备案控制台
开发者社区 开发与运维 文章 正文

linux系统之编译内核实现iptables应用层过滤

2017-11-08 1004
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
简介:

温馨提示

之前己经介绍了Linux防火墙iptables的原理命令用法,在前面说过iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能。难以判断数据包对应于何种应用程序(如:视频,QQ)

一、前言

为了解决上述问题,可以为netfilter打上补丁,由于netfilter是基于Linux内核的,所以要重新编译,而后也要为iptables添加相应的补丁文件,重新编译安装后提供基于应用层(第7层)的扩展功能。通过独立的l7-protocols协议包提供对各种应用层协议的特征识别与定义,从而达到限定应用程序的目的。

二、具体实现过程

注:

1、 目前,官网的layer7只支持到内核版本较低,如要使用,只有两个办法,第一种方法将内核降级,另一个是修改layer7中的源代码,使之适用于当前内核的版本。

2、这里所说的内核版本是指redhat再编译整合后的发布的内核版本,并不是kernel.org中的内核版本。所以要使用请到redhat的ftp站点去下载。

=========================================================================================

1、实验所需要的相关包

内核源码包:kernel-2.6.32-431.11.2.el6.src.rpm  下载地址
iptables:iptables-1.4.7-11.el6.src.rpm  下载地址

l7-protocols协议包:l7-protocols-2009-05-28.tar.gz 下载地址

2、安装过程

⑴、 获取并编译内核

# useradd mockbuild
添加安装src格式的软件包需要的用户

wKiom1M76N_hU_v1AAGfVId5MMA773.jpg

  解压缩到指定的目录中

wKioL1M76SnjH7t0AAFooA8pUiU169.jpg

制作软链接,便于以后使用

wKioL1M77dGSTTOpAADeh8a4YLU376.jpg

⑵、为内核打上netfilter-layer7-v2.23补丁

wKioL1M77tOjdikYAAXiW55lm8E282.jpg

⑶、基于本地系统中的内核配置文件编译此内核

1
2
# cp /boot/config-2.6.32-431.el6.x86_64 .config
# make menuconfig

①、网络支持

wKioL1M78c3BkVEBAALRyyV3N0o174.jpg

②、参数设定子项

wKioL1M78gKgvvjaAAMBC5RGUCw887.jpg

③、设定过滤模板

wKiom1M78lzgXpSRAANjhtJxSeE645.jpg

④、核心过滤配置

wKioL1M78nXw_3ccAALw046ePh8420.jpg

⑤、支持layer7匹配器

wKiom1M78sqDiWG3AAK9IS_f900232.jpg

⑥、确保支持连接追踪

wKioL1M78tfS9G9zAAOPwEiNAMo288.jpg

⑦、基于IP过滤配置

wKiom1M78zTyXQDmAAMWi1EbwFs555.jpg

⑧、ipv4的nat连接追踪功能

wKiom1M788Hh7YlhAAM8ICpluaw360.jpg

⑨、取消编译验证

wKioL1M79BzA7suoAAJ_sJxKnKc119.jpg

⑩、取消模块签名认证

wKiom1M79ImQFMbdAAJlxrAfhtY853.jpg

进入API接口

wKiom1M79eqAvglsAAJawrcGwSI536.jpg

取消签名检查

wKiom1M79fmCcG50AANPtLN_unE874.jpg

退出并保存

wKioL1M79eORfAXNAAC86vq7Hwo217.jpg

⑷、编译并安装内核

1
2
3
# make
# make modules_install
# make install

这样就会在/boot/grub/grub.conf文件中有一个新的内核版本,将default设置到此内核版本次序上,就可以启动新的内核了。

(5)、重启系统,启用新内核

wKioL1M794jDvLwAAADzbwpakXs853.jpg

3、编译iptables

1
2
3
#cd /download
# tar xf iptables-1.4.20.tar.bz2
# cp /download/netfilter-layer7-v2.23/iptables-1.4.3forward-for-kernel-2.6.20forward/* extensions/

