一則報道說盡管某寬帶公司現有技術可以容納的網絡用戶容量為400至600萬用戶,可是目前,在容納了45萬用戶的情況下,網絡已經擁擠不堪,時常出現斷網情況,一到上網高峰,網速就會急劇下降。
為何網絡會如此擁擠不堪?這是因為自從出現諸如電驢、Kazaa、BT等P2P軟件之后,海量的數據文件(如大容量文件交換、視頻文件下載等)逐漸占據了大部分的網絡帶寬。P2P這一新應用給用戶帶來了前所未有的方便和豐富的資源,但同時也引發了網絡帶寬和安全問題。
如何在發揮P2P強大功能的情況下對其進行一些必要的限制呢?本文將介紹在Linux中如何利用netfilter/iptables實現對P2P應用流量的限制。
升級內核
由于在公開發布的Linux內核文件中,有關iptables的各種參數里沒有關于P2P屬性的參數,所以必須通過升級Linux內核和iptables來打上這個補丁,使其支持P2P屬性設置。
在具體操作之前,先要了解一下升級內核補丁需要的一些相關軟件:linux-2.4.20-8.tar.gz、patch-o-matic-20040609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。
這里的測試環境為Red Hat 9.0,內核為2.4.20-8。由于2.4.*是一個穩定的內核,因此不能把當前開發的一些新功能提交到主內核中去,而只能首先在patch-o-matic中測試,然后打補丁到內核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。
有了內核支持后,還需要iptables支持,其中iptables-p2p-0.3.0a.tar.gz為netfilter/iptables組織開發的專門支持P2P的iptables擴展軟件包;ipp2p-0.5c.tar.gz為Eicke Friedrich開發的一個支持P2P的iptables擴展包。這兩個擴展包各有特色,后面將會分別介紹。
裝載模塊
首先在/usr/src下解壓軟件包:
#bzip2 -d patch-o-matic-20040609.tar.bz2 |
生成patch-o-matic-20040609.tar.out。
#tar xvf patch-o-matic-20040609.tar.out |
生成補丁目錄patch-o-matic-20040609。Red Hat 9.0中默認的內核目錄為/usr/src/linux-2.4。進入補丁目錄/usr/src/patch-o-matic-20040609,由于支持P2P協議控制選項需要CONNMARK模塊,該模塊在extra子目錄下,因此需要運行如下命令來升級內核補丁。
#KERNEL_DIR=/usr/src/linux-2.4 ./runme extra |
運行該命令后會出現一個模塊選擇界面,界面有兩個區域,一個給出相關的模塊名、模塊功能、用法和語法實例;另一個給出各種選項,如N/y/b/r.../q/?,其中第一個為大寫字母,表示缺省選項,n表示下一個模塊,y表示確定,b表示上一個模塊,q表示退出。
首先應該確定當前的模塊是否需要,不需要就按“N”鍵后回車,繼續顯示下一個模塊的相關信息。當出現需要的模塊時,按“Y”鍵確認,同時應該將里面的相關語法實例抄錄下來以備用。選擇完所有需要的模塊后,按“Q”鍵退出。
編譯內核
進入內核文件所在目錄/usr/src/linux-2.4,開始編譯內核:
#make mrproper
#make xconfig(或#make menuconfig) |
注意,在配置選項中必須選擇Networking options→IP:Netfilter Configuration→Connection mark tracking support和CONNMARK target support兩個選項。確保關鍵文件在正確位置:
#make dep
編譯大內核:
編譯選擇的模塊:
將編譯后的模塊轉移到系統標準位置:
讓系統自動修改啟動配置文件grub.conf:
重新啟動系統,選擇Red Hat Linux(2.4.20-8custom)選項,則啟動了新編譯的內核。
升級iptables
安裝iptables-1.2.8
首先解壓iptables-1.2.8.tar.bz2文件:
#bzip2 -d iptables-1.2.8.tar.bz2
#tar xvf iptables-1.2.8.tar.out |
編譯iptables-1.2.8:
#make KERNEL_DIR=/usr/src/linux-2.4
#make install KERNEL_DIR=/usr/src/linux-2.4
#make install-devel |
拷貝可執行文件到相應目錄:
#cp iptables iptables-save iptables-restore /sbin |
安裝iptables-p2p軟件
首先解壓iptables-p2p-0.3.0a.tar.gz:
#tar zxvf iptables-p2p-0.3.0a.tar.gz
#cd iptables-p2p-0.3.0a |
拷貝iptables-1.2.8的頭文件到適當的目錄:
#cp -a /usr/src/iptables-1.2.8/include/* /usr/include |
運行“make”編譯iptables-p2p,并拷貝相關文件到相應的目錄:
#make
#cp kernel/ipt_p2p.o /lib/modules/2.4.20-8custom/kernel/net/ipv4/netfilter/
#cp iptables/libipt_p2p.so /lib/iptables/ |
安裝ipp2p軟件
首先修改Makefile文件中的源目錄、內核目錄和netfilter版本號,將以下內容:
IKERNEL = -I/usr/src/linux/include
IUSER = -I/usr/src/iptables-1.2.7a/include
NETFILTER_VERSION = \"1.2.7a\" |
改為:
IKERNEL = -I/usr/src/linux-2.4/include
IUSER = -I/usr/src/iptables-1.2.8/include
NETFILTER_VERSION = \"1.2.8\" |
編譯軟件,并拷貝庫文件到相應的目錄:
#make
#cp libipt_ipp2p.so /lib/iptables |
裝入模塊:
#iptables -m p2p -help
……
P2P match v0.3.0a options:
--p2p-protocol [!] protocol[,...]
