神马文学网Netfilter Extensions: Patch-O-Matic -- Jamyy‘s Weblog
来源:百度文库 编辑:神马文学网 时间:2024/04/30 06:03:15
Netfilter Extensions: Patch-O-Matic
Patch-O-Matic 內含豐富又實用的 netfilter 模組, 是打造完美 iptables 防火牆必備套件之一.
connlimit - 限制連入網路服務 (如: smtp、http) 的連線數目time - 上班時間禁用聊天軟體 (搭配L7-filter)mport - 封鎖 / 開放連續範圍的埠口
本篇以上述需求為目的, 在 Fedora Core 3 (kernel 2.6.x) 的安裝過程如下:
環境:
Kernel Source: /usr/src/linux Iptables Source: /usr/local/src/iptables-1.3.4
※建議一併安裝 L7-filter, 先參考「L7-filter 安裝實錄」完成所有 patch (但不要安裝), 再進行本篇的安裝步驟
從 patch-o-matic-ng/snapshot 路徑中下載最新的檔案:
cd /usr/local/src/
wgetftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20060111.tar.bz2
tar -jxf patch-o-matic-ng-20060112.tar.bz2
patch kernel source & iptables source:
cd patch-o-matic-ng-20060112
KERNEL_DIR=/usr/src/linux \
IPTABLES_DIR=/usr/local/src/iptables-1.3.4 \
./runme base
其中, base 是指patch-o-matic-ng base repository 裡的所有模組, 過程中一一選擇是否安裝; 亦可直接列出想安裝的模組名稱, 如: ./runme connlimit mport time, 只提示 connlimit、mport、time 這三個模組, 過程中只要回答 y 即可
模組名稱與說明可從這個網頁得知:patch-o-matic base repository (更多的模組說明可點選網頁左側 "* repository" )
重新編譯、安裝核心, 在 make oldconfig 或 make menuconfig 時, 把剛剛新增的 netfilter 項目設定為模組 ( m ):
cd /usr/src/linux
make mrproper
make oldconfig
make menuconfig
make
make modules_install
make install
重新編譯、安裝 iptables:
cd /usr/local/src/iptables-1.3.4/
chmod 777 ./extensions/.*
make KERNEL_DIR=/usr/src/linux
make install KERNEL_DIR=/usr/src/linux
make install-devel
重開機後, 選擇新編譯好的核心版本, iptables 就能使用 Layer-7 (如果先前有 patch 的話) 和自選的 patch-o-matic 模組.
應用實例:
限制 http 連線數目:
iptables -A INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j DROP
上班時間禁用 msn 聊天 (與 L7-filter 配合):
iptables -A FORWARD -m time --timestart 9:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto msnmessenger -j DROP
封鎖範圍埠口:
iptables -A FORWARD -p tcp -m mport --ports 5800:6000 -j DROP
查看語法說明:
iptables -m module_name -h (ex. iptables -m connlimit -h)patch-o-matic base repository 模組內容介紹 (更多的模組說明可點選網頁左側 "* repository" )
參考資料:
请问版主如何利用iptables实现定时功能iptables 添加模块 (for kernel 2.6)
相關網頁:
Netfilter 官方網頁Netfilter Extensions HOWTOpatch-o-matic-ng 官方下載點
Posted by Jamyy at 2006年01月13日 10:52
from: http://cha.homeip.net/blog/archives/2006/01/netfilter_exten.html#more
Patch-O-Matic 內含豐富又實用的 netfilter 模組, 是打造完美 iptables 防火牆必備套件之一.
