iptables防火墙详解(四)使用layer7添加应用层过滤功能

2024-08-22 19:38

本文主要是介绍iptables防火墙详解(四)使用layer7添加应用层过滤功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

   在前面的几遍文章中我学习了Linux防火墙iptables,大家也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:QQ MSN等)


安装netfilter-layer7补丁包的作用

通过为Linux内核、iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。

通过独立的l7-protocols协议包提供各种应用层数据的特征识别定义,便于更新。


整体实施过程

  1. 添加内核补丁,重新编译内核,并以新内核引导系统。

  2. 卸载原有的iptables,给下载的iptables包打上补丁,并重新编译安装。

  3. 安装i7-protocols协议定义包。

  4. 使用iptables命令设置应用层过滤规则。


使用的软件包列表如下:

Linux内核源码包:linux-2.6.28.tar.bz2                可点击这里下载其他linux内核版本

iptables源码包:iptables-1.4.2.tar.bz2               可点击这里下载其他iptables源码包

layer7补丁包源码包:netfilter-layer-v2.21.tar.gz     可点击这里下载layer7和协议定义包

协议定义包:l7-protocols-20090510.tar.gz

作者使用的是2.6.18的内核,iptables版本是1.3.5,所以使用上述软件包可以满足,如果大家使用的内核版本较高,可以根据实际情况下载相应的版本软件包。

235148390.jpg

操作工程如下:

释放内核源码包,并合并补丁。

235748724.jpg

复制当前系统使用的内核配置文件到内核源码目录改名为“.config”,以此作为基础进行配置内参数。

000856723.jpg

执行完"make menuconfig"命令后会进入内核编辑模式,在内核编辑模式中,操作方式如下:

方向键áaà用于定位功能项,菜单项。

菜单项<Select>,<Exit>,<Help>。

空格键用于选择配置内型。

[ ]:空选型表示不需要再新内核中使用该功能。

[M]:表示将此项功能编译为模块,以便在需要时加载。

[*]:将此功能直接编入新内核,作为内核的一部分。

如下:进入内核后选择“1”所在的选择,直接回车进入。

003751757.jpg

接着选择“2”所在的选项,直接回车进入。

003905895.jpg

接着选择“3”所在的选项,回车进入。

003952389.jpg

选择“4”所在的选项,回车进入。

004044277.jpg

使用空格键将“5”所在的选项改为“[M]”。

004159455.jpg

将“6”和“7”所在的选项改为“[M]”。

004443942.jpg

将“8”和“9”所在的选项改为“[M]”。

004552398.jpg

<Exit>访问上层,选择“10”所在的选项,回车进入。

004728672.jpg

将“11”所在的选项改为“[M]”。

004857827.jpg

将“12”所在的选项改为“[M]”。

004919393.jpg

<Exit>返回顶层,选择“yes”保存退出。

004935197.jpg

此时内核的编译配置算是完成了,是不是感觉很麻烦啊!现在将编译好的内核使用“make”命令安装即可,安装的时间可能比较长,取决于你的电脑配置,此时不妨去喝杯咖啡,看会报纸。

005746189.jpg

编译安装后重启系统,在grub菜单中选择新内核系统进入。

010122959.jpg

重新进入系统后,需要将以前的iptables防火墙卸载掉,给下载的iptables包打上补丁,并重新编译安装。

011403483.jpg

011423715.jpg

安装l7-protocols协议包

011720919.jpg


此时整个环境算是搭建完成了,现在只需要编写相关的iptables规则就可以对应用层协议做相应的限制和过滤了。


设置使用应用层过滤规则

layer7应用层协议匹配

匹配格式:-m layer7 --l7proto 协议名

协议定义文件位于:/etc/l7-protocols/protocols

支持以下常见应用层协议过滤

  • QQ:腾讯公司QQ程序的通讯协议。

  • msnmessenger:微软公司MSN程序的通讯协议。

  • msn-filetransfer:MSN程序的文件传输协议。

  • bittorrent:BT下载类软件使用的通讯协议。

  • xunlei:迅雷下载工具使用的通讯协议。

  • edonkey:电驴下载工具使用的通讯协议。

  • 其他各种应用层协议:ftp、http、dns、imap、pop3...

