Centos重编内核+l7-filter实现封杀讯雷+国产p2p

hb2k · 发表于 2005-12-13 15:50:18

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

我的系统：
CENTOS 4.1
内核：2.6.9.11
IPTABLES 1.2.11

首先download 新内核--linux-2.6.13.3.tar.bz2             www.kernels.org
tar jxvf linux-2.6.13.3.tar.bz2 至 /usr/src/linux-2.6.13.3/目录下
一不做二不休download iptables-1.3.4                      www.iptables.org
tar zxvf iptables-1.3.4.tar.gz 至/usr/src/iptables-1.3.4/目录下
l7-filter源码下载：
http://sourceforge.net/project/showfiles.php?group_id=80085
注意：有两个包。一个是netfilter-layer7-v2.0.tar.gz  一个l7-protocols-2005-XX.tar.gz
netfilter-layer7-v2.0.tar.gz  --内核补丁 l7-protocols  --支持的协议文件
全部解压路径为：
/var/netfilter-layer7-v2.0
/var/l7-protocols-2005-XX          /*注：XX代表日期*/
===================================================
开始了！
先patch内核
cd /usr/src/linux-2.6.13.3
patch -p1  network packet filtering-->ip:netfilter configuration--
-->layer 7 match support (选M) layer 7 debugingoutput (选*)
就不多说啥意思了，只针对l7-filter模块。
确保你的内核安全和健壮后：
make 20分钟waiting......
make modules_install
make install
===================================================
内核编译到此结束
reboot
起不来别怨我，自己先搞定内核编译。

系统起来了，ok,go to next
编译l7-iptables模块顺便升升级:
cd /usr/src/iptables-1.3.4
/*刚才补丁已经打上*/
chmod +x extensions/.layer7-test                活用tab键
Export KERNEL_DIR＝/usr/src/linux-2.6.9
Export IPTABLES_DIR=/source/temp/iptables-1.3.1
make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin && 回车
make PREFIX=/usr LIBDIR=/lib BINDIR=/sbin install
安装l7-filter协议文件：
cd /var/l7-protocols-2005-XX
Make install
只是cp 了几个文件到/etc/里
ok了。

hb2k · 发表于 2005-12-13 15:53:58

与ipp2p的不同：
l7-filter 起作用的为 POSTROUTING 和 PREROUTONG 看样子只能在nat上用了
ipp2p 为FORWARD route\nat都可

hb2k · 发表于 2005-12-13 15:57:20

iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypeout -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypetoskype -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto yahoo -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto aim -j DROP 阻挡icq
iptables -t mangle -I POSTROUTING -m layer7 --l7proto xunlei -j DROP 亲爱的讯雷

/etc/l7-protocols/protocols 有什么就弄什么。

[ 本帖最后由 hb2k 于 2005-12-13 16:23 编辑 ]

hb2k · 发表于 2005-12-13 16:04:59

察看命中情况：iptables -t mangle -L POSTROUTING -v

需要想得太美大姐作 vagaa模块，反正你做了那么多不差这一个了哈哈。
wsgtrsys!呵呵。

[ 本帖最后由 hb2k 于 2005-12-13 17:07 编辑 ]

DreamCat · 发表于 2005-12-13 18:22:51

不错～～～
偶想知道l7-filter能跑顺畅的最低硬件配置。
不知道 hb2k 试验过没有？

hb2k · 发表于 2005-12-13 19:45:54

编内核太占时间，我在Xeon 3.0 *2作的。内核启用超线程。512ecc ddr
rx60MB
tx40MB
时，cpu 0%
偶尔6%
估计ssh也占用一部分。

DreamCat · 发表于 2005-12-13 20:44:15

我的意思不是编译，是运行要求～

seywong · 发表于 2005-12-20 15:12:10

2.6.9内核可以顺利编译l7layer，但问题是运行的时候可能会导致内存溢出而整个系统挂掉，所以还是升级到2.6.1x比较安全，或使用2.6.9一下的内核

心想事成 · 发表于 2005-12-20 15:13:00

l7layer在某些内核版本下确实会造成内存泄漏

DreamCat · 发表于 2005-12-21 16:49:59

原帖由 seywong 于 2005-12-20 15:12 发表
2.6.9内核可以顺利编译l7layer，但问题是运行的时候可能会导致内存溢出而整个系统挂掉，所以还是升级到2.6.1x比较安全，或使用2.6.9一下的内核

我说我在LFS下编译怎么总出问题呢，原来问题出在内核版本上～

hb2k · 发表于 2005-12-21 17:47:43

我编2.6.14或15 SElinux总是起不来。

zcmnb · 发表于 2010-1-6 14:00:27

谢谢分析 ,支持楼主!!!!!!!!!!!!!

账号		自动登录	找回密码
密码			注册

[layer7] Centos重编内核+l7-filter实现封杀讯雷+国产p2p

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

评分

回复 #1 hb2k 的帖子

回复 #2 hb2k 的帖子

有感而发~~~~

呵呵，谢谢版主！

2.6.13才是王道！