--p2p ...
match application-layer protocol(匹配的應用層協議)
Valid p2p protocols:(P2P支持的有效協議如下:)
fasttrack
gnutella
edonkey
dc
bittorrent
openft |
iptables-p2p模塊通過-m p2p參數來實現對所有已知P2P連接請求的識別。注意,-m p2p只能識別P2P類型的連接請求,不能識別所有的P2P包,可以通過--p2p-protocol子參數來識別P2P的各種已知協議類型。
3.應用實例
#iptables -A FORWARD -m p2p -j DROP |
阻塞網絡上所有的P2P連接請求。
#iptables -A FORWARD -m p2p --p2p-protocol fasttrack,bittorrent -j DROP |
阻塞網絡上fasttrack和bittorrent協議連接請求。
在實際使用過程中必須和CONNMARK目標結合起來,然后通過tc過濾才能真正對所有P2P包進行限制。更多的信息可以參考example/limit-p2p.sh的實例腳本。
ipp2p的應用
1.ipp2p目前支持如下Linux內核和iptables版本:
◆ Linux-Kernels 2.6:2.6.3
◆ Linux-Kernels 2.4:2.4.18、2.4.19、2.4.20、2.4.21、2.4.22、2.4.23
◆ iptables(www.netfilter.org)1.2.7a、1.2.8、1.2.9
2.獲取ipp2p幫助
# iptables -m ipp2p --help
……
IPP2P v0.5c options:
--ipp2pGrab all known p2p packets
(抓所有已知的P2P包)
--ipp2p-dataGrab all known p2p data packets
(抓所有已知P2P數據包)
--edkGrab all known eDonkey/eMule/Overnet packets
(抓所有已知的eDonkey/eMule/Overnet類型的包)
--edk-dataGrab all eDonkey/eMule/Overnet data packets
(抓所有已知的eDonkey/eMule/Overnet數據包)
--dcGrab all known Direct Connect packets
(抓所有已知的直接連接包)
--dc-dataGrab all Direct Connect data packets
(抓所有已知的直接連接數據包)
--kazaaGrab all KaZaA packets
(抓所有KaZaA包)
--kazaa-dataGrab all KaZaA data packets
(抓所有KaZaA數據包)
--gnuGrab all Gnutella packets
(抓所有Gnutella包)
--gnu-dataGrab all Gnutella data packets
(抓所有Gnutella數據包)
--bitGrab all BitTorrent packets (beta - handle with care)
(抓所有BitTorrent包)
--appleGrab all AppleJuice packets (beta - handle with care)
(抓所有AppleJuice包)
--soulSoulSeek (beta - handle with care)
(SoulSeek類型的包)
…… |
3.應用實例
ipp2p只能識別P2P連接請求,而不能識別所有P2P包,因此也必須和CONNMARK目標結合在一起使用,目前只支持TCP協議標示。下面來看一個實例。
#iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark |
上面代碼表明從CONNMARK目標中恢復標記。
#iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT |
上面代碼表明接收所有非0的標記包。
#iptables -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1 |
上面代碼表明將ipp2p連接標記為“1”。
#iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark |
上面代碼表明保存所有標記為“1”的包到CONNMARK目標中。通過上面設置得到的結果是,每一個標示為P2P連接的包被標記成“1”,然后再通過tc過濾,執行下面的操作:
#tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:11
#tc filter add dev eth1 parent 2:0 protocol ip prio 4 handle 1 fw classid 2:11 |
使用HTB和過濾,將所有標記為“1”的包放到每一個設備類中,通過對這些設備類的限制來達到對P2P連接帶寬的限制。更多的信息可以參考http://rnvs.informatik.uni-leipzig.de/ipp2p/。
應用效果
筆者在單位防火墻上應用了iptables-p2p和ipp2p配置,對P2P的FastTrack協議進行限制后,用貪婪BT(ABC)進行測試,取得了理想的效果,能有效地限制P2P通信如圖1)。
熱詞搜索:
上一篇:用FWTK配置Linux防火墻
下一篇:Linux下的NAT及防火墻的混合應用(1)
|
