在前面的几遍文章中我学习了Linux防火墙iptables,大家也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)
安装netfilter-layer7补丁包的作用
通过为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。
通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义,香港服务器,便于更新。
整体实施过程
用于定位功能项,菜单项。
菜单项<Select>,<Exit>,<Help>。
空格键用于选择配置内型。
[ ]:空选型表示不需要再新内核中使用该功能。
[M]:表示将此项功能编译为模块,香港虚拟主机,以便在需要时加载。
[*]:将此功能直接编入新内核,作为内核的一部分。
如下:进入内核后选择“1”所在的选择,直接回车进入。
安装l7-protocols协议包
此时整个环境算是搭建完成了,现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。
设置使用应用层过滤规则
layer7应用层协议匹配
匹配格式:-m layer7 –l7proto 协议名
协议定义文件位于:/etc/l7-protocols/protocols
支持以下常见应用层协议过滤
规则实例:过滤使用QQ协议的转发数据包
[root@localhost /]#iptables -A FORWARD -m layer7 –l7proto qq -j DROP
除了上述的针对应用层协议过滤之外,还支持一下过滤方式。
根据时间过滤
匹配格式:-m time –timestart 起始时间 –timestop 结束时间 –weekdays 每周的那些天
时间以24小时制表示,列如早9:00 晚18:00
每周的那些以对应的英文缩写表示,列如:周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun
根据并发连接数过滤
匹配格式:-m connlimit –connlimit-above 上限数
根据字符串过滤
匹配格式:-m string –string “字符串” –algo
algo是一种算法(算法指的是用于比对数据包字符串的特定方法),可以为bm或kmp,其中任意即可。
本文出自 “初始化” 博客,请务必保留此出处
数最亮的星。如果有可能,我带你去远行。
