前言
做为网络管理员,对P2P、QQ、酷狗等软件是又爱又恨,大多数公司为了提高工作效率,禁止公司员工登陆QQ、看视频等,在市场上买专门的上网行为管理设备,随便一种都是价格不菲,而使用linux来做网关一样可以禁止qq、酷狗等软件,为实现此功能就需要为iptables/netfilter添加layer7模块,而iptables/netfilter是基于内核的,所以需要重新编译内核。
编译过程
环境介绍
系统环境:CentOS6.6
所需源码包:kernel-2.6.32-504.16.2.el6.src.rpm(红帽ftp站点提供)
iptables-1.4.20.tar.bz2
netfilter-layer7-v2.23.tar.bz2
l7-protocols-2009-05-28.tar.gz
编译内核
解决依赖关系
1
<code>[root@Firewall ~]</code><code># yum groupinstall "Development Tools" "Server Platform Development" -y</code>
创建所需用户并安装
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U52AfzOJkxAADQSsSFnOE176.jpg" target="_blank"></a>
将源码解压到指定目录
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U514uTyc6GAASy00zVdms024.jpg" target="_blank"></a>
为内核打补丁
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U52hqyeXliAAKlGLlFB2A206.jpg" target="_blank"></a>
开始编译
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U52kTTr3tXAAErvOlEyC8318.jpg" target="_blank"></a>
首先选择此项
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKiom1U52wWwl30xAALeeTd4YNc164.jpg" target="_blank"></a>
进入此项设定参数
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U524XBzK-WAAKUYVVczAQ159.jpg" target="_blank"></a>
下拉,选择此项并进入
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKiom1U53ESQJYS8AANJakmApq4669.jpg" target="_blank"></a>
进入核心过滤设置
<a href="http://s3.51cto.com/wyfs02/M00/6B/E5/wKioL1U53hizo98YAAKYBFELD90577.jpg" target="_blank"></a>
启用layer7支持
<a href="http://s3.51cto.com/wyfs02/M00/6B/E9/wKiom1U53ZaCyB6TAAMjLOn4Z_k732.jpg" target="_blank"></a>
返回第一层,进入此项
<a href="http://s3.51cto.com/wyfs02/M02/6B/E6/wKioL1U54NKyBGwRAALankFaruI474.jpg" target="_blank"></a>
取消模块签名校验
<a href="http://s3.51cto.com/wyfs02/M00/6B/EA/wKiom1U53_qBE6uqAAJvEO-CawU730.jpg" target="_blank"></a>
返回,进入API加密设置
<a href="http://s3.51cto.com/wyfs02/M01/6B/E6/wKioL1U54fqgv2-PAALlnpypgOc714.jpg" target="_blank"></a>
取消内核签名校验,否则无法编译安装
<a href="http://s3.51cto.com/wyfs02/M00/6B/EA/wKiom1U54SXjXaHFAANyTMiELDE099.jpg" target="_blank"></a>
保存退出
<a href="http://s3.51cto.com/wyfs02/M01/6B/EA/wKiom1U54ZqwI49qAABu0ESNInY799.jpg" target="_blank"></a>
编译安装
2
3
4
5
<code>[root@Firewall linux]</code><code># yum install screen -y #为了防止意外,我们在screen里编译安装</code>
<code>[root@Firewall linux]</code><code># screen</code>
<code>[root@Firewall linux]</code><code># make</code>
<code>[root@Firewall linux]</code><code># make modules_install</code>
<code>[root@Firewall linux]</code><code># make install</code>
看一下grub.conf文件,新内核的信息已经写入了
<a href="http://s3.51cto.com/wyfs02/M02/6B/EC/wKiom1U6AP6gyMI8AAJXc0yUey4977.jpg" target="_blank"></a>
