iptables之三：基于iptables实现7层访问过滤

一、实现方法

   iptables它是一个典型的网络防火墙，也就是说，它最多也就只能过滤TCP/IP协议栈，对于像QQ，迅雷，酷狗，大智慧等这样的应用层协议，iptables是没有用武之地的；可什么事情都不是绝对的，这不，美国的一个大牛程序员就为iptables/netfilter开发了一个补丁，只要为内核打上layer7 这个 补丁，那么你就不会再为过滤QQ等应用层协议而忧愁了，实现起来就是分分钟钟的事。因为netfilter是工作于内核空间的，所以我们为其打上补丁后需重新编译内核。而目前官网提供的layer7版本比较低，如果想要实现其功能，只有两个方法：第一为内核降级，第二需编译内核源码。

二、实现必备软件包

1、内核源码包

2、layer7内核补丁

3、iptabl es源码包

4、 l7-protocols协议包

   l7-protocols-2009-05-28.tar.gz

三、经验分享，血淋淋的教训（2天错误总结）

2、保证磁盘空间要足够大

四、实现过程

1、获取并编译内核

1）安装内核源码包需新建一个mockbuild用户，否则会报错

2）# rpm -ivh kernel-2.6.32-431.5.1.x86_64.el6.src.rpm

   安装内核rpm包后会在/root下生成一rpmbuild目录，在/root/rpmbuild/SOURCES下就会有内核源码包和一堆config

4、以本地内核配置文件为模板，编译内核

Networking support--->Networking options--->Network packet filtering framework(Netfilter)--->core Netfilter Configuration--->"layer7" match support

Enable loadable module support--->Module signature verification（EXPERIMENTAL）

Cryptographic API--->In-kernel signature checker（EXPERIMENTAL）

内网客户端win7一台，处于VMnet5段中

服务器配置两块网卡，一块用于外网（eth0：172.16.251.93），一块用于外网（eth1：192.168.1.104）

为了使内网客户端能够通过此服务器上网，需开启转发功能

方法一：设置源地址转换

方法二：设置内网源地址伪装

（4）l7规则前，内网客户端可正常登录QQ

（5）基于iptables规则过滤QQ协议

（6）查看过滤结果

效果不言而喻，当然是完美的，不过要想结果完美，还要经过一段痛苦的折磨期！！！