防火墙其实就是一个加固主机或者网络安全的一个设备或者软件而已,通过防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍风险区域的访问.当然需要注意的是世界上没有绝对的安全,防火墙也只是启到一定的安全防护,那么下面来说下防火墙的几种分类,
第一种软件防火墙,软件防火墙需要运行在特定的计算机上,而且需要计算机的操作系统的支持,
第二种硬件防火墙,硬件防火墙其实就是一个普通pc机的架构,然后上面跑有专门的操作系统.
第三种芯片级的防火墙,这种防火墙基于专门的硬件平台,没有操作系统,专有的ASIC芯片使它们比其他类的防火墙速度更快,处理能力极强,性能更高,但是价格却极其昂贵,
从技术方面实现的防火墙也可分为三种,
第一种包过滤型防火墙,这类的防火墙主要是工作在网络层,根据事先设定好的规则进行检查,检查结果根据事先设定好的处理机制进行处理
第二种应用层防火墙,它是工作在TCP/IP模型中的最高层应用层,相比较来说速度要慢一点
第三种状态监视器,状态监视做为防火墙其安全性为最佳,但配置比较复杂,且网络速度较慢
一般在企业中防火墙的部署有以下几种
一,单宿主堡垒主机 ,由于使用的rhel6.2的系统,做图不是很好做,所以没有图,只有简单的介绍
单宿主堡垒主机其实就是单台服务器有防火墙,只为单台服务器防护,
二,双宿主堡垒主机,
双宿主堡垒主机是一台装有两块网卡的堡垒主机,一般这台堡垒主机应用在网关,防护局域网跟广域网之间通信等安全
三,三宿主堡垒主机
三宿主堡垒主机是一台装有三块网卡的堡垒主机,那么他将外网,内网,DMZ 三个区域隔离开来,同时保护内网已经DMZ区域的安全等
四,背靠背, 这个的话没图解释起来比较复杂,我在网上搜一张图片吧
不用解释一看图就知道是怎么回事了. 实际上前端防火墙是防护外网到DMZ区域以及到内网,后端防火墙是防护内网到DMZ区域的安全
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
说了这么多下面来说说linux上面的iptables的应用吧,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
目录
一,IPTABLES的简介
二,IPTABLES的表和链
三,IPTABLES的几个状态
四,IPTABLES的命令及使用
五,IPTABLES的脚本编写
六,给内核打layer7补丁,并重新编译内核及IPTABLES来实现封杀QQ,酷狗,迅雷,等软件
注:个人的总结,当然也从一些书籍里面找了一些资料,写的不全,还望大家多多指点,thx!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一,IPTABLES的简介
1. 简介
IPTABLES/netfilter(http://www.netfilter.org) 其实大多数人都认为iptables是linux系统上的一个服务,其实不是的, 我们linux系统上的服务比如说httpd服务在启动起来的时候,是不是在后台启动一个相应的服务进程且在网卡上监听一个端口,而iptables却不然,那么iptables到底是什么呢?其实iptables只是一个工具而已,我们的linux系统有用户空间,和内核空间,而iptables只是工作在用户空间为工作在内核空间的netfilter提供防火墙过滤规则,显而易见真正实现防火墙功能的是工作在内核空间的netfilter,其实IPTABLES防火墙就是这样的。
二,IPTABLES的表和链
IPTABLES常用的表和链有三个filter表 nat表 mangle表, 和五个链 INPUT链 OUTPUT链 FORWARE链 POSTROUTING链 PREROUTING链, 下面来介绍下它们的各个功能呢个功能。
1.filter表
filter表主要是过滤数据包的,IPTABLES几乎所有的数据包过滤都在此表中实现的,filter表也是IPTABLES中默认的表,此表中还包含三个链如下
1.1 INPUT链
过滤所有的目标地址是本机的数据包
1.2 OUTPUT链
过滤所有从本机出去的数据包
1.3 FORWORD链
过滤所有从本机路过的数据包
2.nat表
nat表主要是用于做网络地址转换的(NAT) 在IPTABLES中可以做SNAT(源地址转换),DNAT(目标地址转换),PANT(即跟SNAT差不多,不一样的是SNAT的源地址是固定的,而PNAT的源地址是不固定的,当使用ppp 或pppoe的方式连接互联网的时候一般适应这中) 。 nat表中包含两个链如下
2.1 PREROUTING链
在数据包到达防火墙的时候改变目标地址 DNAT应用于此链.
