rhel5的l7内核编译
发布时间:2014-09-05 16:59:29作者:知识屋
一、重新编译linuxn内核
(1)解压netfilter-layer7和linxu内核
tar -jxf netfilter-lay[table] -C /usr/src
tar -jxf linux-2[table] -C /usr/src
cd /usr/src/linux-2[table]
patch -p1 </home/yangbo注释:yangbo为ftp上传的那个文件价/netfilter-layer7[table]/kernel-[tables]
(2)重新配置内核参数
cp /boot/config-[table] ./config
make menuconfig
Code Netfiler configuartion
依次选择“Network--->Network Options --> Network Packet filering framework(Netfiler)-->Code Netfilter Configuration”
将“Netfilter connection tracking support”功能编译为【M】
向下找“layer7”match support
“string” match support
"time" match support
"iprange" addres range match support
"connlimit" match support
"state" match support
IP:Netfilter configuartion
依次展开“Networking-->Network Options --->Network Packet filering framework(Netfiler)-->IP:Netfilter configuartion”
"IPv4 connection tracking support(require for NAT)"
"FUll NAT"
"MASQUERADE target support"
"REDIRECT ttarget support"
全部编译为【M】
File systems-->Ext3 journalling file system support去掉【M】
(3)编译内核,并安装内核文件,复制模块文件
make
make modules_install
make install
----------------------------------------------------------------------------------------
(4)调整GRUB引导菜单,使系统默认以新内核启动系统
vi /boot/grub/grub.conf
default=1
改为
default=0
----------------------------------------------------------------------------------------
二、重新编译安装iptables并安装L7-protocol协议包
(1)卸载系统原有的iptables相关软件包
rpm -e iptabnles-ipv6 iptanbles iptstate --nodeps
(2)解压释放iptables源码包,并应用补丁文件
tar jxvf iptables-1.4[tables] -c /usr/src/
cd /usr/src/iptables-1.4.2/
cp /usr/src/netfilter-layer-v.2.21/iptables-1.4.1.1-for-kernel[tables]/libxt_layer7.*extensions/
(3)配置,编译并安装iptables,使用“--with-ksource”参数指定内核源码路径。
./ configure --prefix=/ --with-ksource=/usr/src/linux-2.6.28.8
make
make install
(4)安装L7-protocol协议定义包
tar zxvf L7-protocol[tables]
cd L7-protocol[tables]
make install
三、使用iptables设置应用层过滤规则
例1,使用layer7显示匹配策略使用qq,msn,edonkey等应用层数据包访问
iptables -A FORWARD -m layer7 --l7proto qq -j DROP
iptables -A FORWARD -m layer7 --l7proto msn-filetrandfer -j DROP
iptables -A FORWARD -m layer7 --l7proto msnessenger -j DROP
例2,使用“connlimit”显示匹配进行数据并发连接控制,超出100个并发连接时拒绝
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100-j DROP
例3,使用“--time”显示匹配根据时间范围设置数据访问策略,允许周一到周五8:00-18:00之间的数据访问
iptables -A FORWARD -p tcp --dport 80 -m time --timestart 8:00 --timetop 18:00 --weekdays Mon, Tue,wed,thu,fri -j accept
例4,使用“string”显示匹配策略包含“tencent”,"verycd","色情",“成人电影”的网络访问数据
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" --algo bm -j DROP
iptables -A FORWARD -p udp --dport 53 -m string --string "verycd" --algo bm -j DROP
iptables -A FORWARD -p tcp --dport 80 -m string --string "色情" --algo bm -j DROP
iptables -A FORWARD -p tcp --dport 80 -m string --string "成人电影" --algo bm -j DROP
作者“贾晓阳”
相关知识
-
linux一键安装web环境全攻略 在linux系统中怎么一键安装web环境方法
-
Linux网络基本网络配置方法介绍 如何配置Linux系统的网络方法
-
Linux下DNS服务器搭建详解 Linux下搭建DNS服务器和配置文件
-
对Linux进行详细的性能监控的方法 Linux 系统性能监控命令详解
-
linux系统root密码忘了怎么办 linux忘记root密码后找回密码的方法
-
Linux基本命令有哪些 Linux系统常用操作命令有哪些
-
Linux必学的网络操作命令 linux网络操作相关命令汇总
-
linux系统从入侵到提权的详细过程 linux入侵提权服务器方法技巧
-
linux系统怎么用命令切换用户登录 Linux切换用户的命令是什么
-
在linux中添加普通新用户登录 如何在Linux中添加一个新的用户
软件推荐
更多 >
-
1
专为国人订制!Linux Deepin新版发布2012-07-10
-
2
CentOS 6.3安装(详细图解教程)
-
3
Linux怎么查看网卡驱动?Linux下查看网卡的驱动程序
-
4
centos修改主机名命令
-
5
Ubuntu或UbuntuKyKin14.04Unity桌面风格与Gnome桌面风格的切换
-
6
FEDORA 17中设置TIGERVNC远程访问
-
7
StartOS 5.0相关介绍,新型的Linux系统!
-
8
解决vSphere Client登录linux版vCenter失败
-
9
LINUX最新提权 Exploits Linux Kernel <= 2.6.37
-
10
nginx在网站中的7层转发功能