以新内核启动
<a href="http://s3.51cto.com/wyfs02/M00/6B/EC/wKiom1U6AhqCCh6dAAEARkTxvf0749.jpg" target="_blank"></a>
编译iptables
解压并打补丁
<a href="http://s3.51cto.com/wyfs02/M01/6B/E8/wKioL1U6BSrhEq4KAACKrX5JTI4327.jpg" target="_blank"></a>
备份脚本文件,卸载旧版本
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKioL1U6Bjyzo-cSAAB-vGIycIo237.jpg" target="_blank"></a>
<code>[root@Firewall ~]</code><code># cd iptables-1.4.20</code>
<code>[root@Firewall iptables-1.4.20]</code><code># ./configure --prefix=/usr --with-ksource=/usr/src/linux</code>
<code>[root@Firewall iptables-1.4.20]</code><code># make && make install</code>
还原脚本
修改脚本
将所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES
查看iptables版本
<a href="http://s3.51cto.com/wyfs02/M02/6B/E9/wKioL1U6C2uTCiFpAAApX7jJakE606.jpg" target="_blank"></a>
为layer7模块提供其所识别的协议的特征码
装载模块
<a href="http://s3.51cto.com/wyfs02/M01/6B/E9/wKioL1U6Dqngff0pAAClcXY0NEk998.jpg" target="_blank"></a>
添加内核参数,使之永久有效
<code>[root@Firewall ~]</code><code># vim /etc/sysctl.conf </code>
<code>net.netfilter.nf_conntrack_acct = 1</code>
<code>[root@Firewall ~]</code><code># sysctl -p</code>
应用层过滤测试
案例要求
假设内网主机由服务器代理上网,为提高工作效率,禁止内网用户登录QQ
代理服务器:192.168.1.254(可访问网络),172.16.10.254
内网客户端:172.16.10.12
网络设置
<a href="http://s3.51cto.com/wyfs02/M00/6B/ED/wKiom1U6EwTRms7mAAJxupa_F5s170.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/6B/ED/wKiom1U6E4qCi2m4AAFi_X3_hLY370.jpg" target="_blank"></a>
172.16.0.0/16的网段在VMnet1内
开启服务器路由转发功能
<code>[root@Firewall ~]</code><code># vim /etc/sysctl.conf</code>
<code>net.ipv4.ip_forward = 1</code>
设置防火墙规则,使内网可访问网络
<a href="http://s3.51cto.com/wyfs02/M02/6B/EA/wKioL1U6HEGQ33rWAAFc8XDbEs4142.jpg" target="_blank"></a>
查看是否可以访问网络
<a href="http://s3.51cto.com/wyfs02/M02/6B/EE/wKiom1U6HhTSbhBgAAGDzLCcMg0661.jpg" target="_blank"></a>
我们找一个小号登录QQ测试
<a href="http://s3.51cto.com/wyfs02/M01/6B/EE/wKiom1U6KRfBRRbCAARy5BNIP-c063.jpg" target="_blank"></a>
此时是可以登录的,我们下线,设置防火墙规则,禁用QQ
<a href="http://s3.51cto.com/wyfs02/M01/6B/EB/wKioL1U6KsCyM1OXAAGR2EPq998653.jpg" target="_blank"></a>
再次登录试试
<a href="http://s3.51cto.com/wyfs02/M01/6B/EE/wKiom1U6KYGCij8nAAG7eToNPf0225.jpg" target="_blank"></a>
登录失败,我们看一下防火墙,有没有匹配到报文
<a href="http://s3.51cto.com/wyfs02/M00/6B/EB/wKioL1U6KyHwZ7MPAAFwhhdDwBM892.jpg" target="_blank"></a>
看,已经有报文被拒绝了,至此iptables基于layer7实现应用层过滤以实现,需要禁止其他程序,请自行添加相应规则
The end
基于layer7的应用层防火墙就说到这里了,除了编译内核时比较费时间外,应该没什么别的麻烦的问题,希望本文可以帮到有需要的小伙伴,配置过程中遇到问题可留言。以上仅为个人学习整理,如有错漏,大神勿喷~~~
本文转自 北城书生 51CTO博客,原文链接:http://blog.51cto.com/scholar/1638149