2.2 OUTPUT链
可以改变本地产生的数据包的目标地址
2.3 POSTROUTING链
在数据包离开防火墙的时候改变源地址,SNAT应用于次链
3. mangle表
mangle表主要是修改数据包头部信息的,此表中包含以下5条链
3.1 PREROUTING链,
在数据包进入防火墙之后,也称为路由前,
3.2 POSTROUTING链,
在数据包确定目标地址后,也称为路由后,
3.3 OUTPUT链
从本机出去的时间包路由前
3.4 INPUT链
数据包进入本机后,路由后
3.5 FORWARD链
第一次路由判断之后,最后一次路由判断之前改变数据包
三,IPABLES的状态
IPTABLES的状态跟踪连接有4种,分别是,NEW,ESTABLISHED,RELATED,INVALID,除了从本机出去的数据包有nat表的OUTPUT链处理外,其他说有的状态跟踪都在nat表中的PREROUTING链中处理,下面来说下4种状态是什么,
1,NEW状态
NEW状态的数据包说明这个数据包是收到的第一个数据包,
2,ESTABLISHED状态,
只要发送并接到应答,一个数据包的状态就从NEW变为ESTABLEISHED,而且该状态会继续匹配这个连接后继数据包,
3,RELATED状态
当一个数据包的状态处于ESTABLSHED状态的连接有关系的时候,就会被认为是RELATED,也就是说一个链接想要是RELATED状态,首先要有一个ESTABLISHED的连接,
4,INVALID状态
不能被识别属于哪个连接状态或没有任何关系的状态,一般这中数据包要被拒绝的
四,IPTABLES命令的使用详解
iptables在RHEL的系统上默认安装的, IPTABLES的命令选项主要分为这么几大类,规则管理,链管理,默认管理,查看,匹配条件,处理动作,基本应该就这些了吧,下面来一一说名,
1,规则管理类
#iptables -A 添加一条新规则
#iptables -I 插入一条新规则 -I 后面加一数字表示插入到哪行
#iptables -D 删除一条新规则 -D 后面加一数字表示删除哪行
#iptables -R 替换一条新规则 -R 后面加一数字表示替换哪行
2.链管理类
#iptables -F 清空链中的所有规则
#iptables -N 新建一个链
#iptables -X 删除一个自定义链,删除之前要保证次链是空的,而且没有被引用
#iptables -E 重命名链
3.默认管理类
#iptables -P 设置默认策略
4,查看类
#iptables -L 查看规则 -L还有几个子选项如下
#iptables -L -n 以数字的方式显示
#iptables -L -v 显示详细信息
#iptables -L -x 显示精确信息
#iptables -L --line-numbers 显示行号
5,条件匹配类
5.1 基本匹配
条件匹配也可以使用 ! 取反
-s 源地址
-d 目标地址
-p 协议{tcp|udp|icmp}
-i 从哪个网络接口进入,比如 -i eth0
-o 从哪个网络接口出去,比如 -o eth0
5.2扩展匹配
5.2.1隐含扩展匹配
-p {tcp|udp} --sport 指定源端口
-p {tcp|udp} --dport 指定目标端口
5.2.2显示扩展匹配
-m state --state 匹配状态的
-m mutiport --source-port 端口匹配 ,指定一组端口
-m limit --limit 3/minute 每三分种一次
-m limit --limit-burst 5 只匹配5个数据包
-m string --string --algo bm|kmp --string "xxxx" 匹配字符串
-m time --timestart 8:00 --timestop 12:00 表示从哪个时间到哪个时间段
-m time --days 表示那天
-m mac --mac-source xx:xx:xx:xx:xx:xx 匹配源MAC地址
-m layer7 --l7proto qq 表示匹配腾讯qq的 当然也支持很多协议,这个默认是没有的,需要我们给内核打补丁并重新编译内核及iptables才可以使用 -m layer7 这个显示扩展匹配,
6,处理动作类
-j ACCEPT 允许
-j REJECT 拒绝
-j DROP 拒绝并提示信息
-j SNAT 源地址转换
-j DNAT 目标地址转换
-j REDIRECT 重定向
-j MASQUERAED 地址伪装
-j LOG --log-prefix "说明信息,自己随便定义" 记录日志
五,IPTABLES脚本的编写
IPTABLES 脚本里面其实就是敲的一系列命令而已下面给个例子,介绍下iptables命令的使用及IPTABLES脚本的编写
1.IPTABLES脚本实例
#vim /ipt.sh
#!/bin/bash
# 2012,07,09
# andy_f
#定义变量
mynet=192.168.0.0/24
myip=192.168.0.100
IPT=/sbin/iptables
#加载ftp模块
modprobe ip_conntrack-ftp
modprobe ip_nat_ftp
#开启路由转发功能
echo "1" /proc/sys/net/ipv4/ip_forward
#清空所有表中的规则
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
#删除所有自定义链
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
#设置默认策略
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD ACCEPT
#允许状态为ESTABLISHED,RELATED的访问本机,及状态为NEW的从本机出去
$IPT -A INOUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许本地环回口访问
