Layer7应用层过滤功能

Layer7应用层过滤功能

一．需求描述

重新编译Linux内核，添加l7-filter应用层过滤补丁

重新编译iptables，添加l7-filter应用层过滤补丁

设置过滤规则，禁止使用QQ、MSN等聊天工具

设置过滤规则，禁止使用BT、电驴等下载工具

二．实现思路

重新编译内核

重新编译iptables

使用新的iptables程序设置应用层过滤策略

三．重新编译安装Linux内核：

（1）解压释放netfilter-layer和Linux内核源代码包

 

使用patch工具合并补丁包：

（2）重新配置内核编译参数，添加state机制及layer7支持：

在Linux内核的配置步骤中，所涉及的配置项相当繁琐，为了减少调试时间及避免给当前的主机系统造成过多影响，这里将直接使用当前RHEL5系统的内核配置文件作为参照，在此基础上添加新的配置内容。内核配置文件将更新到隐藏文件“.config”中。

在配置界面中的操作

方向键 á、a、?、à 用于定位功能项、菜单项

菜单项 <Select>、<Exit>、<Help>

空格键用于选择配置类型

对不同功能的配置选择

[ ]：空选时表示不需要在新内核中使用该功能

[ M ]：表示将此项功能编译为模块，以便在需要时加载

[ * ]：将此项功能直接编入新内核，作为新内核的一部分

 

Code Netfilter Configuration 网络过滤代码配置

将“Netfilter connection tracking support”编为模块

"layer7" match support、

"string" match support

time” match support

“iprange” address range match support

“Connlimit” match support

“state”match support

返回：

IP: Netfilter Configuration IP包过滤功能配置

将“IPv4 connection tracking support (require for NAT)”功能编为模块

将“Full NAT”部分的“MASQUERADE target support”、“REDIRECT target support”等功能也编译为模块

保存退出：

编译内核的模块文件、执行程序

执行 make 命令即可

安装编译好的模块文件

执行 make modules_install 命令

模块文件将安装到 /lib/modules/2.6.28.8/ 目录

安装编译好的内核执行程序

执行 make install 命令

内核执行程序将复制为 /boot/vmlinuz-2.6.28.8

查看文件：

查看大小：

修改grub.conf配置，重启并以新内核进入系统：

使用新内核启动（2.6.28.8 on an i686）

先卸载原有的iptables软件包

可以根据提示的依赖关系卸载相关的各软件包

或者忽略依赖关系卸载几个主要的软件包即可

合并补丁，并编译安装新的iptables工具

解包后直接执行“make install”命令即可