前言
做為網絡管理者,對P2P、QQ、酷狗等軟體是又愛又恨,大多數公司為了提高工作效率,禁止公司員工登陸QQ、看視訊等,在市場上買專門的上網行為管理裝置,随便一種都是價格不菲,而使用linux來做網關一樣可以禁止qq、酷狗等軟體,為實作此功能就需要為iptables/netfilter添加layer7子產品,而iptables/netfilter是基于核心的,是以需要重新編譯核心。
編譯過程
環境介紹
系統環境:CentOS6.6
所需源碼包:kernel-2.6.32-504.16.2.el6.src.rpm(紅帽ftp站點提供)
iptables-1.4.20.tar.bz2
netfilter-layer7-v2.23.tar.bz2
l7-protocols-2009-05-28.tar.gz
編譯核心
解決依賴關系
1
<code>[root@Firewall ~]</code><code># yum groupinstall "Development Tools" "Server Platform Development" -y</code>
建立所需使用者并安裝
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U52AfzOJkxAADQSsSFnOE176.jpg" target="_blank"></a>
将源碼解壓到指定目錄
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U514uTyc6GAASy00zVdms024.jpg" target="_blank"></a>
為核心打更新檔
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U52hqyeXliAAKlGLlFB2A206.jpg" target="_blank"></a>
開始編譯
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U52kTTr3tXAAErvOlEyC8318.jpg" target="_blank"></a>
首先選擇此項
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKiom1U52wWwl30xAALeeTd4YNc164.jpg" target="_blank"></a>
進入此項設定參數
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U524XBzK-WAAKUYVVczAQ159.jpg" target="_blank"></a>
下拉,選擇此項并進入
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKiom1U53ESQJYS8AANJakmApq4669.jpg" target="_blank"></a>
進入核心過濾設定
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U53hizo98YAAKYBFELD90577.jpg" target="_blank"></a>
啟用layer7支援
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U53ZaCyB6TAAMjLOn4Z_k732.jpg" target="_blank"></a>
傳回第一層,進入此項
<a href="http://s3.51cto.com/wyfs02/M02/6B/E6/wKioL1U54NKyBGwRAALankFaruI474.jpg" target="_blank"></a>
取消子產品簽名校驗
<a href="http://s3.51cto.com/wyfs02/M00/6B/EA/wKiom1U53_qBE6uqAAJvEO-CawU730.jpg" target="_blank"></a>
傳回,進入API加密設定
<a href="http://s3.51cto.com/wyfs02/M01/6B/E6/wKioL1U54fqgv2-PAALlnpypgOc714.jpg" target="_blank"></a>
取消核心簽名校驗,否則無法編譯安裝
<a href="http://s3.51cto.com/wyfs02/M00/6B/EA/wKiom1U54SXjXaHFAANyTMiELDE099.jpg" target="_blank"></a>
儲存退出
<a href="http://s3.51cto.com/wyfs02/M01/6B/EA/wKiom1U54ZqwI49qAABu0ESNInY799.jpg" target="_blank"></a>
編譯安裝
2
3
4
5
<code>[root@Firewall linux]</code><code># yum install screen -y #為了防止意外,我們在screen裡編譯安裝</code>
<code>[root@Firewall linux]</code><code># screen</code>
<code>[root@Firewall linux]</code><code># make</code>
<code>[root@Firewall linux]</code><code># make modules_install</code>
<code>[root@Firewall linux]</code><code># make install</code>
看一下grub.conf檔案,新核心的資訊已經寫入了
<a href="http://s3.51cto.com/wyfs02/M02/6B/EC/wKiom1U6AP6gyMI8AAJXc0yUey4977.jpg" target="_blank"></a>
