rhel5的l7内核编译
一、重新编译linuxn内核
(1)解压netfilter-layer7和linxu内核
tar -jxf netfilter-lay[table] -C /usr/src
tar -jxf linux-2[table] -C /usr/src
cd /usr/src/linux-2[table]
patch -p1 </home/yangbo注释:yangbo为ftp上传的那个文件价/netfilter-layer7[table]/kernel-[tables]
(2)重新配置内核参数
cp /boot/config-[table] ./config
make menuconfig
Code Netfiler configuartion
依次选择“Network--->Network Options --> Network Packet filering framework(Netfiler)-->Code Netfilter Configuration”
将“Netfilter connection tracking support”功能编译为【M】
向下找“layer7”match support
“string” match support
"time" match support
"iprange" addres range match support
"connlimit" match support
"state" match support
IP:Netfilter configuartion
依次展开“Networking-->Network Options --->Network Packet filering framework(Netfiler)-->IP:Netfilter configuartion”
"IPv4 connection tracking support(require for NAT)"
"FUll NAT"
"MASQUERADE target support"
"REDIRECT ttarget support"
全部编译为【M】
File systems-->Ext3 journalling file system support去掉【M】
(3)编译内核,并安装内核文件,复制模块文件
make
make modules_install
make install
----------------------------------------------------------------------------------------
(4)调整GRUB引导菜单,使系统默认以新内核启动系统
vi /boot/grub/grub.conf
default=1
改为
default=0
----------------------------------------------------------------------------------------
二、重新编译安装iptables并安装L7-protocol协议包
(1)卸载系统原有的iptables相关软件包
rpm -e iptabnles-ipv6 iptanbles iptstate --nodeps
(2)解压释放iptables源码包,并应用补丁文件
tar jxvf iptables-1.4[tables] -c /usr/src/
cd /usr/src/iptables-1.4.2/
cp /usr/src/netfilter-layer-v.2.21/iptables-1.4.1.1-for-kernel[tables]/libxt_layer7.*extensions/
(3)配置,编译并安装iptables,使用“--with-ksource”参数指定内核源码路径。
./ configure --prefix=/ --with-ksource=/usr/src/linux-2.6.28.8
make
make install
(4)安装L7-protocol协议定义包
tar zxvf L7-protocol[tables]
cd L7-protocol[tables]
make install
三、使用iptables设置应用层过滤规则
例1,使用layer7显示匹配策略使用qq,msn,edonkey等应用层数据包访问
iptables -A FORWARD -m layer7 --l7proto qq -j DROP
iptables -A FORWARD -m layer7 --l7proto msn-filetrandfer -j DROP
iptables -A FORWARD -m layer7 --l7proto msnessenger -j DROP
例2,使用“connlimit”显示匹配进行数据并发连接控制,超出100个并发连接时拒绝
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100-j DROP
例3,使用“--time”显示匹配根据时间范围设置数据访问策略,允许周一到周五8:00-18:00之间的数据访问
iptables -A FORWARD -p tcp --dport 80 -m time --timestart 8:00 --timetop 18:00 --weekdays Mon, Tue,wed,thu,fri -j accept
例4,使用“string”显示匹配策略包含“tencent”,"verycd","色情",“成人电影”的网络访问数据
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" --algo bm -j DROP
iptables -A FORWARD -p udp --dport 53 -m string --string "verycd" --algo bm -j DROP
iptables -A FORWARD -p tcp --dport 80 -m string --string "色情" --algo bm -j DROP
iptables -A FORWARD -p tcp --dport 80 -m string --string "成人电影" --algo bm -j DROP
作者“贾晓阳”