使用 l7-filter ??? P2P 或即?通???
因? l7-filter 只是 iptables 的子系?, ?在 iptables 的功能上作延伸, 因此封包??的方法和原本的 iptables ??有太大的不同。
7-filter 的?法格式
l7-filter 的?法? iptables ?似, 在使用上差不多, 其格式大致如下:
iptables -t mangle -I POSTROUTING -m layer7 --l7proto http -j DROP
─┬── ───┬──── ──┬── ───┬───
使用 mangle 表格 │ 符合 Layer 7 的封包 │
使用 POSTROUTING ? Layer 7 封包的通??定
其中比?需要注意的只有 --l7proto ??後面所使用的 Layer 7 封包通??定,
它就是我?所要阻?的封包?型。至於如何知道?填哪些名?, 可由我?所安?的 l7-filter ?式?得知。???
/etc/l7-protocols 目?下的 file_types、 protocols、weakpatterns、extra 及
malware 子目?下附?名? pat 的?案, 它?就是 l7-filter 的?式?。?面有??的?明,
告?您???式?可以??哪些?型?路??的封包, 以及它的????。而 --l7proto ??後面?需填?式?的名?即可 (不含附?名)。
以下是?者所??的 msnmessenger.pat ?, 您只要? --l7proto http ?成 --l7proto
msnmessenger 即可阻? MSN。?者?? /etc/l7-protocols/protocols/msnmessenger.pat
?的?容如下:
# MSN Messenger - Microsoft Network chat client
↑由?明可知是阻? MSN 的?式?
# Pattern quality: good Messenger
#
# Usually uses port 1863
#
#
# This pattern has been tested and is believed to work well.
# If it does not work for you, or you believe it could be
# improved, please
# post to l7-filter-developers@lists.sf.net . This list may be
# subscribed to at
#
# developers
msnmessenger
# ver: allow versions up to 99.
# usr (in case ver didn't work):
^(ver [0-9]+ msnp[1-9][0-9]? [\x09-\0d -~]* cvr|usr md5 i [ -~]*)
↑符合的封包字串
??常?的即?通???
常?的即?通???有 MSN Messenger、Yahoo Messenger 和 ICQ, 若要?下?些??, 所需要用到的
l7-filter ?式?有 /etc/l7-protocols/protocols/ 目?下的
msnmessenger.pat、yahoo.pat ? aim.pat。其中因? ICQ 已??? AOL (American
online), 所以亦叫 AIM (AOL instant messenger)。
知道要使用哪些 l7-filter ?式?之後, iptables 的?法如下:
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto msnmessenger -j DROP
↑阻? MSN Messenger
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto yahoo -j DROP
↑阻? Yahoo Messenger
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto aim -j DROP
↑阻? ICQ
?定好後, 可如下??:
[root@free ~]# iptables -t mangle -L POSTROUTING
↑?? mangle 表格的 POSTROUTING ?
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto aim
DROP all -- anywhere anywhere LAYER7 l7proto yahoo
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger
↑阻?常?的即?通???
此後,只要使用者??即?通????, 就????法?上?路:
??常?的 P2P ??
常?的 P2P ??有 eMule、eDonkey、Kazaa ? Bittorrent...等, 要??些??需要用到的 l7-filter
?式?有 /etc/l7-protocols/protocols 目?下的 bittorrent.pat ? fasttrack.pat 和
/etc/l7-protocols/weakpatterns 目?下的 edonkey.pat ?。
其中 bittorrent.pat 可以阻?所有使用 bittorrent 通??定的??, 如 ABC、Bitcomet
...等。fasttrack.pat 可以阻? kazaa。edonkey.pat 可以阻?所有使用 eDonkey 通??定的??, 如
eDonkey ? eMule... 等。
?定方式如下:
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto bittorrent -j DROP ←阻? bittorrent 通??定
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto fasttrack -j DROP ←阻? kazaa
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto edonkey -j DROP ←阻? eDonkey
?? mangle 表格的 POSTROUTING ?:
[root@free ~]# iptables -t mangle -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto edonkey
DROP all -- anywhere anywhere LAYER7 l7proto fasttrack
DROP all -- anywhere anywhere LAYER7 l7proto bittorrent
DROP all -- anywhere anywhere LAYER7 l7proto aim
DROP all -- anywhere anywhere LAYER7 l7proto yahoo
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger
?? P2P ??使用???生????,日後也不能使用了。
l7-filter ?可以??很多的封包, 比方?可以限制?? jpg 或 gif 格式的??。?然?有其他更多的功能, 您可以自行?? /etc/l7-protocols/ 目?下的 l7-filter ?式?的?明以取得相???
#!/bin/sh
#
modprobe ppp_mppe_mppc
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -t mangle -F
###########################INPUT键###################################
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#让已建立或者是与主机有关的回应包通过
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
#允许内网samba,smtp,pop3,连接
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#设置icmp阔值 ,并对攻击者记录在案
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#内网转发
iptables -t mangle -I POSTROUTING -m layer7 --l7proto bittorrent -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto fasttrack -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypeout -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypetoskype -j DROP
#上面几句你用心看第一个转贴你会看得懂,我希望有大牛可以在这里玩出更多的花#样,比如可以禁止某种格式的档案通过,比如可以像string一样,比如你开发的..比如你#想像的..比如
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量
#######################FORWARD链###########################
iptables -P FORWARD DROP
iptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#按时间放行qq
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
#允许 vpn客户走vpn网络连接外网
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接(有点重复,因为上面的layer7已经可以很好的禁止了现在不管什么bt都 #完蛋了
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP
#只允许每组ip同时15个80端口转发
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>;/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>;/dev/null
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行!
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
这几句封bt的规则管用
要内核支持,如果这些模块你在编译内核时选择的是M的话,就要加载,如果你编译进内核,那一般就不用加载了,直接可以用!
ipt_MASQUERADE 就是起“数据包伪装”的功能的模块。
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
不知道 我这样解释你可不可以明白
关于有状态功能,重点在于后三个模块:
ip_conntrack模块能够使防火墙具有连接跟踪能力。(通过输入 "cat /proc/net/ip_conntrack" 可以查看您的机器参与的活动网络连接。)
加载这个模块后,基本上所有有状态的返回包都能识别,例:telnet,http,QQ,mail,ping,dns等。
实际上,加载了ip_conntrack模块,ftp已经能够登陆,并能使用象pwd,cd等命令,但当使用ls命令显示文件内容时,就会timeout。原因在于
显示文件列表的包防火墙无法识别,就会进入默认策略----禁止,此时就需要加载ip_conntrack_ftp模块。
ip_conntrack_ftp模块使防火墙能够识别FTP某类特殊的返回包。
如果防火墙上对所有出去的返回包作了伪装,就需要加载ip_nat_ftp模块。
ip_nat_ftp模块在出去的包作了伪装以后,必须加载,否则防火墙无法知道返回的包该转发到哪里。