以新核心啟動
<a href="http://s3.51cto.com/wyfs02/M00/6B/EC/wKiom1U6AhqCCh6dAAEARkTxvf0749.jpg" target="_blank"></a>
編譯iptables
解壓并打更新檔
<a href="http://s3.51cto.com/wyfs02/M01/6B/E8/wKioL1U6BSrhEq4KAACKrX5JTI4327.jpg" target="_blank"></a>
備份腳本檔案,解除安裝舊版本
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKioL1U6Bjyzo-cSAAB-vGIycIo237.jpg" target="_blank"></a>
<code>[root@Firewall ~]</code><code># cd iptables-1.4.20</code>
<code>[root@Firewall iptables-1.4.20]</code><code># ./configure --prefix=/usr --with-ksource=/usr/src/linux</code>
<code>[root@Firewall iptables-1.4.20]</code><code># make && make install</code>
還原腳本
修改腳本
将所有/sbin/$IPTABLES替換為/usr/sbin/$IPTABLES
檢視iptables版本
<a href="http://s3.51cto.com/wyfs02/M02/6B/E9/wKioL1U6C2uTCiFpAAApX7jJakE606.jpg" target="_blank"></a>
為layer7子產品提供其所識别的協定的特征碼
裝載子產品
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKioL1U6Dqngff0pAAClcXY0NEk998.jpg" target="_blank"></a>
添加核心參數,使之永久有效
<code>[root@Firewall ~]</code><code># vim /etc/sysctl.conf </code>
<code>net.netfilter.nf_conntrack_acct = 1</code>
<code>[root@Firewall ~]</code><code># sysctl -p</code>
應用層過濾測試
案例要求
假設内網主機由伺服器代理上網,為提高工作效率,禁止内網使用者登入QQ
代理伺服器:192.168.1.254(可通路網絡),172.16.10.254
内網用戶端:172.16.10.12
網絡設定
<a href="http://s3.51cto.com/wyfs02/M00/6B/ED/wKiom1U6EwTRms7mAAJxupa_F5s170.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/6B/ED/wKiom1U6E4qCi2m4AAFi_X3_hLY370.jpg" target="_blank"></a>
172.16.0.0/16的網段在VMnet1内
開啟伺服器路由轉發功能
<code>[root@Firewall ~]</code><code># vim /etc/sysctl.conf</code>
<code>net.ipv4.ip_forward = 1</code>
設定防火牆規則,使内網可通路網絡
<a href="http://s3.51cto.com/wyfs02/M02/6B/EA/wKioL1U6HEGQ33rWAAFc8XDbEs4142.jpg" target="_blank"></a>
檢視是否可以通路網絡
<a href="http://s3.51cto.com/wyfs02/M02/6B/EE/wKiom1U6HhTSbhBgAAGDzLCcMg0661.jpg" target="_blank"></a>
我們找一個小号登入QQ測試
<a href="http://s3.51cto.com/wyfs02/M01/6B/EE/wKiom1U6KRfBRRbCAARy5BNIP-c063.jpg" target="_blank"></a>
此時是可以登入的,我們下線,設定防火牆規則,禁用QQ
<a href="http://s3.51cto.com/wyfs02/M01/6B/EB/wKioL1U6KsCyM1OXAAGR2EPq998653.jpg" target="_blank"></a>
再次登入試試
<a href="http://s3.51cto.com/wyfs02/M01/6B/EE/wKiom1U6KYGCij8nAAG7eToNPf0225.jpg" target="_blank"></a>
登入失敗,我們看一下防火牆,有沒有比對到封包
<a href="http://s3.51cto.com/wyfs02/M00/6B/EB/wKioL1U6KyHwZ7MPAAFwhhdDwBM892.jpg" target="_blank"></a>
看,已經有封包被拒絕了,至此iptables基于layer7實作應用層過濾以實作,需要禁止其他程式,請自行添加相應規則
The end
基于layer7的應用層防火牆就說到這裡了,除了編譯核心時比較費時間外,應該沒什麼别的麻煩的問題,希望本文可以幫到有需要的小夥伴,配置過程中遇到問題可留言。以上僅為個人學習整理,如有錯漏,大神勿噴~~~
本文轉自 北城書生 51CTO部落格,原文連結:http://blog.51cto.com/scholar/1638149