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#允许管理员主机访问本地ssh服务
$IPT -A INPUT -s $myip -m state --state NEW -p tcp --dport 22 -j ACCEPT
$IPT -A OUTPUT -d $myip -p tcp --sport 22 -j ACCEPT
#允许局域网的ping请求
$IPT -A INPUT -s $mynet -p icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -d $mynet -p icmp --icmp-type 0 -j ACCEPT
#为局域网做SNAT
$IPT -t nat -A POSTROUTING -s $mynet -j SNAT --to-source 172.16.100.1
#为局域网内部的web服务器做DNAT
$IPT -t nat -A PREROUTING -d 172.16.100.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2
让下次开机自动加载脚本
#echo "/bin/bash /ipt.sh" >> /etc/rc.local
六,给内核打layer7补丁,并重新编译内核及IPTABLES来实现封杀QQ,酷狗,迅雷,等软件
做为网络管理员,对P2P,QQ,酷狗,等软件是又爱又恨,大多数公司,为了提高工作效率禁止公司员工上QQ,看视频等, 在市场上买专门的上网行为管理设备,随便都是好几W,而使用linux来做网关,一样可以禁止qq,酷狗等软件,成本才几千块,下面将介绍下怎么实现的,
1.重新编译内核
1.1 ,安装基本来发库及相关依赖软件,这里使用yum安装
#yum -y groupinstall "Development Libraries" "Development Tools"
#yum -y install ncurses-devel
1.2下载内核源代码,及layer7补丁,并重修编译内核,这里使用的内核版本是2.6.28
准备两个源码包
linux-2.6.28.10.tar.gz
netfilter-layer7-v2.22.tar.gz 准备好了之后讲其复制到/usr/src目录下然后如下
#cd /usr/scr
#tar xzvf linux-2.6.28.10.tar.gz
#tar xavf netfilter-layer7-v2.22.tar.gz
#ln -s linux-2.6.28.10 linux
#cd /usr/src/linux
#patch -p1 <../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch
#cp /boot/config-2.6.28-164.el5 /usr/src/linux/.config
#make menuconfig 执行之后会出现一个让用户选择内核模块的界面,进入相应的菜单,将下面的模块选上
Networking support -->>Networking Options -->>Network packet filtering framework -->>Core Netfilter Configuration
<M> Netfilter connection tracking support
<M> “layer7” match support
<M> “string” match support
<M> “time” match support
<M> “iprange” match support
<M> “connlimit” match support
<M> “state” match support
<M> “conntrack” connection match support
<M> “mac” address match support
<M> "multiport" Multiple port match support
Networking support -->Networking Options -->Network packet filtering framework -->IP: Netfilter Configuration
<M> IPv4 connection tracking support (required for NAT)
<M> Full NAT
<M> MASQUERADE target support
<M> NETMAP target support
<M> REDIRECT target support
选择完成后保存退出,
#make
#make modules_install
#make install
编译完成后重启
#shutdown -r now
需要注意的是系统默认是启动原先的内核的,在开机的时候在grub界面选择启动新的内核
2.编译安装iptables
2.1卸载系统上自带的rpm格式的iptables
在卸载之前我们先把iptables的启动脚本及脚本配置文件拷贝到/目录下待会有用
#cp /etc/init.d/iptables /
#cp /etc/sysconfig/iptables-config /
卸载iptables
#rpm -e iptables-ipv6 iptables iptstate --nodeps
2.2编译安装iptables
首先下载iptables-1.4.6.tar.bz2包到系统的/usr/src目录,然后如下
#cd /usr/src
#tar jxvf iptables-1.4.6.tar.bz2
#cd iptables-1.4.6
#cp ../netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/libxt_layer7.* ./extensions/
