亚洲欧美中文字幕,日本福利一区二区,丝袜在线视频

一則報道說盡管某寬帶公司現有技術可以容納的網絡用戶容量為400至600萬用戶，可是目前，在容納了45萬用戶的情況下，網絡已經擁擠不堪，時常出現斷網情況，一到上網高峰，網速就會急劇下降。

為何網絡會如此擁擠不堪？這是因為自從出現諸如電驢、Kazaa、BT等P2P軟件之后，海量的數據文件（如大容量文件交換、視頻文件下載等）逐漸占據了大部分的網絡帶寬。P2P這一新應用給用戶帶來了前所未有的方便和豐富的資源，但同時也引發了網絡帶寬和安全問題。

如何在發揮P2P強大功能的情況下對其進行一些必要的限制呢？本文將介紹在Linux中如何利用netfilter/iptables實現對P2P應用流量的限制。

升級內核

由于在公開發布的Linux內核文件中，有關iptables的各種參數里沒有關于P2P屬性的參數，所以必須通過升級Linux內核和iptables來打上這個補丁，使其支持P2P屬性設置。

在具體操作之前，先要了解一下升級內核補丁需要的一些相關軟件：linux-2.4.20-8.tar.gz、patch-o-matic-20040609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。

這里的測試環境為Red Hat 9.0，內核為2.4.20-8。由于2.4.*是一個穩定的內核，因此不能把當前開發的一些新功能提交到主內核中去，而只能首先在patch-o-matic中測試，然后打補丁到內核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。

有了內核支持后，還需要iptables支持，其中iptables-p2p-0.3.0a.tar.gz為netfilter/iptables組織開發的專門支持P2P的iptables擴展軟件包；ipp2p-0.5c.tar.gz為Eicke Friedrich開發的一個支持P2P的iptables擴展包。這兩個擴展包各有特色，后面將會分別介紹。

裝載模塊

首先在/usr/src下解壓軟件包：

#bzip2 -d patch-o-matic-20040609.tar.bz2

生成patch-o-matic-20040609.tar.out。

#tar xvf patch-o-matic-20040609.tar.out

生成補丁目錄patch-o-matic-20040609。Red Hat 9.0中默認的內核目錄為/usr/src/linux-2.4。進入補丁目錄/usr/src/patch-o-matic-20040609，由于支持P2P協議控制選項需要CONNMARK模塊，該模塊在extra子目錄下，因此需要運行如下命令來升級內核補丁。

#KERNEL_DIR=/usr/src/linux-2.4 ./runme extra

運行該命令后會出現一個模塊選擇界面，界面有兩個區域，一個給出相關的模塊名、模塊功能、用法和語法實例；另一個給出各種選項，如N/y/b/r.../q/?，其中第一個為大寫字母，表示缺省選項，n表示下一個模塊，y表示確定，b表示上一個模塊，q表示退出。

首先應該確定當前的模塊是否需要，不需要就按“N”鍵后回車，繼續顯示下一個模塊的相關信息。當出現需要的模塊時，按“Y”鍵確認，同時應該將里面的相關語法實例抄錄下來以備用。選擇完所有需要的模塊后，按“Q”鍵退出。

編譯內核

進入內核文件所在目錄/usr/src/linux-2.4，開始編譯內核：

#make mrproper
#make xconfig（或#make menuconfig）

注意，在配置選項中必須選擇Networking options→IP:Netfilter Configuration→Connection mark tracking support和CONNMARK target support兩個選項。確保關鍵文件在正確位置：

#make dep

編譯大內核：
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2" 
 bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
    <td bgcolor="e6e6e6" class="code" style="font-size:9pt">
    <pre><ccid_code>
#make bzImage

編譯選擇的模塊：

#make modules

將編譯后的模塊轉移到系統標準位置：

#make modules_install

讓系統自動修改啟動配置文件grub.conf：

#make install

重新啟動系統，選擇Red Hat Linux（2.4.20-8custom）選項，則啟動了新編譯的內核。

升級iptables

安裝iptables-1.2.8

首先解壓iptables-1.2.8.tar.bz2文件：

#bzip2 -d iptables-1.2.8.tar.bz2
#tar xvf iptables-1.2.8.tar.out

編譯iptables-1.2.8：

#make KERNEL_DIR=/usr/src/linux-2.4
#make install KERNEL_DIR=/usr/src/linux-2.4
#make install-devel

拷貝可執行文件到相應目錄：

#cp iptables iptables-save iptables-restore /sbin

安裝iptables-p2p軟件

首先解壓iptables-p2p-0.3.0a.tar.gz：

#tar zxvf iptables-p2p-0.3.0a.tar.gz
#cd iptables-p2p-0.3.0a

拷貝iptables-1.2.8的頭文件到適當的目錄：

#cp -a /usr/src/iptables-1.2.8/include/* /usr/include

運行“make”編譯iptables-p2p，并拷貝相關文件到相應的目錄：

#make
#cp kernel/ipt_p2p.o /lib/modules/2.4.20-8custom/kernel/net/ipv4/netfilter/
#cp iptables/libipt_p2p.so /lib/iptables/

