The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Использование L7-filter в Linux 
Проект l7-filter (http://l7-filter.sf.net) дает возможность Netfilter
идентифицировать пакет на прикладном уровне данных, основываясь на его
содержимом, и классифицировать пакеты по их назначению, без привязки к номеру
порта. В настоящее время поддерживаются протоколы HTTP и FTP; P2P сети (Kazaa,
BitTorrent, eDonkey2000, FastTrack); IM-системы (AIM/Jabber/IRC/MSN);
VoIP/Skype; VPN; игры (Battlefield, CS, Doom3, WoW); файлы (exe, mp3) и даже
сетевые черви - Code Red и Nimda.

Проект предлагает две версии L7-filter:

* Kernel version - развивается уже давно и хорошо протестирована, немного
сложна в установке, не очень дружит с SMP-процессорами и позволяет использовать
только самые простые регулярные выражения;

* Userspace version - находится в ранней стадии развития, и, возможно, в
будущем будет поддерживаться только эта версия, обладает большими возможностями
по фильтрации, так как поддерживает весь спектр команд GNU grep. Несмотря на
то, что userspace стабилен в работе, этот вариант не рекомендуют использовать
на критических системах и для блокировки трафика.

В дальнейшем рассмотрим установку kernel варианта l7-filter, который затем
дополним IPP2P. Данный способ потребует пересборки ядра.
Для успешного проведения сборки в твоей системе должны быть установлены пакеты
build-essential, iptables, iptables-dev и linux-source. Берем настройки
текущего ядра, которые будем использовать как базовые, и копируем текущую
конфигурацию в /usr/src/linux:

   sudo cp /boot/config-`uname -r` /usr/src/linux/.config

Получаем архив с патчами для ядра с сайта L7-filter, распаковываем его и
переходим в каталог с сырцами ядра:

   tar xzvf netfilter-layer7-v2.21.tar.gz
   $ cd /usr/src/linux

В архиве несколько патчей для разных версий ядер и iptables, нужно выбрать вариант для своего ядра:

   $ sudo patch -p1 < ../netfilter-layer7-v2.21/for_older_kernels/kernel-2.6.22-2.6.24-layer7-2.18.patch

Теперь аналогично патчим iptables, выбрав также свою версию:

   $ cd ../iptables
   $ iptables -v
   iptables v1.3.8
   $ sudo patch -p1 < ../netfilter-layer7-v2.21/iptables-1.3-for-kernel-2.6.20forward-layer7-2.21.patch
   $ sudo chmod +x extensions/.layer7-test

Собираем iptables:

   $ make KERNEL_DIR=/usr/src/linux
   $ sudo make install

Конфигурируем и компилируем ядро:

   $ sudo make menuconfig

Переходим в "Networking - Networking option - Network packet filtering
framework(Netfilter) - Core Netfilter Configuration", где активируем
"Connection tracking flow accounting" и "Layer 7 match support".

Cтавим фильтры протоколов, фактически они просто копируются в каталог /etc/l7-protocols:

   $ tar xzvf l7-protocols-2009-05-28.tar.gz
   $ cd l7-protocols-2009-05-28/
   $ sudo make install

После перезагрузки можно проверить работу фильтра. Команда "iptables -m layer7
--help" выдаст список параметров. Например, чтобы заблокировать BitTorrent, AIM
и Skype, пишем:

   iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
   iptables -A FORWARD -m layer7 --l7proto aim -j DROP
   iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP
   iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP

То есть ищем в списке название протокола и производим нужное действие.
 
01.12.2009 , Автор: Сергей Яремчук , Источник: http://www.tux.in.ua/articles/1712...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Salvator, 12:47, 01/12/2009 [ответить] [смотреть все]
    		• +/
    шифрованный bittorrent как я понимаю, не умеет?
     
     
  • 2.2, User294, 19:13, 01/12/2009 [^] [ответить] [смотреть все]
    		• +/
    Дык шифрование специально от таких умников и сделали. Некоторые особо хитрожопые научились его детектить иными методами, но, знаете, как говорится - "а будет мало - добавим".
     
