iptables防火墙详解(四)使用layer7添加应用层过滤功能

2024-08-22 19:38

本文主要是介绍iptables防火墙详解(四)使用layer7添加应用层过滤功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

   在前面的几遍文章中我学习了Linux防火墙iptables,大家也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)


安装netfilter-layer7补丁包的作用

通过为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。

通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义,便于更新。


整体实施过程

  1. 添加内核补丁,重新编译内核,并以新内核引导系统。

  2. 卸载原有的iptables,给下载的iptables包打上补丁,并重新编译安装。

  3. 安装i7-protocols协议定义包。

  4. 使用iptables命令设置应用层过滤规则。


使用的软件包列表如下:

Linux内核源码包:linux-2.6.28.tar.bz2                可点击这里下载其他linux内核版本

iptables源码包:iptables-1.4.2.tar.bz2               可点击这里下载其他iptables源码包

layer7补丁包源码包:netfilter-layer-v2.21.tar.gz     可点击这里下载layer7和协议定义包

协议定义包:l7-protocols-20090510.tar.gz

作者使用的是2.6.18的内核,iptables版本是1.3.5,所以使用上述软件包可以满足,如果大家使用的内核版本较高,可以根据实际情况下载相应的版本软件包。

235148390.jpg

操作工程如下:

释放内核源码包,并合并补丁。

235748724.jpg

复制当前系统使用的内核配置文件到内核源码目录改名为“.config”,以此作为基础进行配置内参数。

000856723.jpg

执行完"make menuconfig"命令后会进入内核编辑模式,在内核编辑模式中,操作方式如下:

方向键áaà用于定位功能项,菜单项。

菜单项<Select>,<Exit>,<Help>。

空格键用于选择配置内型。

[ ]:空选型表示不需要再新内核中使用该功能。

[M]:表示将此项功能编译为模块,以便在需要时加载。

[*]:将此功能直接编入新内核,作为内核的一部分。

如下:进入内核后选择“1”所在的选择,直接回车进入。

003751757.jpg

接着选择“2”所在的选项,直接回车进入。

003905895.jpg

接着选择“3”所在的选项,回车进入。

003952389.jpg

选择“4”所在的选项,回车进入。

004044277.jpg

使用空格键将“5”所在的选项改为“[M]”。

004159455.jpg

将“6”和“7”所在的选项改为“[M]”。

004443942.jpg

将“8”和“9”所在的选项改为“[M]”。

004552398.jpg

<Exit>访问上层,选择“10”所在的选项,回车进入。

004728672.jpg

将“11”所在的选项改为“[M]”。

004857827.jpg

将“12”所在的选项改为“[M]”。

004919393.jpg

<Exit>返回顶层,选择“yes”保存退出。

004935197.jpg

此时内核的编译配置算是完成了,是不是感觉很麻烦啊!现在将编译好的内核使用“make”命令安装即可,安装的时间可能比较长,取决于你的电脑配置,此时不妨去喝杯咖啡,看会报纸。

005746189.jpg

编译安装后重启系统,在grub菜单中选择新内核系统进入。

010122959.jpg

重新进入系统后,需要将以前的iptables防火墙卸载掉,给下载的iptables包打上补丁,并重新编译安装。

011403483.jpg

011423715.jpg

安装l7-protocols协议包

011720919.jpg


此时整个环境算是搭建完成了,现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。


设置使用应用层过滤规则

layer7应用层协议匹配

匹配格式:-m layer7 --l7proto 协议名

协议定义文件位于:/etc/l7-protocols/protocols

支持以下常见应用层协议过滤

  • QQ:腾讯公司QQ程序的通讯协议。

  • msnmessenger:微软公司MSN程序的通讯协议。

  • msn-filetransfer:MSN程序的文件传输协议。

  • bittorrent:BT下载类软件使用的通讯协议。

  • xunlei:迅雷下载工具使用的通讯协议。

  • edonkey:电驴下载工具使用的通讯协议。

  • 其他各种应用层协议:ftp、http、dns、imap、pop3...

规则实例:过滤使用QQ协议的转发数据包

[root@localhost /]#iptables -A FORWARD -m layer7 --l7proto qq -j DROP

除了上述的针对应用层协议过滤之外,还支持一下过滤方式。

根据时间过滤

匹配格式:-m time --timestart 起始时间 --timestop 结束时间 --weekdays 每周的那些天

时间以24小时制表示,列如早9:00 晚18:00

每周的那些以对应的英文缩写表示,列如:周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun

根据并发连接数过滤

匹配格式:-m connlimit --connlimit-above 上限数

根据字符串过滤

匹配格式:-m string --string “字符串” --algo

algo是一种算法(算法指的是用于比对数据包字符串的特定方法),可以为bm或kmp,其中任意即可。




本文出自 “邓奇的Blog” 博客,请务必保留此出处http://dengqi.blog.51cto.com/5685776/1265668

这篇关于iptables防火墙详解(四)使用layer7添加应用层过滤功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1097209

相关文章

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

C++11第三弹:lambda表达式 | 新的类功能 | 模板的可变参数

🌈个人主页: 南桥几晴秋 🌈C++专栏: 南桥谈C++ 🌈C语言专栏: C语言学习系列 🌈Linux学习专栏: 南桥谈Linux 🌈数据结构学习专栏: 数据结构杂谈 🌈数据库学习专栏: 南桥谈MySQL 🌈Qt学习专栏: 南桥谈Qt 🌈菜鸡代码练习: 练习随想记录 🌈git学习: 南桥谈Git 🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈�

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time