iptables防火墙详解(四)使用layer7添加应用层过滤功能

本文主要是介绍iptables防火墙详解(四)使用layer7添加应用层过滤功能，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

   在前面的几遍文章中我学习了Linux防火墙iptables，大家也都知道iptables防火墙是工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主，同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)

安装netfilter-layer7补丁包的作用

通过为Linux内核、iptables添加相应的补丁文件，重新编译安装后提供基于应用层(第7层)的扩展功能。

通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义，便于更新。

整体实施过程

1. 添加内核补丁，重新编译内核，并以新内核引导系统。

2. 卸载原有的iptables，给下载的iptables包打上补丁，并重新编译安装。

3. 安装i7-protocols协议定义包。

4. 使用iptables命令设置应用层过滤规则。

使用的软件包列表如下：

Linux内核源码包：linux-2.6.28.tar.bz2                可点击这里下载其他linux内核版本

iptables源码包：iptables-1.4.2.tar.bz2               可点击这里下载其他iptables源码包

layer7补丁包源码包：netfilter-layer-v2.21.tar.gz     可点击这里下载layer7和协议定义包

协议定义包：l7-protocols-20090510.tar.gz

作者使用的是2.6.18的内核，iptables版本是1.3.5，所以使用上述软件包可以满足，如果大家使用的内核版本较高，可以根据实际情况下载相应的版本软件包。

操作工程如下:

释放内核源码包，并合并补丁。

复制当前系统使用的内核配置文件到内核源码目录改名为“.config”，以此作为基础进行配置内参数。

执行完"make menuconfig"命令后会进入内核编辑模式，在内核编辑模式中，操作方式如下：

方向键á、a、、à用于定位功能项，菜单项。

菜单项<Select>,<Exit>,<Help>。

空格键用于选择配置内型。

[ ]:空选型表示不需要再新内核中使用该功能。

[M]:表示将此项功能编译为模块，以便在需要时加载。

[*]:将此功能直接编入新内核，作为内核的一部分。

如下：进入内核后选择“1”所在的选择，直接回车进入。

接着选择“2”所在的选项，直接回车进入。

接着选择“3”所在的选项，回车进入。

选择“4”所在的选项，回车进入。

使用空格键将“5”所在的选项改为“[M]”。

将“6”和“7”所在的选项改为“[M]”。

将“8”和“9”所在的选项改为“[M]”。

<Exit>访问上层，选择“10”所在的选项，回车进入。

将“11”所在的选项改为“[M]”。

将“12”所在的选项改为“[M]”。

<Exit>返回顶层，选择“yes”保存退出。

此时内核的编译配置算是完成了，是不是感觉很麻烦啊！现在将编译好的内核使用“make”命令安装即可，安装的时间可能比较长，取决于你的电脑配置，此时不妨去喝杯咖啡，看会报纸。

编译安装后重启系统，在grub菜单中选择新内核系统进入。

重新进入系统后，需要将以前的iptables防火墙卸载掉，给下载的iptables包打上补丁，并重新编译安装。

安装l7-protocols协议包

此时整个环境算是搭建完成了，现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。

设置使用应用层过滤规则

layer7应用层协议匹配

匹配格式：-m layer7 --l7proto 协议名

协议定义文件位于：/etc/l7-protocols/protocols

支持以下常见应用层协议过滤

• QQ：腾讯公司QQ程序的通讯协议。

• msnmessenger：微软公司MSN程序的通讯协议。

• msn-filetransfer：MSN程序的文件传输协议。

• bittorrent：BT下载类软件使用的通讯协议。

• xunlei：迅雷下载工具使用的通讯协议。

• edonkey：电驴下载工具使用的通讯协议。

• 其他各种应用层协议：ftp、http、dns、imap、pop3...

规则实例：过滤使用QQ协议的转发数据包

[root@localhost /]#iptables -A FORWARD -m layer7 --l7proto qq -j DROP

除了上述的针对应用层协议过滤之外，还支持一下过滤方式。

根据时间过滤

匹配格式：-m time --timestart 起始时间 --timestop 结束时间 --weekdays 每周的那些天

时间以24小时制表示，列如早9:00 晚18:00

每周的那些以对应的英文缩写表示，列如：周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun

根据并发连接数过滤

匹配格式：-m connlimit --connlimit-above 上限数

根据字符串过滤

匹配格式：-m string --string “字符串” --algo

algo是一种算法(算法指的是用于比对数据包字符串的特定方法)，可以为bm或kmp，其中任意即可。

本文出自 “邓奇的Blog” 博客，请务必保留此出处http://dengqi.blog.51cto.com/5685776/1265668

这篇关于iptables防火墙详解(四)使用layer7添加应用层过滤功能的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---