安裝ipp2p軟件

首先修改Makefile文件中的源目錄、內核目錄和netfilter版本號，將以下內容：

IKERNEL = -I/usr/src/linux/include
IUSER = -I/usr/src/iptables-1.2.7a/include
NETFILTER_VERSION = \"1.2.7a\"

改為：

IKERNEL = -I/usr/src/linux-2.4/include
IUSER = -I/usr/src/iptables-1.2.8/include
NETFILTER_VERSION = \"1.2.8\"

編譯軟件，并拷貝庫文件到相應的目錄：

#make
#cp libipt_ipp2p.so /lib/iptables

裝入模塊：

#insmod ipt_ipp2p

#iptables -m p2p -help
……
P2P match v0.3.0a options:
  --p2p-protocol [!] protocol[,...]
  --p2p ...
  match application-layer protocol（匹配的應用層協議）
Valid p2p protocols:（P2P支持的有效協議如下：）
fasttrack
gnutella
edonkey
dc
bittorrent
openft

iptables-p2p模塊通過-m p2p參數來實現對所有已知P2P連接請求的識別。注意，-m p2p只能識別P2P類型的連接請求，不能識別所有的P2P包，可以通過--p2p-protocol子參數來識別P2P的各種已知協議類型。

3．應用實例

#iptables -A FORWARD -m p2p -j DROP

阻塞網絡上所有的P2P連接請求。

#iptables -A FORWARD -m p2p --p2p-protocol fasttrack,bittorrent -j DROP

阻塞網絡上fasttrack和bittorrent協議連接請求。

在實際使用過程中必須和CONNMARK目標結合起來，然后通過tc過濾才能真正對所有P2P包進行限制。更多的信息可以參考example/limit-p2p.sh的實例腳本。

ipp2p的應用

1．ipp2p目前支持如下Linux內核和iptables版本：

◆ Linux-Kernels 2.6：2.6.3
◆ Linux-Kernels 2.4：2.4.18、2.4.19、2.4.20、2.4.21、2.4.22、2.4.23
◆ iptables（www.netfilter.org）1.2.7a、1.2.8、1.2.9

2．獲取ipp2p幫助

# iptables -m ipp2p --help
  ……
  IPP2P v0.5c options:
  --ipp2pGrab all known p2p packets 
（抓所有已知的P2P包）
  --ipp2p-dataGrab all known p2p data packets 
（抓所有已知P2P數據包）
  --edkGrab all known eDonkey/eMule/Overnet packets 
（抓所有已知的eDonkey/eMule/Overnet類型的包）
  --edk-dataGrab all eDonkey/eMule/Overnet data packets 
（抓所有已知的eDonkey/eMule/Overnet數據包）
  --dcGrab all known Direct Connect packets 
（抓所有已知的直接連接包）
  --dc-dataGrab all Direct Connect data packets 
（抓所有已知的直接連接數據包）
  --kazaaGrab all KaZaA packets 
（抓所有KaZaA包）
  --kazaa-dataGrab all KaZaA data packets 
（抓所有KaZaA數據包）
  --gnuGrab all Gnutella packets 
（抓所有Gnutella包）
  --gnu-dataGrab all Gnutella data packets 
（抓所有Gnutella數據包）
  --bitGrab all BitTorrent packets (beta - handle with care) 
（抓所有BitTorrent包）
  --appleGrab all AppleJuice packets (beta - handle with care) 
（抓所有AppleJuice包）
  --soulSoulSeek (beta - handle with care) 
（SoulSeek類型的包）
  ……

3．應用實例

ipp2p只能識別P2P連接請求，而不能識別所有P2P包，因此也必須和CONNMARK目標結合在一起使用，目前只支持TCP協議標示。下面來看一個實例。

#iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark

上面代碼表明從CONNMARK目標中恢復標記。

#iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT

上面代碼表明接收所有非0的標記包。

#iptables -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1

上面代碼表明將ipp2p連接標記為“1”。

#iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark

上面代碼表明保存所有標記為“1”的包到CONNMARK目標中。通過上面設置得到的結果是，每一個標示為P2P連接的包被標記成“1”，然后再通過tc過濾，執行下面的操作：

#tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:11
#tc filter add dev eth1 parent 2:0 protocol ip prio 4 handle 1 fw classid 2:11

使用HTB和過濾，將所有標記為“1”的包放到每一個設備類中，通過對這些設備類的限制來達到對P2P連接帶寬的限制。更多的信息可以參考http://rnvs.informatik.uni-leipzig.de/ipp2p/。

應用效果

筆者在單位防火墻上應用了iptables-p2p和ipp2p配置，對P2P的FastTrack協議進行限制后，用貪婪BT（ABC）進行測試，取得了理想的效果，能有效地限制P2P通信如圖1）。

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

怎樣用Netfilter/IPtables控制P2P流量
2007-06-24

延伸閱讀

熱文

国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

怎樣用Netfilter/IPtables控制P2P流量 2007-06-24

延伸閱讀

熱文

怎樣用Netfilter/IPtables控制P2P流量
2007-06-24