linux系统之编译内核实现iptables应用层过滤

本文涉及的产品
云防火墙,500元 1000GB
简介:

温馨提示

之前己经介绍了Linux防火墙iptables的原理命令用法,在前面说过iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:视频,QQ)

一、前言

为了解决上述问题,可以为netfilter打上补丁,由于netfilter是基于Linux内核的,所以要重新编译,而后也要为iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。通过独立的l7-protocols协议包提供对各种应用层协议的特征识别与定义,从而达到限定应用程序的目的。

二、具体实现过程

注:

1、 目前,官网的layer7只支持到内核版本较低,如要使用,只有两个办法,第一种方法将内核降级,另一个是修改layer7中的源代码,使之适用于当前内核的版本。

2、这里所说的内核版本是指redhat再编译整合后的发布的内核版本,并不是kernel.org中的内核版本。所以要使用请到redhat的ftp站点去下载。

=========================================================================================

1、实验所需要的相关包

内核源码包:kernel-2.6.32-431.11.2.el6.src.rpm  下载地址
iptables:iptables-1.4.7-11.el6.src.rpm  下载地址

l7-protocols协议包:l7-protocols-2009-05-28.tar.gz 下载地址

2、安装过程

⑴、 获取并编译内核

# useradd mockbuild
添加安装src格式的软件包需要的用户

wKiom1M76N_hU_v1AAGfVId5MMA773.jpg

  解压缩到指定的目录中

wKioL1M76SnjH7t0AAFooA8pUiU169.jpg

制作软链接,便于以后使用

wKioL1M77dGSTTOpAADeh8a4YLU376.jpg

⑵、为内核打上netfilter-layer7-v2.23补丁

wKioL1M77tOjdikYAAXiW55lm8E282.jpg

⑶、基于本地系统中的内核配置文件编译此内核

1
2
# cp /boot/config-2.6.32-431.el6.x86_64 .config
# make menuconfig

①、网络支持

wKioL1M78c3BkVEBAALRyyV3N0o174.jpg

②、参数设定子项

wKioL1M78gKgvvjaAAMBC5RGUCw887.jpg

③、设定过滤模板

wKiom1M78lzgXpSRAANjhtJxSeE645.jpg

④、核心过滤配置

wKioL1M78nXw_3ccAALw046ePh8420.jpg

⑤、支持layer7匹配器

wKiom1M78sqDiWG3AAK9IS_f900232.jpg

⑥、确保支持连接追踪

wKioL1M78tfS9G9zAAOPwEiNAMo288.jpg

⑦、基于IP过滤配置

wKiom1M78zTyXQDmAAMWi1EbwFs555.jpg

⑧、ipv4的nat连接追踪功能

wKiom1M788Hh7YlhAAM8ICpluaw360.jpg

⑨、取消编译验证

wKioL1M79BzA7suoAAJ_sJxKnKc119.jpg

⑩、取消模块签名认证

wKiom1M79ImQFMbdAAJlxrAfhtY853.jpg

进入API接口

wKiom1M79eqAvglsAAJawrcGwSI536.jpg

取消签名检查

wKiom1M79fmCcG50AANPtLN_unE874.jpg

退出并保存

wKioL1M79eORfAXNAAC86vq7Hwo217.jpg

⑷、编译并安装内核

1
2
3
# make
# make modules_install
# make install

这样就会在/boot/grub/grub.conf文件中有一个新的内核版本,将default设置到此内核版本次序上,就可以启动新的内核了。

(5)、重启系统,启用新内核

wKioL1M794jDvLwAAADzbwpakXs853.jpg

3、编译iptables

1
2
3
#cd /download
# tar xf iptables-1.4.20.tar.bz2
# cp /download/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/* extensions/

说明:之前己经将nerfilter编译到内核中了,在此将netfilter新的功能支持到kernel2.6.20之后的版本复制到iptabels扩展功能中。

wKioL1M7-pPQ1kmmAASEkbfrLoE276.jpg

备份启动脚本与配置文件

1
2
# cp /etc/rc.d/init.d/iptables /download
# cp /etc/sysconfig/iptables-config /download

wKioL1M7-wjQ3NrjAAFvYtgkjQ0887.jpg

1
# make && make install

注:在此处出现如下警告,提示netfilter_conntrack没有找到,这个可以忽略,在安装完成后使用 modprobe加载即可。

wKiom1M7-1vCkc8bAABp34ZoU5Y134.jpg

还原启动脚本与配置文件

wKiom1M7_NLw5dZzAAEEla9B_4s368.jpg

4、为layer7模块提供其所识别的协议的特征码

1
2
3
# tar zxvf l7-protocols-2009-05-28.tar.gz
# cd l7-protocols-2009-05-28
# make install

