资料分享(要的马上进来)

在网上搜集到了三套关于大数据云计算的教程资料,虽然不是很全面,但是总比没有的好,需要的朋友赶紧下载吧。 《基于Saas的云计算工作流中间件与大型企业管理云开发实战(及Paas平台下多系统生...

幻影1234 ⋅ 2013/04/02 ⋅ 8

Highly Available L7 Load Balancing for Exchange 2013 with HAProxy – Par

Highly Available L7 Load Balancing for Exchange 2013 with HAProxy – Part 1 Highly Available L7 Load Balancing for Exchange 2013 with HAProxy – Part 1 - Introduction and lab de......

阿卡 ⋅ 2016/10/24 ⋅ 0

CentOS 7 linux安装迅雷Xware实现远程下载

点击上方“程序人生”,选择“置顶公众号” 第一时间关注程序猿(媛)身边的故事 大家可以想象一个这样的场景,上班的时候听同事介绍了一个很好看的片子,找到资源后,直接通过远程迅雷下载,...

csdnsevenn ⋅ 05/13 ⋅ 0

如何在Quagga BGP路由器中设置IPv6的BGP对等体和过滤

在本教程中,我们会向你演示如何创建IPv6 BGP对等体并通过BGP通告IPv6前缀。同时我们也将演示如何使用前缀列表和路由映射特性来过滤通告的或者获取到的IPv6前缀。 拓扑 服务供应商A和B希望在...

酱醋茶丶 ⋅ 2015/10/23 ⋅ 0

centos 搭建openfire 结合ldap

1.先确定linux自带的jdk是否安装,卸载安装的 java --sersion 查看java版本信息 rpm -qa |grep java 查找已经安装的java 如果有则使用rpm -e --nodeps 卸载 rpm -qa |grep gcj rpm -qa |gre...

xucaibao1979 ⋅ 2017/10/20 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring | IOC AOP 注解 简单使用

写在前面的话 很久没更新笔记了,有人会抱怨:小冯啊,你是不是在偷懒啊,没有学习了。老哥,真的冤枉:我觉得我自己很菜,还在努力学习呢,正在学习Vue.js做管理系统呢。即便这样,我还是不...

Wenyi_Feng ⋅ 今天 ⋅ 0

博客迁移到 https://www.jianshu.com/u/aa501451a235

博客迁移到 https://www.jianshu.com/u/aa501451a235 本博客不再更新

为为02 ⋅ 今天 ⋅ 0

win10怎么彻底关闭自动更新

win10自带的更新每天都很多,每一次下载都要占用大量网络,而且安装要等得时间也蛮久的。 工具/原料 Win10 方法/步骤 单击左下角开始菜单点击设置图标进入设置界面 在设置窗口中输入“服务”...

阿K1225 ⋅ 今天 ⋅ 0

Elasticsearch 6.3.0 SQL功能使用案例分享

The best elasticsearch highlevel java rest api-----bboss Elasticsearch 6.3.0 官方新推出的SQL检索插件非常不错,本文一个实际案例来介绍其使用方法。 1.代码中的sql检索 @Testpu...

bboss ⋅ 今天 ⋅ 0

informix数据库在linux中的安装以及用java/c/c++访问

一、安装前准备 安装JDK(略) 到IBM官网上下载informix软件:iif.12.10.FC9DE.linux-x86_64.tar放在某个大家都可以访问的目录比如:/mypkg,并解压到该目录下。 我也放到了百度云和天翼云上...

wangxuwei ⋅ 今天 ⋅ 0

PHP语言系统ZBLOG或许无法重现月光博客的闪耀历史[图]

最近在写博客,希望通过自己努力打造一个优秀的教育类主题博客,名动江湖,但是问题来了,现在写博客还有前途吗?面对强大的自媒体站点围剿,还有信心和可能型吗? 至于程序部分,我选择了P...

原创小博客 ⋅ 今天 ⋅ 0

IntelliJ IDEA 2018.1新特性

工欲善其事必先利其器,如果有一款IDE可以让你更高效地专注于开发以及源码阅读,为什么不试一试? 本文转载自:netty技术内幕 3月27日,jetbrains正式发布期待已久的IntelliJ IDEA 2018.1,再...

Romane ⋅ 今天 ⋅ 0

浅谈设计模式之工厂模式

工厂模式(Factory Pattern)是 Java 中最常用的设计模式之一。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 在工厂模式中,我们在创建对象时不会对客户端暴露创建逻...

佛系程序猿灬 ⋅ 今天 ⋅ 0

Dockerfile基础命令总结

FROM 指定使用的基础base image FROM scratch # 制作base image ,不使用任何基础imageFROM centos # 使用base imageFROM ubuntu:14.04 尽量使用官方的base image,为了安全 LABEL 描述作...

ExtreU ⋅ 昨天 ⋅ 0

存储,对比私有云和公有云的不同

导读 说起公共存储,很难不与后网络公司时代的选择性外包联系起来,但尽管如此,它还是具备着简单和固有的可用性。公共存储的名字听起来也缺乏专有性,很像是把东西直接堆放在那里而不会得到...

问题终结者 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部