说明:之前己经将nerfilter编译到内核中了,在此将netfilter新的功能支持到kernel2.6.20之后的版本复制到iptabels扩展功能中。

wKioL1M7-pPQ1kmmAASEkbfrLoE276.jpg

备份启动脚本与配置文件

1
2
# cp /etc/rc.d/init.d/iptables /download
# cp /etc/sysconfig/iptables-config /download

wKioL1M7-wjQ3NrjAAFvYtgkjQ0887.jpg

1
# make && make install

注:在此处出现如下警告,提示netfilter_conntrack没有找到,这个可以忽略,在安装完成后使用 modprobe加载即可。

wKiom1M7-1vCkc8bAABp34ZoU5Y134.jpg

还原启动脚本与配置文件

wKiom1M7_NLw5dZzAAEEla9B_4s368.jpg

4、为layer7模块提供其所识别的协议的特征码

1
2
3
# tar zxvf l7-protocols-2009-05-28.tar.gz
# cd l7-protocols-2009-05-28
# make install

wKioL1M7_Syw71QDAAEQIR0fpak618.jpg

5、如何使用layer7模块

⑴、安装完成后,查看iptabels的版本。

wKioL1M7_ZPSVetLAADzbPA8NVk184.jpg

⑵、修改脚本

wKioL1M7_c7CwT1DAAC2okgyMbU634.jpg

⑶、ACCT的功能已经可以在内核参数中按需启用或禁用。此参数需要装载nf_conntrack模块后方能生效

wKioL1M7_hThjPWKAAEESLPqPxI766.jpg

⑷、加载nf_conntrack模块(之前警告处提示的那个)

wKioL1M7_oyi4Vg4AADacQYBecA401.jpg

6、测试layer7应用层程序限定

注:更新后iptables在原有基础上新增了应用层的扩展语法,支持更多的扩展功能。

其格式如:

# iptables [specify table & chain] -m layer7 --l7proto [protocol name] -j [action]

三、测试环境
系统 :windows xp 安装软件QQ

系统 :linux 基于iptables 的防火墙。

1、网络属性:

windows xp

wKiom1M7_1TTLHWKAAL9jt0Krqo380.jpg

linux网络属性

wKioL1M7_1aTP-_1AAWPY0aZoyA386.jpg

2、配置完成后,测试windows xp与linux的连通性

注:

但无法ping通物理机所在的192.168.1.0网段中的网关(192.168.1.253)

3、linux开启包转发与地址伪装

wKiom1M7_7ygld7fAACNy7TDqNc346.jpg

wKioL1M7_7DBwksOAADKBqooi8E870.jpg

4、xp上网测试

wKiom1M8AAKyWXfQAAHJGy8s1Yw818.jpg

5、限定某一网络内的主机不可以上QQ
#iptables -I FORWARD -m layer7 --l7proto qq -j REJECT

wKiom1M8ADCRasGkAAKf-8zddio325.jpg

6、查看效果

wKiom1M8AG6R6NiKAAE2X6Ox_B4004.jpg

注:如果想了解更多的l7-protocols支持对那些应用程序限定,请移步官网

====================================完=============================================