#./configure --prefix=/usr --with-ksource=/usr/src/linux
#make
#make install
3.安装l7protocols
l7protocols 是layer7所能够支持的协议包
下载l7-protocols-2009-05-28.tar.gz到/usr/src目录,然后如下,
#cd /usr/src
#tar xzvf l7-protocols-2009-05-28.tar.gz
#cd l7-protocols-2009-05-28
#make install
4.修改iptables启动脚本
就是上面2.1复制的两个文件,在根目录下
4.1 修改iptables启动脚本
首先将脚本跟配置文件复制到相应的目录然后再做修改
#cp /iptables-config /etc/sysconfig/
#cp /iptables /etc/init.d/
#chmod a+x /etc/init.d/iptables
#vim /etc/init.d/iptables 把所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES 在vim命令模式下:%s@/sbin/$IPTABLES@/usr/sbin/$IPTABLES@g 然后保存退出,
我们把修改后的/etc/init.d/iptables 脚本文件贴出来,如下
#!/bin/sh
#
# iptables Start iptables firewall
#
# chkconfig: 2345 08 92
# description: Starts, stops and saves iptables firewall
#
# config: /etc/sysconfig/iptables
# config: /etc/sysconfig/iptables-config
# Source function library.
. /etc/init.d/functions
IPTABLES=iptables
IPTABLES_DATA=/etc/sysconfig/$IPTABLES
IPTABLES_CONFIG=/etc/sysconfig/${IPTABLES}-config
IPV=${IPTABLES%tables} # ip for ipv4 | ip6 for ipv6
PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names
VAR_SUBSYS_IPTABLES=/var/lock/subsys/$IPTABLES
if [ ! -x /usr/sbin/$IPTABLES ]; then
echo -n $"/usr/sbin/$IPTABLES does not exist."; warning; echo
exit 0
fi
if lsmod 2>/dev/null | grep -q ipchains ; then
echo -n $"ipchains and $IPTABLES can not be used together."; warning; echo
exit 1
fi
# Old or new modutils
/sbin/modprobe --version 2>&1 | grep -q module-init-tools \
&& NEW_MODUTILS=1 \
|| NEW_MODUTILS=0
# Default firewall configuration:
IPTABLES_MODULES=""
IPTABLES_MODULES_UNLOAD="yes"
IPTABLES_SAVE_ON_STOP="no"
IPTABLES_SAVE_ON_RESTART="no"
IPTABLES_SAVE_COUNTER="no"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_SYSCTL_LOAD_LIST=""
# Load firewall configuration.
[ -f "$IPTABLES_CONFIG" ] && . "$IPTABLES_CONFIG"
rmmod_r() {
# Unload module with all referring modules.
# At first all referring modules will be unloaded, then the module itself.
local mod=$1
local ret=0
local ref=
# Get referring modules.
# New modutils have another output format.
[ $NEW_MODUTILS = 1 ] \
&& ref=`lsmod | awk "/^${mod}/ { print \\\$4; }" | tr ',' ' '` \
|| ref=`lsmod | grep ^${mod} | cut -d "[" -s -f 2 | cut -d "]" -s -f 1`
# recursive call for all referring modules
for i in $ref; do
rmmod_r $i
let ret+=$?;
done
# Unload module.
# The extra test is for 2.6: The module might have autocleaned,
# after all referring modules are unloaded.
if grep -q "^${mod}" /proc/modules ; then
modprobe -r $mod > /dev/null 2>&1
let ret+=$?;