规则实例:过滤使用QQ协议的转发数据包

[root@localhost /]#iptables -A FORWARD -m layer7 --l7proto qq -j DROP

除了上述的针对应用层协议过滤之外,还支持一下过滤方式。

根据时间过滤

匹配格式:-m time --timestart 起始时间 --timestop 结束时间 --weekdays 每周的那些天

时间以24小时制表示,列如早9:00 晚18:00

每周的那些以对应的英文缩写表示,列如:周一至周日分别为Mon、Tue、Wed、Thu、Fri、Sat、Sun

根据并发连接数过滤

匹配格式:-m connlimit --connlimit-above 上限数

根据字符串过滤

匹配格式:-m string --string “字符串” --algo

algo是一种算法(算法指的是用于比对数据包字符串的特定方法),可以为bm或kmp,其中任意即可。




本文出自 “邓奇的Blog” 博客,请务必保留此出处http://dengqi.blog.51cto.com/5685776/1265668

这篇关于iptables防火墙详解(四)使用layer7添加应用层过滤功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1097209

相关文章

C#数据结构之字符串(string)详解

《C#数据结构之字符串(string)详解》:本文主要介绍C#数据结构之字符串(string),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录转义字符序列字符串的创建字符串的声明null字符串与空字符串重复单字符字符串的构造字符串的属性和常用方法属性常用方法总结摘

使用Sentinel自定义返回和实现区分来源方式

《使用Sentinel自定义返回和实现区分来源方式》:本文主要介绍使用Sentinel自定义返回和实现区分来源方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Sentinel自定义返回和实现区分来源1. 自定义错误返回2. 实现区分来源总结Sentinel自定

Pandas使用SQLite3实战

《Pandas使用SQLite3实战》本文主要介绍了Pandas使用SQLite3实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录1 环境准备2 从 SQLite3VlfrWQzgt 读取数据到 DataFrame基础用法:读

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

Java中StopWatch的使用示例详解

《Java中StopWatch的使用示例详解》stopWatch是org.springframework.util包下的一个工具类,使用它可直观的输出代码执行耗时,以及执行时间百分比,这篇文章主要介绍... 目录stopWatch 是org.springframework.util 包下的一个工具类,使用它

Java进行文件格式校验的方案详解

《Java进行文件格式校验的方案详解》这篇文章主要为大家详细介绍了Java中进行文件格式校验的相关方案,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、背景异常现象原因排查用户的无心之过二、解决方案Magandroidic Number判断主流检测库对比Tika的使用区分zip

Java实现时间与字符串互相转换详解

《Java实现时间与字符串互相转换详解》这篇文章主要为大家详细介绍了Java中实现时间与字符串互相转换的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、日期格式化为字符串(一)使用预定义格式(二)自定义格式二、字符串解析为日期(一)解析ISO格式字符串(二)解析自定义

SpringKafka消息发布之KafkaTemplate与事务支持功能

《SpringKafka消息发布之KafkaTemplate与事务支持功能》通过本文介绍的基本用法、序列化选项、事务支持、错误处理和性能优化技术,开发者可以构建高效可靠的Kafka消息发布系统,事务支... 目录引言一、KafkaTemplate基础二、消息序列化三、事务支持机制四、错误处理与重试五、性能优

SpringIntegration消息路由之Router的条件路由与过滤功能

《SpringIntegration消息路由之Router的条件路由与过滤功能》本文详细介绍了Router的基础概念、条件路由实现、基于消息头的路由、动态路由与路由表、消息过滤与选择性路由以及错误处理... 目录引言一、Router基础概念二、条件路由实现三、基于消息头的路由四、动态路由与路由表五、消息过滤

Java使用Curator进行ZooKeeper操作的详细教程

《Java使用Curator进行ZooKeeper操作的详细教程》ApacheCurator是一个基于ZooKeeper的Java客户端库,它极大地简化了使用ZooKeeper的开发工作,在分布式系统... 目录1、简述2、核心功能2.1 CuratorFramework2.2 Recipes3、示例实践3