wKioL1M7_Syw71QDAAEQIR0fpak618.jpg

5、如何使用layer7模块

⑴、安装完成后,查看iptabels的版本。

wKioL1M7_ZPSVetLAADzbPA8NVk184.jpg

⑵、修改脚本

wKioL1M7_c7CwT1DAAC2okgyMbU634.jpg

⑶、ACCT的功能已经可以在内核参数中按需启用或禁用。此参数需要装载nf_conntrack模块后方能生效

wKioL1M7_hThjPWKAAEESLPqPxI766.jpg

⑷、加载nf_conntrack模块(之前警告处提示的那个)

wKioL1M7_oyi4Vg4AADacQYBecA401.jpg

6、测试layer7应用层程序限定

注:更新后iptables在原有基础上新增了应用层的扩展语法,支持更多的扩展功能。

其格式如:

# iptables [specify table & chain] -m layer7 --l7proto [protocol name] -j [action]

三、测试环境
系统 :windows xp 安装软件QQ

系统 :linux 基于iptables 的防火墙。

1、网络属性:

windows xp

wKiom1M7_1TTLHWKAAL9jt0Krqo380.jpg

linux网络属性

wKioL1M7_1aTP-_1AAWPY0aZoyA386.jpg

2、配置完成后,测试windows xp与linux的连通性

注:

但无法ping通物理机所在的192.168.1.0网段中的网关(192.168.1.253)

3、linux开启包转发与地址伪装

wKiom1M7_7ygld7fAACNy7TDqNc346.jpg

wKioL1M7_7DBwksOAADKBqooi8E870.jpg

4、xp上网测试

wKiom1M8AAKyWXfQAAHJGy8s1Yw818.jpg

5、限定某一网络内的主机不可以上QQ
#iptables -I FORWARD -m layer7 --l7proto qq -j REJECT

wKiom1M8ADCRasGkAAKf-8zddio325.jpg

6、查看效果

wKiom1M8AG6R6NiKAAE2X6Ox_B4004.jpg

注:如果想了解更多的l7-protocols支持对那些应用程序限定,请移步官网

====================================完=============================================










本文转自 jinlinger 51CTO博客,原文链接:http://blog.51cto.com/essun/1389297,如需转载请自行联系原作者
目录
相关文章
|
12天前
|
Linux Windows
Linux01---目录结构,Linux系统下只有一个最顶级的树/,Windows系统有盘符概念,而Linux系统没有盘符概念,整个系统都在/根目录下,Linux 系统写法 /user/local
Linux01---目录结构,Linux系统下只有一个最顶级的树/,Windows系统有盘符概念,而Linux系统没有盘符概念,整个系统都在/根目录下,Linux 系统写法 /user/local
|
12天前
|
安全 Linux 网络安全
部署07--远程连接Linux系统,利用FinalShell可以远程连接到我们的操作系统上
部署07--远程连接Linux系统,利用FinalShell可以远程连接到我们的操作系统上
|
12天前
|
Linux 虚拟化 数据安全/隐私保护
部署05-VMwareWorkstation中安装CentOS7 Linux操作系统, VMware部署CentOS系统第一步,下载Linux系统,/不要忘, CentOS -7-x86_64-DVD
部署05-VMwareWorkstation中安装CentOS7 Linux操作系统, VMware部署CentOS系统第一步,下载Linux系统,/不要忘, CentOS -7-x86_64-DVD
|
2天前
|
Ubuntu Linux 测试技术
Linux系统之在命令行玩转Pacman4console贪吃人经典小游戏
【7月更文挑战第12天】Linux系统之在命令行玩转Pacman4console贪吃人经典小游戏
24 11
|
3天前
|
Linux
Linux系统中,根目录
【7月更文挑战第14天】
15 4
|
7天前
|
Web App开发 安全 Linux
Linux系统之安装Firefox浏览器
【7月更文挑战第8天】Linux系统之安装Firefox浏览器
32 8
|
4天前
|
Ubuntu Linux Shell
Ubuntu/linux系统环境变量配置详解
理解和掌握如何配置环境变量对于使用和管理Ubuntu/Linux系统非常重要。
13 2
|
6天前
|
Linux 数据处理 C语言
【Linux】基础IO----系统文件IO & 文件描述符fd & 重定向(下)
【Linux】基础IO----系统文件IO & 文件描述符fd & 重定向(下)
22 0
|
10天前
|
网络协议 Ubuntu Linux
Linux系统之mtr命令的基本使用
【7月更文挑战第5天】Linux系统之mtr命令的基本使用
32 3
|
9天前
|
Ubuntu Linux 网络安全
群晖搭建网页版Linux Ubuntu系统并实现远程访问
群晖搭建网页版Linux Ubuntu系统并实现远程访问
12 1