     
  • 3.4, СуперАноним, 00:05, 02/12/2009 [^] [ответить] [смотреть все]
    		• +/
    Для умников применяющих шифрование именно с этой целью. С помощью QoS можно, например, отправлять любой неиндентифицированный трафик в самую низкоприоритетную очередь, т.е. по остаточному принципу.
     
     
  • 4.8, User294, 14:14, 02/12/2009 [^] [ответить] [смотреть все]
    		• +/
    Можно Только вот 1 Протоколов на свете много и все их вы классифицировать сле... весь текст скрыт [показать]
     
     
  • 5.9, Гриша, 02:37, 03/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    Неверных провайдеров надо публично и черенком от лопаты, это понятно.

    Но польза от этого инструмента тоже есть: блокирование активности червей. Это конечно, если он действительно будет эффективен, а то ведь и черви могут под HTTP маскироваться, от регэкспов шифрованием спасаться и т. д.

     
     
  • 6.10, User294, 19:43, 03/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    Могут И маскируются Знаете как вирье плюют на фаерволы и прочих супер-касперск... весь текст скрыт [показать]
     
  • 1.3, Аноним, 20:51, 01/12/2009 [ответить] [смотреть все]  
    		• +/
    А во фряхе есть аналоги ... весь текст скрыт [показать]
     
     
  • 2.6, Александр, 10:34, 02/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    Недолгий поиск дает, напр.:
    http://www.opennet.ru/openforum/vsluhforumID3/43131.html

    :)

    Первый же коммент к приведенной новости порадовал - тоже человек не напрягся погуглить :)

     
  • 1.5, FrBrGeorge, 00:35, 02/12/2009 [ответить] [смотреть все]  
    		• +/
    > не очень дружит с SMP-процессорами

    Что сие значит?

     
     
  • 2.7, Аноним, 10:55, 02/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    будет грузить один проц или ядро... весь текст скрыт [показать]
     
     
  • 3.11, FrBrGeorge, 00:19, 04/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    >> не очень дружит с SMP-процессорами
    >будет грузить один проц или ядро

    Оба высказывания друг друга стоят :(

     
     
  • 4.13, XoRe, 18:48, 05/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    >>> не очень дружит с SMP-процессорами
    >>будет грузить один проц или ядро
    >
    >Оба высказывания друг друга стоят :(

    Не ну в принципе, выражение "не очень дружит" довольно многозначно.
    В том числе может означать и использование только 1 проца в 1 момент времени.

     
     
  • 5.14, FrBrGeorge, 01:41, 06/12/2009 [^] [ответить] [смотреть все]  
    		• +/
    >>>> не очень дружит с SMP-процессорами
    >>>будет грузить один проц или ядро
    >>Оба высказывания друг друга стоят :(
    >Не ну в принципе, выражение "не очень дружит" довольно многозначно.
    >В том числе может означать и...

    Ага, а слово "ядро" тоже довольно многозначно :)
    А всего-то надо было -- это зайти на домашнюю страничку и прочитать там 3 вещи:

    - Kernel version. This version is old and well tested, but it is complicated to install and seems to cause SMP systems to crash. It can only use fairly simple regular expressions

    - By Dec 2006, we had realized that working anywhere in kernel space was not the brightest idea

    - l7-filter is currently not being actively maintained.

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 05.02 Проброс 802.1q/access порта в Linux через IP-сеть
    - 25.01 Использование systemtap для устранения уязвимости в реализации /proc/pid/mem
    - 24.01 Мониторинг загрузки многоядерного сервера по каждому ядру в отдельности в Linux
    - 23.01 Осуществление ОGSM/SMS/USSD вызовов с использованием утилиты mdbus
    - 13.01 Интерактивный firewall в Linux
    - 08.01 Советы по увеличению автономной работы ноутбука с Debian/Ubuntu
    - 31.12 Бэкап и восстановление данных из БД memcachedb и других хранилищ на базе BerkeleyDB
    - 28.12 Получение инкрементальных diff-файлов для subversion
    - 27.12 Решение проблемы поддержки php-zip-extension в Fedora-16
    - 25.12 Настройка сетевого доступа в окружениях QEMU
    RSS | Следующие 15 записей >>


    АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Подробнее о проведении акции вы можете прочитать на странице сайта.


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList