前言
做为网络管理员,对P2P、QQ、酷狗等软件是又爱又恨,大多数公司为了提高工作效率,禁止公司员工登陆QQ、看视频等,在市场上买专门的上网行为管理设备,随便一种都是价格不菲,而使用linux来做网关一样可以禁止qq、酷狗等软件,为实现此功能就需要为iptables/netfilter添加layer7模块,而iptables/netfilter是基于内核的,所以需要重新编译内核。
编译过程
环境介绍
系统环境:CentOS6.6
所需源码包:kernel-2.6.32-504.16.2.el6.src.rpm(红帽ftp站点提供)
iptables-1.4.20.tar.bz2
netfilter-layer7-v2.23.tar.bz2
l7-protocols-2009-05-28.tar.gz
编译内核
解决依赖关系
[[email protected] ~]# yum groupinstall "Development Tools" "Server Platform Development" -y
创建所需用户并安装
将源码解压到指定目录
为内核打补丁
开始编译
首先选择此项
进入此项设定参数
下拉,选择此项并进入
进入核心过滤设置
启用layer7支持
返回第一层,进入此项
取消模块签名校验
返回,进入API加密设置
取消内核签名校验,否则无法编译安装
保存退出
编译安装
[[email protected] linux]# yum install screen -y #为了防止意外,我们在screen里编译安装 [[email protected] linux]# screen [[email protected] linux]# make [[email protected] linux]# make modules_install [[email protected] linux]# make install
看一下grub.conf文件,新内核的信息已经写入了
以新内核启动
编译iptables
解压并打补丁
备份脚本文件,卸载旧版本
编译安装
[[email protected] ~]# cd iptables-1.4.20 [[email protected] iptables-1.4.20]# ./configure --prefix=/usr --with-ksource=/usr/src/linux [[email protected] iptables-1.4.20]# make && make install
还原脚本
修改脚本
将所有/sbin/$IPTABLES替换为/usr/sbin/$IPTABLES
查看iptables版本
为layer7模块提供其所识别的协议的特征码
装载模块
添加内核参数,使之永久有效
[[email protected] ~]# vim /etc/sysctl.conf net.netfilter.nf_conntrack_acct = 1 [[email protected] ~]# sysctl -p
应用层过滤测试
案例要求
假设内网主机由服务器代理上网,为提高工作效率,禁止内网用户登录QQ
代理服务器:192.168.1.254(可访问网络),172.16.10.254
内网客户端:172.16.10.12
网络设置
172.16.0.0/16的网段在VMnet1内
开启服务器路由转发功能
[[email protected] ~]# vim /etc/sysctl.conf net.ipv4.ip_forward = 1 [[email protected] ~]# sysctl -p
设置防火墙规则,使内网可访问网络
查看是否可以访问网络
我们找一个小号登录QQ测试
此时是可以登录的,我们下线,设置防火墙规则,禁用QQ
再次登录试试
登录失败,我们看一下防火墙,有没有匹配到报文
看,已经有报文被拒绝了,至此iptables基于layer7实现应用层过滤以实现,需要禁止其他程序,请自行添加相应规则
The end
基于layer7的应用层防火墙就说到这里了,除了编译内核时比较费时间外,应该没什么别的麻烦的问题,希望本文可以帮到有需要的小伙伴,配置过程中遇到问题可留言。以上仅为个人学习整理,如有错漏,大神勿喷~~~