为了减小网络负担限制bt等的软件下载可以通过iptables增加ipp2p的模块来实现
/etc/init.d/iptables stop
rpm -q iptables
获取iptables 及patch-o-matic-ng
cd /usr/src/
wget http://www.netfilter.org/files/iptables-1.3.3.tar.bz2
wget ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20050331.tar.bz2
解压缩这两个压缩包
tar xjvf iptables-1.3.3.tar.bz2
tar xjvf patch-o-matic-ng-20051015.tar.bz2
给netfilter打补丁
cd /usr/src/linux-2.4
uname -r,可得到“2.4.21-15.EL”的信息
修改 Makefile,将“EXTRAVERSION = -15.ELcustom”改为“EXTRAVERSION = -15.EL”
vi Makefile
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 21
EXTRAVERSION = -15.ELcustom
即:
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 20
EXTRAVERSION = 2.4.21-15.EL
保存推出
make mrproper
make oldconfig
技巧:在make menuconfig时,我们面对众多的选项常常不知道该如何选择,此时可以把安装时的配置文件copy到/usr/src/linux-2.4中:
cp /boot/config-2.4.* /usr/src/linux-2.4/.config
给netfilter打补丁
解开patch-o-matic-ng-20051015.tar.bz2 包后,进入该目录,就会发现有很多目录,其实每个目录对应一个模块.
我们可以这样来选择,根据不同贮仓库submitted|pending|base|extra,
cd /usr/src/patch-o-matic-ng-20051015
例如:KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme base .
或:KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme extra
执行后,会测试是否已经应用和提示你是否应用该模块,但这样会遍历所有模块,有很多是用不着的,并且可能和系统版本有冲突,如果不管三七二十一全部选择的话,
一般都会在编译和使用时出错.所以推荐用cat /模块目录名/info 和cat /模块目录名/help 看过后,认为适合自己,才选择.
我是针对在上面看过后,有目的的一个一个的应用的,这样做:
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme string (新版本已经没有这个选项)
执行后,会测试是否已经应用和提示你是否应用该模块,按"y"应用.然后继续下一个
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme comment
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme connlimit
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme time
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme iprange
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme geoip
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme nth
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme ipp2p
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.3 ./runme quota
上面全部完成后,
cd /usr/src/linux-2.4
make menuconfig,
确认Prompt for development and/or incomplete code/drivers要选中
然后进入Networking options
再进入IP:Netfilter Configuration,会看到增加很多模块,每个新增的后面都会出现"NEW",把其想要的选中为模块"M"
保存、退出,至此,给netfilter打补丁工作完成
编译netfilter模块
这里只需要编译netfilter,不需要编译整个内核和模块.这里我只需要ipv4的,ipv6我还没用到,所以不管了
cd /usr/src/linux-2.4
make dep
make modules SUBDIRS=net/ipv4/netfilter
建立一个新目录备份原来模块,以防万一:
mkdir /usr/src/netfilter
cp lib/modules/2.4.21-15.EL/kernel/net/ipv4/netfilter/*.o /usr/src/netfilter/
应用新的模块
cp -f /usr/src/linux-2.4/net/ipv4/netfilter/*.o lib/modules/2.4.21-15.EL/kernel/net/ipv4/netfilter/
更新你的modules.dep
depmod -a
当出现这个时,删除没用的文件
depmod: *** Unresolved symbols in lib/modules/2.4.21-15.EL/kernel/net/ipv4/netfilter/ipchains_core.o
depmod: *** Unresolved symbols in lib/modules/2.4.21-15.EL/kernel/net/ipv4/netfilter/ipfwadm_core.o
删掉这些没用的文件
rm ipchains_core.o
rm ipfwadm_core.o
rm ip_fw_compat.o
rm ip_nat_core.o
rm ip_fw_compat_masq.o
rm ip_nat_helper.o
rm ip_nat_standalone.o
在继续depmod -a直到不出现错误
删掉这些没用的文件这些错误的模块是 netfilter 所用不到的如果不删除会导致ipchains等一些模块不能使用
所需要的模块在 /lib/modules/`uname -r`/modules.dep 里面有关联性问题 删掉这些以后重新 depmod -a,
会重新生成 modules.dep,这样关联就对了,就可以使用了。删除这些文件都是隐含的需要用ls -a来查看
编译安装新的iptables
cd /usr/src/iptables-1.3.3
export KERNEL_DIR=/usr/src/linux-2.4
export IPTABLES_DIR=/usr/src/iptables-1.3.3
make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
至此安装完成下面来进行测试
ipchins测试
echo 1 > /proc/sys/net/ipv4/ip_forward :开启网络转发功能
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 :将所有内部访问80端口的服务转向3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j REDIRECT --to-port 3128 :将所有内部访问21端口的服务转向3128
iptables -t nat -A POSTROUTING -s 192.168.168.0/24 -o eth0 -j SNAT --to xxx.xxx.xxx.xxx
内容过滤
iptables -I FORWARD -m string --string "腾讯" -j DROP
iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP
iptables -I FORWARD -d 192.168.3.0/24 -m string --string "宽频影院" -j DROP
iptables -I FORWARD -s 192.168.3.0/24 -m string --string "色情" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "广告" -j DROP
备注应用
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online"
iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"
并发连接应用
模块 connlimit 作用:连接限制
--connlimit-above n 限制为多少个
--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip.
这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用
例如:只允许每个ip同时5个80端口转发,超过的丢弃:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
例如:只允许每组ip同时10个80端口转发:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
ip范围应用
iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT
每隔N个匹配
iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP
封杀BT类P2P软件只要一句: iptables -A FORWARD -m ipp2p --ipp2p -j DROP 或:
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
配额匹配
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j DROP
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j ACCEPT
以上均测试通过,只有geoip的geoipdb.bin没下载到,所以没测试
在此仅为抛个砖头,更多的应用,要根据自己的需要来组合各个规则和模块了.
用iptables -nL 查看ipp2p已经生效