fi
return $ret
}
flush_n_delete() {
# Flush firewall rules and delete chains.
[ -e "$PROC_IPTABLES_NAMES" ] || return 1
# Check if firewall is configured (has tables)
tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
[ -z "$tables" ] && return 1
echo -n $"Flushing firewall rules: "
ret=0
# For all tables
for i in $tables; do
# Flush firewall rules.
$IPTABLES -t $i -F;
let ret+=$?;
# Delete firewall chains.
$IPTABLES -t $i -X;
let ret+=$?;
# Set counter to zero.
$IPTABLES -t $i -Z;
let ret+=$?;
done
[ $ret -eq 0 ] && success || failure
echo
return $ret
}
set_policy() {
# Set policy for configured tables.
policy=$1
# Check if iptable module is loaded
[ ! -e "$PROC_IPTABLES_NAMES" ] && return 1
# Check if firewall is configured (has tables)
tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
[ -z "$tables" ] && return 1
echo -n $"Setting chains to policy $policy: "
ret=0
for i in $tables; do
echo -n "$i "
case "$i" in
raw)
$IPTABLES -t raw -P PREROUTING $policy \
&& $IPTABLES -t raw -P OUTPUT $policy \
|| let ret+=1
;;
filter)
$IPTABLES -t filter -P INPUT $policy \
&& $IPTABLES -t filter -P OUTPUT $policy \
&& $IPTABLES -t filter -P FORWARD $policy \
|| let ret+=1
;;
nat)
$IPTABLES -t nat -P PREROUTING $policy \
&& $IPTABLES -t nat -P POSTROUTING $policy \
&& $IPTABLES -t nat -P OUTPUT $policy \
|| let ret+=1
;;
mangle)
$IPTABLES -t mangle -P PREROUTING $policy \
&& $IPTABLES -t mangle -P POSTROUTING $policy \
&& $IPTABLES -t mangle -P INPUT $policy \
&& $IPTABLES -t mangle -P OUTPUT $policy \
&& $IPTABLES -t mangle -P FORWARD $policy \
|| let ret+=1
;;
*)
let ret+=1
;;
esac
done
[ $ret -eq 0 ] && success || failure
echo
return $ret
}
load_sysctl() {
# load matched sysctl values
if [ -n "$IPTABLES_SYSCTL_LOAD_LIST" ]; then
echo -n $"Loading sysctl settings: "
ret=0
for item in $IPTABLES_SYSCTL_LOAD_LIST; do
fgrep $item /etc/sysctl.conf | sysctl -p - >/dev/null
let ret+=$?;
done
[ $ret -eq 0 ] && success || failure
echo
fi
return $ret
}
start() {
# Do not start if there is no config file.
[ -f "$IPTABLES_DATA" ] || return 1
echo -n $"Applying $IPTABLES firewall rules: "
OPT=
[ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c"
$IPTABLES-restore $OPT $IPTABLES_DATA
if [ $? -eq 0 ]; then
success; echo
else
failure; echo; return 1
fi
# Load additional modules (helpers)
if [ -n "$IPTABLES_MODULES" ]; then
echo -n $"Loading additional $IPTABLES modules: "
ret=0
for mod in $IPTABLES_MODULES; do
echo -n "$mod "
modprobe $mod > /dev/null 2>&1
let ret+=$?;
