Slackware10.2做NAT服务器，禁止P2P下载。

icememory · 发表于 2006-6-22 17:09:51

OS：Slackware 10.2
Kernel：2.6.14

前提很明确，在中小型企业的内部网络中用iptables做一个简单的NAT服务器共享上网，由于网络流量的限制使用ipp2p模块禁止P2P下载保证日常工作的正常。
准备工作：
安装好Slackware10.2，升级内核至2.6.1*，不保证在2.4内核下成功应用。
下载附件：

iptables-1.3.3.tar.bz2 http://www.netfilter.org/
l7-protocols-2006-04-09.tar.gz http://l7-filter.sourceforge.net/
netfilter-layer7-v2.1.tar.gz http://l7-filter.sourceforge.net/
ipp2p-0.8.0.tar.gz http://ipp2p.org/

[html]

# wget http://ftp.netfilter.org/pub/iptables/iptables-1.3.5.tar.bz2
# wget http://superb-west.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.2.tar.gz
# wget http://superb-west.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2006-06-03.tar.gz
# wget http://ipp2p.org/downloads/ipp2p-0.8.0.tar.gz

# tar xvf iptables-1.3.5.tar.bz2 -C /usr/src/
# ln -s /usr/src/iptables-1.3.5
# tar xvf l7-protocols-2006-06-03.tar.gz -C /usr/src/
# tar xvf netfilter-layer7-v2.2.tar.gz -C /usr/src/
# tar xvf ipp2p-0.8.0.tar.gz -C /usr/src/

[/html]

然后开始给内核打上补丁，然后重新编译内核。

[html]
# cd /usr/src/linux
# patch -p1 < ../netfilter-layer7-v2.2/kernel-2.6.13-2.6.16-layer7-2.2.patch
# make menuconfig

Networking --->
Networking options --->

Network packet filtering (replaces ipchains) --->
IP: Netfilter Configuration --->
<M> Layer 7 match support (EXPERIMENTAL)

Layer 7 debugging output

# time make –j 2
# make modules_install
# cp arch/i386/boot/bzImage /boot/vmlinuz-2614
# lilo
# reboot

[/html]

Reboot以后给iptables打上补丁。

[html]
# cd /usr/src/iptables
# patch -p1 < /usr/src/netfilter-layer7-v2.2/iptables-layer7-2.2.patch
# chmod 755 extensions/.layer7-test
# export KERNEL_DIR=/usr/src/linux
# export IPTABLES_DIR=/usr/src/iptables-1.3.5/
# make PREFIX=/usr/local/iptables/ LIBDIR=/lib/iptables/ BINDIR=/sbin
# make PREFIX=/usr/local/iptables/ LIBDIR=/lib/iptables/ BINDIR=/sbin install

[/html]

然后是安装l7-filter协议文件：

[html]
cd /usr/src/l7-protocols-2006-06-03/
Make install
[/html]

只是CP了几个文件到/etc/里面，最后一步就是安装ipp2p了。
[html]

# cd /usr/src/ipp2p-0.8.0/
# vi Makefile
:36
ifeq ($(IPTABLES_SRC),)
IPTABLES_SRC = /usr/src/iptables-1.3.5
endif
# make
# # cp libipt_ipp2p.so /usr/local/lib/iptables/
# insmod ipt_ipp2p.o
# depmod -a
# cp libipt_ipp2p.so /lib/iptables/
# insmod ipt_ipp2p.ko
# depmod -a
[/html]

这个时候应该就OK了，
# iptables -m layer7 --help
# iptables -m ipp2p --help

基督山伯爵 · 发表于 2006-6-23 11:45:26

收藏先。反正马上要出11了，肯定是2.6内核撒。

r00to · 发表于 2006-6-23 18:02:01

layer7 那个补丁好像可以禁止qq，不知道你做过没有，做了分享一下哈， ipp2p那个一杆子打死觉得太狠了，做个流量控制就安逸了，不过这个要去学下tc，前段时间就打算研究这个，
郁闷的是显示器坏了20多天了

icememory · 发表于 2006-6-26 16:05:55

QQ ... 没有. IM都没有禁止 ... 只是为了封杀P2P软件.

其实也还好, 写个脚本控制下 ... 早9到晚7禁止, 晚上随便下....

icememory · 发表于 2006-6-29 22:10:31

这里是-ipp2p的所有匹配选项 .. 功能强大的匪夷所思 ..

--edk  eDonkey, eMule, Kademlia  TCP and UDP  very good
--kazaa  KaZaA, FastTrack  TCP and UDP  good
--gnu  Gnutella  TCP and UDP  good
--dc  Direct Connect  TCP only  good
--bit  BitTorrent, extended BT  TCP and UDP  good
--apple  AppleJuice  TCP only  (need feedback)
--winmx  WinMX  TCP only  (need feedback)
--soul  SoulSeek  TCP only  good (need feedback)
--ares  Ares, AresLite  TCP only  moderate (DROP only)

QQ当然可以禁 .. 但是我发现似乎禁不掉QQ会员 .... 最近还在看.

其实可以写个脚本, 早9-晚7禁 ... 晚上随便玩 ...

还有些问题要解决, 没想到斑竹居然给精了, 实在惭愧 ....

回头再过来改改吧 ....

huohuliaisili · 发表于 2006-8-5 14:55:52

是得有禁忌，不能为所欲为。

		自动登录	找回密码
密码			注册