本文转自 jinlinger 51CTO博客,原文链接:http://blog.51cto.com/essun/1389297,如需转载请自行联系原作者
文章标签:
云防火墙
Linux
Windows
测试技术
网络安全
关键词:
Linux系统
Linux应用层
Linux IPtables
Linux系统iptables
Linux实现
余二五
目录
相关文章
张柏镒
|
22小时前
|
弹性计算 安全 Cloud Native
Alibaba Cloud Linux镜像系统超好用!兼容CentOS生态,性能稳定性绝对可以!
Alibaba Cloud Linux是阿里云的自研Linux发行版,兼容CentOS/RHEL,提供长期免费支持。它针对云服务器ECS优化,适用于多种场景,如Web服务、云原生应用等。Alibaba Cloud Linux 3基于Anolis OS 8,提供安全、高性能、十年维护及丰富的开源生态。用户可在ECS购买时选择镜像安装,支持多架构并提供热补丁、解决方案和快速启动版。更换ECS操作系统是免费的。
张柏镒
22 5
听风的鱼鱼儿
|
3天前
|
Linux 数据处理
Linux中的nproc命令:轻松查看系统CPU核心数
`nproc`命令在Linux中用于查看CPU核心数,简洁高效,无参数直接运行。它读取`/proc/cpuinfo`获取信息,适用于资源分配。例如,`nproc`显示核心数,`nproc --all`(非标准选项,可能需结合其他命令)展示更多详情。在脚本中,可将`nproc`输出赋值给变量以适应动态资源管理。使用时注意文件访问权限,检查结果准确性,并结合其他工具如`lscpu`获取更全面硬件信息。
听风的鱼鱼儿
13 1
小竹笋
|
5天前
|
关系型数据库 MySQL Linux
Linux系统中Mysql5.7建立远程连接
Linux系统中Mysql5.7建立远程连接
小竹笋
5 0
听风的鱼鱼儿
|
7天前
|
监控 Linux 数据处理
探索Linux中的`lsmem`命令:深入了解系统内存布局
`lsmem`是Linux命令,用于显示系统内存布局和大小,帮助管理员和开发者理解内存使用情况。它提供详细输出,包括内存块的大小、范围、类型和关联,支持多种格式展示,如树状图。命令参数如`-h`显示帮助,`-t`以树形展示,`--human-readable`使大小更易读。需root权限运行,常与`free`、`vmstat`等工具结合使用,用于监控和优化内存。注意不同发行版可能存在兼容性差异。
听风的鱼鱼儿
23 4
听风的鱼鱼儿
|
7天前
|
监控 Linux 数据处理
lslocks:Linux系统中的锁信息查看利器
`lslocks`是Linux工具,用于查看系统上的文件锁信息,帮助诊断进程同步问题。它显示持有锁的进程、锁类型(如POSIX、flock)和状态。通过简洁的输出,用户能识别死锁和资源争用,优化性能。结合其他命令如`grep`和`awk`可增强分析能力。需适当权限运行,定期监控以预防并发访问问题,处理死锁时要谨慎。
听风的鱼鱼儿
28 6
wjq++
|
7天前
|
存储 安全 Linux
一行代码使Linux系统崩溃?
一行代码使Linux系统崩溃?
wjq++
13 1
今天是几号
|
7天前
|
网络协议 Linux Shell
【权限提升】Linux系统&Docker挂载&Rsync未授权&Sudo-CVE&Polkit-CVE
【权限提升】Linux系统&Docker挂载&Rsync未授权&Sudo-CVE&Polkit-CVE
今天是几号
10 0
今天是几号
|
7天前
|
关系型数据库 MySQL Shell
【权限提升】Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化
【权限提升】Linux系统&环境变量&定时任务&权限配置不当&MDUT自动化
今天是几号
19 4
半夜敲代码的夜猫子
|
8天前
|
存储 关系型数据库 MySQL
MySQL数据库进阶第一篇(存储引擎与Linux系统上安装MySQL数据库)
MySQL数据库进阶第一篇(存储引擎与Linux系统上安装MySQL数据库)
半夜敲代码的夜猫子
86 1
听风的鱼鱼儿
|
9天前
|
存储 监控 安全
深入探索Linux的journalctl命令:系统日志的利器
**journalctl 深入解析:Linux 系统日志的强大工具** journalctl 是 Linux 中用于查询和管理 systemd 日志的命令行工具,与 systemd-journald 配合收集广泛的信息,包括内核消息和服务日志。它提供实时追踪、过滤、导出等功能,如 `-f` 实时监控,`-u` 过滤特定服务日志,`-k` 显示内核消息,`--since` 和 `--until` 选择时间范围。在实际应用中,结合权限管理、日志空间控制和有效过滤,journalctl 成为系统管理员诊断和优化系统的得力助手。
听风的鱼鱼儿
31 7

热门文章

最新文章

  • 1
    Linux 系统手动部署 MySQL 数据库
  • 2
    redis 系列1 linux下安装说明
  • 3
    定制Linux
  • 4
    linux主机名包含点
  • 5
    Linux 中gdb调试工具的使用
  • 6
    AWK文本处理工具(Linux)
  • 7
    linux内核值shmmax问题
  • 8
    谈谈linux2.6内核的驱动框架
  • 9
    Linux内核堆栈使用方法 进程0和进程1【转】
  • 10
    linux下mysql出现的几个小问题
  • 1
    2024年最新整理的Kubernetes命令大全,非常详细,值得收藏!
    58
  • 2
    g命令:Linux 中 ls 命令的优雅替代方案
    34
  • 3
    FFmpeg开发笔记(十六)Linux交叉编译Android的OpenSSL库
    52
  • 4
    深入理解 Linux 文件系统的权限控制
    40
  • 5
    linux性能分析之内存分析(free,vmstat,top,ps,pmap等工具使用介绍)
    59
  • 6
    Linux权限管理
    22
  • 7
    如何在 Linux 上设置 SSH 密钥身份验证?
    131
  • 8
    如何在 Linux 中查找父进程 ID (PPID)?
    93
  • 9
    如何检查 Linux 中进程运行了多长时间?
    45
  • 10
    Yarn介绍及快速安装Debian/Ubuntu Linux
    114

    • 相关课程

    更多
  • Linux高级网络应用 - 网络管理与配置实战
  • Linux用户和组管理
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • Linux指令入门-文件与权限
  • Linux系统的文本处理
  • Linux指令入门-系统管理
  • Linux系统的磁盘管理
  • Linux指令入门-文件管理

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)