done
[ $ret -eq 0 ] && success || failure
echo
fi
# Load sysctl settings
load_sysctl
touch $VAR_SUBSYS_IPTABLES
return $ret
}
stop() {
# Do not stop if iptables module is not loaded.
[ -e "$PROC_IPTABLES_NAMES" ] || return 1
flush_n_delete
set_policy ACCEPT
if [ "x$IPTABLES_MODULES_UNLOAD" = "xyes" ]; then
echo -n $"Unloading $IPTABLES modules: "
ret=0
rmmod_r ${IPV}_tables
let ret+=$?;
rmmod_r ${IPV}_conntrack
let ret+=$?;
[ $ret -eq 0 ] && success || failure
echo
fi
rm -f $VAR_SUBSYS_IPTABLES
return $ret
}
save() {
# Check if iptable module is loaded
[ ! -e "$PROC_IPTABLES_NAMES" ] && return 1
# Check if firewall is configured (has tables)
tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
[ -z "$tables" ] && return 1
echo -n $"Saving firewall rules to $IPTABLES_DATA: "
OPT=
[ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c"
ret=0
TMP_FILE=`/bin/mktemp -q /tmp/$IPTABLES.XXXXXX` \
&& chmod 600 "$TMP_FILE" \
&& $IPTABLES-save $OPT > $TMP_FILE 2>/dev/null \
&& size=`stat -c '%s' $TMP_FILE` && [ $size -gt 0 ] \
|| ret=1
if [ $ret -eq 0 ]; then
if [ -e $IPTABLES_DATA ]; then
cp -f $IPTABLES_DATA $IPTABLES_DATA.save \
&& chmod 600 $IPTABLES_DATA.save \
|| ret=1
fi
if [ $ret -eq 0 ]; then
cp -f $TMP_FILE $IPTABLES_DATA \
&& chmod 600 $IPTABLES_DATA \
|| ret=1
fi
fi
[ $ret -eq 0 ] && success || failure
echo
rm -f $TMP_FILE
return $ret
}
status() {
tables=`cat $PROC_IPTABLES_NAMES 2>/dev/null`
# Do not print status if lockfile is missing and iptables modules are not
# loaded.
# Check if iptable module is loaded
if [ ! -f "$VAR_SUBSYS_IPTABLES" -a -z "$tables" ]; then
echo $"Firewall is stopped."
return 1
fi
# Check if firewall is configured (has tables)
if [ ! -e "$PROC_IPTABLES_NAMES" ]; then
echo $"Firewall is not configured. "
return 1
fi
if [ -z "$tables" ]; then
echo $"Firewall is not configured. "
return 1
fi
NUM=
[ "x$IPTABLES_STATUS_NUMERIC" = "xyes" ] && NUM="-n"
VERBOSE=
[ "x$IPTABLES_STATUS_VERBOSE" = "xyes" ] && VERBOSE="--verbose"
COUNT=
[ "x$IPTABLES_STATUS_LINENUMBERS" = "xyes" ] && COUNT="--line-numbers"
for table in $tables; do
echo $"Table: $table"
$IPTABLES -t $table --list $NUM $VERBOSE $COUNT && echo
done
return 0
}
reload() {
IPTABLES_MODULES_UNLOAD="no"
restart
}
restart() {
[ "x$IPTABLES_SAVE_ON_RESTART" = "xyes" ] && save
stop
start
}
case "$1" in
start)
stop
start
RETVAL=$?
;;
stop)
[ "x$IPTABLES_SAVE_ON_STOP" = "xyes" ] && save
stop
RETVAL=$?
;;
reload)
[ -e "$VAR_SUBSYS_IPTABLES" ] && reload
;;
restart)
restart
RETVAL=$?
;;
condrestart)
[ -e "$VAR_SUBSYS_IPTABLES" ] && restart
;;
status)
status
RETVAL=$?
;;
panic)
flush_n_delete
set_policy DROP
RETVAL=$?
;;
save)
save
RETVAL=$?
;;
*)
echo $"Usage: $0 {start|stop|reload|restart|condrestart|status|panic|save}"
exit 1
;;
esac
exit $RETVAL
5.重新启动iptables
#service iptables restart
6.封qq,酷狗,迅雷等,
假如本机是一个网关的情况下
封QQ
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto qq -j DROP
封酷狗
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto kugoo -j DROP
封迅雷
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto xunlei -j DROP
7,测试封QQ的效果
我用的是rhel6.2的系统,所以qq的界面跟你们的不太一样,
8,那有人说了,只能封这几个吗?, 不是的layer7 支持一百多种协议,如下命令查看
#ls /etc/l7-protocols/protocols/ 只要里面有的都可以封杀,使用方法跟上面的一样,将其目录中对应文件的后缀名去掉,
比如说,此目录里有个pplive.pat 的文件,想实现封杀pplive的方法如下
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto pplive -j DROP
ok 到这里此篇博客算是草草完工了, 写的不好还忘见谅.