connlimit - 限制連入網路服務 (如: smtp、http) 的連線數目time - 上班時間禁用聊天軟體 (搭配L7-filter)mport - 封鎖 / 開放連續範圍的埠口
本篇以上述需求為目的, 在 Fedora Core 3 (kernel 2.6.x) 的安裝過程如下:
環境:
Kernel Source: /usr/src/linux Iptables Source: /usr/local/src/iptables-1.3.4
※建議一併安裝 L7-filter, 先參考「L7-filter 安裝實錄」完成所有 patch (但不要安裝), 再進行本篇的安裝步驟
從 patch-o-matic-ng/snapshot 路徑中下載最新的檔案:
cd /usr/local/src/
wgetftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20060111.tar.bz2
tar -jxf patch-o-matic-ng-20060112.tar.bz2
patch kernel source & iptables source:
cd patch-o-matic-ng-20060112
KERNEL_DIR=/usr/src/linux \
IPTABLES_DIR=/usr/local/src/iptables-1.3.4 \
./runme base
其中, base 是指patch-o-matic-ng base repository 裡的所有模組, 過程中一一選擇是否安裝; 亦可直接列出想安裝的模組名稱, 如: ./runme connlimit mport time, 只提示 connlimit、mport、time 這三個模組, 過程中只要回答 y 即可
模組名稱與說明可從這個網頁得知:patch-o-matic base repository (更多的模組說明可點選網頁左側 "* repository" )
重新編譯、安裝核心, 在 make oldconfig 或 make menuconfig 時, 把剛剛新增的 netfilter 項目設定為模組 ( m ):
cd /usr/src/linux
make mrproper
make oldconfig
make menuconfig
make
make modules_install
make install
重新編譯、安裝 iptables:
cd /usr/local/src/iptables-1.3.4/
chmod 777 ./extensions/.*
make KERNEL_DIR=/usr/src/linux
make install KERNEL_DIR=/usr/src/linux
make install-devel
重開機後, 選擇新編譯好的核心版本, iptables 就能使用 Layer-7 (如果先前有 patch 的話) 和自選的 patch-o-matic 模組.
應用實例:
限制 http 連線數目:
iptables -A INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 5 -j DROP
上班時間禁用 msn 聊天 (與 L7-filter 配合):
iptables -A FORWARD -m time --timestart 9:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -m layer7 --l7proto msnmessenger -j DROP
封鎖範圍埠口:
iptables -A FORWARD -p tcp -m mport --ports 5800:6000 -j DROP
查看語法說明:
iptables -m module_name -h (ex. iptables -m connlimit -h)patch-o-matic base repository 模組內容介紹 (更多的模組說明可點選網頁左側 "* repository" )
參考資料:
请问版主如何利用iptables实现定时功能iptables 添加模块 (for kernel 2.6)
相關網頁:
Netfilter 官方網頁Netfilter Extensions HOWTOpatch-o-matic-ng 官方下載點
Posted by Jamyy at 2006年01月13日 10:52
from: http://cha.homeip.net/blog/archives/2006/01/netfilter_exten.html#more
Netfilter Extensions: Patch-O-Matic -- Jamyy‘s Weblog
L7-filter 安裝實錄 -- Jamyy‘s Weblog
Jamyy‘s Weblog: Linux 架站心得
ASSP (Anti-Spam SMTP Proxy) 使用手札 -- Jamyy‘s Weblog
在 Linux 使用 PCMCIA 網卡 - 補充、備忘 -- Jamyy‘s Weblog
Linux Bonding (合併網卡) 實作 --Jamyy‘s Weblog
Sendmail: localhost.localdomain 的問題 -- Jamyy‘s Weblog
squid.conf ACL Tag 備忘 --Jamyy‘s Weblog
Linux kernel v2.4 升級 v2.6 --Jamyy‘s Weblog
在 Linux 使用 PCMCIA 網卡 -- Jamyy‘s Weblog
使用 Linux FreeS/WAN 構連 IPSEC LAN-to-LAN VPN 網路 -- Jamyy‘s Weblog
在 Linux 安裝 aMule (eMule-Like P2P Software) -- Jamyy‘s Weblog
讓 AWStats 顯示 UTF-8 繁體中文 -- Jamyy‘s Weblog
Linux on Centrino Notebook -- 無線網路無痛安裝法 for Redhat Linux -- Jamyy‘s Weblog
解決 Linux NAT ip_conntrack: table full 的方法 -- Jamyy‘s Weblog
[整理] File Extensions [ O ]
Slobodan Celenkovic‘s Weblog : Weblog
[整理] File Extensions [ S ]
Cero’s Weblog
Nio’s Weblog ? PHP & memcached
Windix‘s Weblog Reloaded: 汉字编码研究
再见安打---vick‘s weblog: 网络 Archives
Pengbone’s Weblog|如你所知
Xiaoxiao's Weblog - 如何提高悟性?