|
 
- UID
- 2
- 帖子
- 8351
- 積分
- 13739
- 威望
- 30
- 金錢
- 526
- 貢獻
- 694
- 魅力
- 2041
- 閱讀權限
- 255
- 性別
- 男
- 在線時間
- 2106 小時
- 註冊時間
- 2005-10-4
- 最後登錄
- 2024-6-17
        
|
1#
發表於 2009-5-29 04:14
| 只看該作者
2-3-1 Layer7 軟體應用層,關鍵字過濾
作者: wen 日期: 2009-5-29 04:14 閱讀: 236 人
打印
收藏
大 中
小
Layer7 是 OSI網路模型,第七層「軟體應用層」的意思
簡單的說:就是可以針對特定「應用軟體」做封包過濾
舉例:
Q1:請問要怎麼防止MSN,YAHOO即時通?
Q2:請問要怎麼防止員工上班偷懶聊天,偷傳機密檔案出去?
Q3:請問要怎麼防止連上某些網站 (色情網站,網路硬碟)?
The solution or answer is Layer7 Firewall
太好了∼有救了,答案就是支援關鍵字過濾的防火牆
以下範例轉貼自 軟件路由器論壇 (簡體字網站)作者: wsgtrsys
例子:
禁止關鍵字「sina",禁止訪問所有包含sina字符的網站。
iptables -I FORWARD -s 192.168.2.0/24 -m string --string "sina" -j DROP
限制某一個IP訪問端口23的並發數在2以內(不過好象不太正常):
iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP
設置IP 192.168.2.3在周一到周五早上8點到下午6點能訪問互聯網
iptables -I FORWARD -s 192.168.2.3 -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT
阻止bittorretn協議:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
阻止QQ協議:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto qq -j DROP
阻止CS:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto counterstrike -j DROP
阻止雅虎通:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto yahoo -j DROP
阻止socks代理:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto socks -j DROP
限制BT協議的帶寬:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto imap -j MARK --set-mark 3
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 3 fw flowid 1:3 |
2005.12.04不預期遇見什麼、才可能什麼都能遇見。
如果你是會員,有任何使用上的問題,請發短訊給我(wen)
如果你是訪客的話,註冊之後可以得到完整的瀏覽權限
 |
|
