当前位置：文江博客话题详情

Centos5.5 如何配置iptables匹配域名过滤

发布于 2022-09-30 18:24:10 字数 64 浏览 22 评论 0

Centos5.5 如何配置iptables匹配域名过滤，具体的部署方案，请各位高手指点一下。谢谢- -

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

醉城メ夜风 2022-10-07 18:24:10

Centos5.5 如何配置iptables匹配域名过滤，具体的部署方案，请各位高手指点一下。谢谢- -
shikai850104 发表于 2011-04-02 11:24

iptables 可以匹配string，你可以查一下。

不过我建议你如果是匹配域名这种需求的话，自己写个模块来检查，效果更佳

回复收藏 0

倒数 2022-10-07 18:24:10

是的，一定要用 iptables 的话，就用端口 + string 匹配吧。

回复收藏 0

謌踐踏愛綪 2022-10-07 18:24:10

呵呵，我刚刚研究出来了，如果有问题，可以联系我，我的QQ:105348557

回复收藏 0

云巢 2022-10-07 18:24:10

呵呵，我刚刚研究出来了，如果有问题，可以联系我，我的QQ:105348557
zhy1899 发表于 2011-04-06 22:17

你研究出来什么东西，发出来大家分享一下。

回复收藏 0

新人笑 2022-10-07 18:24:10

不知 4 楼是研究出来了规则，还是开发了模块

回复收藏 0

避讳 2022-10-07 18:24:10

本帖最后由 zhy1899 于 2011-04-08 18:26 编辑

回复 6# Godbach

其实用它iptables 支持L7协议，即可达到你的要求，这里我告诉你怎么支持L7，剩下的，你自己写策略即可！

我给你两种方法：第一种是升级内核，一种是不升级内核，只编译模块

升级内核的方法：

内核下载地址: www.kernel.org

iptables http://www.netfilter.org

升级内核到2.6.28 并支持L7/string

解压源码包

tar xzf linux-2.6.28.tar.gz
tar xjf iptables-1.4.10.tar.bz2
tar xzf l7-protocols-2009-05-28.tar.gz
tar xzf netfilter-layer7-v2.22.tar.gz

cd linux-2.6.28

make mrproper 清理工作

patch -p1 < /usr/src/netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch #打上L7补丁

make menuconfig
在
Networking--Networking options--Network packet filtering (replaces ipchains)--Core Netfilter Configuration
把L7和支持 string 等选上
make

make modules
make modules_install
make install

重启系统
#uname -a
Linux localhost.localdomain 2.6.28
编译iptables 支持layer7
cd /usr/src/netfilter-layer7-v2.22/iptables-1.4.3forward-for-kernel-2.6.20forward/
cp libxt_layer7.* /usr/src/iptables-1.4.10/extensions/

上面两步必须操作，这样iptables才能支持，因为新版本的iptables不用打补丁了，直接复制过去即可
cd /usr/src/iptables-1.4.10/
./configure --prefix=/ --with-ksource=/usr/src/linux-2.6.28
make
make install
#iptables -V
iptables v1.4.10
安装协议
cd /usr/src
cd l7-protocols-2009-05-28
make install

#iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP

如没有提示则无问题

第二种方法：我刚刚测试过

首先确认内核版本： uname -r

例如：[root@localhost iptables-1.4.10]# uname -r

2.6.18-194.el5

这样我从kernel上下载2.6.18的内核

linux-2.6.18.tar.bz2

下载：l7-protocols-2009-05-28 （L7的主程序）

netfilter-layer7-v2.6 （内核的补丁）

内核下载地址: www.kernel.org

iptables http://www.netfilter.org

解压源码包

tar xzf linux-2.6.18.tar.bz2
tar xjf iptables-1.3.5.tar.bz2
tar xzf l7-protocols-2009-05-28.tar.gz
tar xzf netfilter-layer7-v2.6.tar.gz

cd linux-2.6.18
make mrproper 清理工作

patch -p1 <../netfilter-layer7-v2.6/kernel-2.6.18-layer7-2.6.patc #打上L7补丁（根据内核版本）

make menuconfig
在
Networking--Networking options--Network packet filtering (replaces ipchains)--Core Netfilter Configuration
把L7支持 string 等选上
make modules_prepa

回复收藏 0

~没有更多了~