linux iptables layer7 模块 中文howto(1)
linux iptables layer7 模块 中文howto(1)
linux的iptables有许多模块,下面详细介绍下layer7 模块-中文howto:
这两天在研究iptables layer7的文档,窃以为这个模块会弥补iptables在应用层控制方面的一些短处,今天闲来无事,恰巧一位故人也提到了layer7这个东西,干脆花了大半天的时间,把howto翻译成了中文,呵呵,水平有限,意译而已,大家看了发现什么bug和我联系阿。。。
layer7 filter howto
注意:linux 2.6.9/10和layer7会发生一个严重的内存泄露问题导致系统在几分钟之内down掉,看起来这好像是内核堆栈的问题,在2.6.11登台之前,还是用2.6.0-2.6.8.1的内核和L7 0.9.1一起工作吧
1、介绍
L7是一个linux内核包分类器,和其他的分类器不同,l7不仅仅看上去是对协议的端口定义,他的表达式和应用层协议匹配,以此检验包使用的何种协议
因为l7对于处理器和内存很敏感,我们建议当您存在下列情况时才考虑使用l7
*你需要匹配一些使用未预先定义的协议端口(主要见于p2p文件共享应用)
*你相信一些有意义的通讯使用了非标准的端口(例如http协议使用1111端口)
符合以上两个问题的其中之一吗,好吧,l7项目中有三个组成部分,一个内核补丁,一个iptables补丁,一个协议定义文件,本文一下部分就来解释你如何处理他们。
2、你需要获取的:
*从kernel.org得到2.4或者2.6的内核源代码
*从netfilter.org得到iptables的源代码
*我们的Layer7 补丁包
*我们的协议定义包
评论暂时关闭