iptables/netfilter基于layer7实现应用层过滤

前言

做为网络管理员,对P2P、QQ、酷狗等软件是又爱又恨,大多数公司为了提高工作效率,禁止公司员工登陆QQ、看视频等,在市场上买专门的上网行为管理设备,随便一种都是价格不菲,而使用linux来做网关一样可以禁止qq、酷狗等软件,为实现此功能就需要为iptables/netfilter添加layer7模块,而iptables/netfilter是基于内核的,所以需要重新编译内核。

编译过程

环境介绍

系统环境:CentOS6.6

所需源码包:kernel-2.6.32-504.16.2.el6.src.rpm(红帽ftp站点提供)

                   iptables-1.4.20.tar.bz2

                   netfilter-layer7-v2.23.tar.bz2

                   l7-protocols-2009-05-28.tar.gz

编译内核

解决依赖关系

[root@Firewall ~]# yum groupinstall "Development Tools" "Server Platform Development" -y

创建所需用户并安装

1.jpg

将源码解压到指定目录

2.jpg

为内核打补丁

3.jpg

开始编译

4.jpg

首先选择此项

5.jpg

进入此项设定参数

6.jpg

下拉,选择此项并进入

7.jpg

进入核心过滤设置

8.jpg

启用layer7支持

9.jpg

返回第一层,进入此项

10.jpg

取消模块签名校验

11.jpg

返回,进入API加密设置

12.jpg

取消内核签名校验,否则无法编译安装

13.jpg

保存退出

14.jpg

编译安装

[root@Firewall linux]# yum install screen -y #为了防止意外,我们在screen里编译安装
[root@Firewall linux]# screen
[root@Firewall linux]# make
[root@Firewall linux]# make modules_install
[root@Firewall linux]# make install

看一下grub.conf文件,新内核的信息已经写入了

15.jpg

以新内核启动

16.jpg

编译iptables

解压并打补丁

17.jpg

备份脚本文件,卸载旧版本

18.jpg

编译安装

[root@Firewall ~]# cd iptables-1.4.20
[root@Firewall iptables-1.4.20]# ./configure --prefix=/usr --with-ksource=/usr/src/linux
[root@Firewall iptables-1.4.20]# make && make install

还原脚本

19.jpg

修改脚本

将所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES

20.jpg

查看iptables版本

21.jpg

为layer7模块提供其所识别的协议的特征码

22.jpg

装载模块

23.jpg

添加内核参数,使之永久有效

[root@Firewall ~]# vim /etc/sysctl.conf 

net.netfilter.nf_conntrack_acct = 1

[root@Firewall ~]# sysctl -p

应用层过滤测试

案例要求

假设内网主机由服务器代理上网,为提高工作效率,禁止内网用户登录QQ

代理服务器:192.168.1.254(可访问网络),172.16.10.254

内网客户端:172.16.10.12

网络设置

24.jpg

25.jpg

172.16.0.0/16的网段在VMnet1内

开启服务器路由转发功能

[root@Firewall ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@Firewall ~]# sysctl -p

设置防火墙规则,使内网可访问网络

26.jpg

查看是否可以访问网络

27.jpg

我们找一个小号登录QQ测试

28.jpg

此时是可以登录的,我们下线,设置防火墙规则,禁用QQ

29.jpg

再次登录试试

30.jpg

登录失败,我们看一下防火墙,有没有匹配到报文

31.jpg

看,已经有报文被拒绝了,至此iptables基于layer7实现应用层过滤以实现,需要禁止其他程序,请自行添加相应规则

The end 

基于layer7的应用层防火墙就说到这里了,除了编译内核时比较费时间外,应该没什么别的麻烦的问题,希望本文可以帮到有需要的小伙伴,配置过程中遇到问题可留言。以上仅为个人学习整理,如有错漏,大神勿喷~~~

原创文章,作者:书生,如若转载,请注明出处:http://www.178linux.com/3635

(0)
书生书生
上一篇 2015-04-26
下一篇 2015-04-27

相关推荐

  • 第七周:文件系统、raid、lvm和shell脚本练习

    1、创建一个10G分区,并格式为ext4文件系统;    (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl; [root@wlm ~]# fdisk /dev/sdb    #将/dev/sdb进行分区操作 D…

    Linux干货 2016-11-07
  • 于浩的第一篇随笔

    人生只有两件事,努力工作,享受生活!

    2018-03-26
  • 正则表达式基础

    一、正则表达式: 元字符是用来阐释字符表达式意义的字符,简言之,就是用来描述字符的字符。 正则表达式RE(Regular Expression)是由一串字符和元字符构成的字符串。 正则表达式的主要功能是文本查询和字符串操作,它可以匹配文本的一个字符或字符集合。实际上正则表达式完成了数据的过滤,将不满足正则表达式定义的数据拒绝掉,剩下与正则表达式匹配的数据。 …

    Linux干货 2017-06-04
  • varnish详解

      第一章    http缓存的基础概念 1、程序运行时具有局部性特征 时间局部性缓存的数据往往被打有时间缀,具有定期失效的特征,过期后会从源服务器检验请求验证是否需要重新拉取数据,某数据被访问后,该数据往往会再次在短时间内被访问到。 空间局部性被访问数据的周边数据被访问的概率会比其它常规数据访问大很多,所以这些访问数…

    Linux干货 2016-11-15
  • 马哥教育网络第21期-第十四周课程练习

    系统的INPUT和OUTPUT默认策略为DROP; iptables -P INPUT DROP iptables -P OUTPUT DROP 1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问; web服务器仅允许…

    Linux干货 2016-12-26
  • 沉舟侧畔千帆进,枯木头前万树春

    N21第五周博客作业 1、  显示/boot/grub/grub.conf中以至少一个空白字符开头的行; ~]#  grep -E "^[[:space:]]+" //boot/grub/grub.conf root (hd0,0) kernel /vmlin…

    Linux干货 2016-07-29