为了p2p无所不用其极!还是台湾鸟哥厉害哈!
Centos重编内核+l7-filter实现封杀讯雷+国产p2p
我的系统:
CENTOS 4.1
内核:2.6.9.11
IPTABLES 1.2.11
首先download 新内核--linux-2.6.13.3.tar.bz2
tar jxvf linux-2.6.13.3.tar.bz2 至 /usr/src/linux-2.6.13.3/目录下
一不做二不休download iptables-1.3.4
tar zxvf iptables-1.3.4.tar.gz 至/usr/src/iptables-1.3.4/目录下
l7-filter源码下载:
http://sourceforge.net/project/showfiles.php?group_id=80085
注意:有两个包。一个是netfilter-layer7-v2.0.tar.gz 一个l7-protocols-2005-XX.tar.gz
netfilter-layer7-v2.0.tar.gz --内核补丁 l7-protocols --支持的协议文件
全部解压路径为:
/var/netfilter-layer7-v2.0
/var/l7-protocols-2005-XX /*注:XX代表日期*/
===================================================
开始了!
先patch内核
cd /usr/src/linux-2.6.13.3
patch -p1 networking options--> network packet filtering-->ip:netfilter configuration--
-->layer 7 match support (选M) layer 7 debugingoutput (选*)
就不多说啥意思了,只针对l7-filter模块。
确保你的内核安全和健壮后:
make 20分钟waiting......
make modules_install
make install
===================================================
内核编译到此结束
reboot
起不来别怨我,自己先搞定内核编译。
系统起来了,ok,go to next
编译l7-iptables模块顺便升升级:
cd /usr/src/iptables-1.3.4
/*刚才补丁已经打上*/
chmod +x extensions/.layer7-test 活用tab键
Export KERNEL_DIR=/usr/src/linux-2.6.9
Export IPTABLES_DIR=/source/temp/iptables-1.3.1
make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin && 回车
make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin install
安装l7-filter协议文件:
cd /var/l7-protocols-2005-XX
Make install
只是cp 了几个文件到/etc/里
ok了。
与ipp2p的不同:
l7-filter 起作用的为 POSTROUTING 和 PREROUTONG 看样子只能在nat上用了
ipp2p 为FORWARD route
at都可
主要命令:
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypeout -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypetoskype -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto yahoo -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto aim -j DROP 阻挡icq
iptables -t mangle -I POSTROUTING -m layer7 --l7proto xunlei -j DROP 亲爱的讯雷
察看命中情况:iptables -t mangle -L POSTROUTING -v
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/12410/showart_63395.html