安装编译环境:
创建编译所需用户、解压内核文件:
向内核打layer 7的补丁:
配置并编译内核:
为了节省时间,我们用系统自带的config文件做模板在其基础上进行修改
选择网络功能:
选择网络选项:
选择netfilter模块:
选择netfilter核心配置:
添加支持layer7层模块:
关闭RedHat内核模块校验:
保存退出:
因为红帽为了防止其它人更改其内核模块进行二次发行,所以添加了模块签名机制,我们的模块没有红帽的签名,所以需要关闭这个功能才能编译成功。
#yum install screen -y
#screen
#make –j 4
#make modules_install
#make install
查看新内核是否安装成功:
使用新内核启动:
编译前的准备工作:
编译安装:
设置配套的脚本和配置文件:
安装layer7的补丁:
开启连接追踪功能:
构建实验拓扑:
NAT Server:192.168.1.0/24, 192.168.23.0/24
Client:192.168.23.0/24
创建NAT条目:
可以看到Client的确是通过NAT Server上网的:
现在QQ也可以登录:
设置layer7层条目拒绝QQ:
已经登录失败了:
匹配到的layer7的规则:
还是能够上网:
匹配到的NAT规则:
拒绝QQ连接的原理:
OK,我们的实验成功啦。可以有效的防止QQ登录,但是还可以上网。虽然我们可以完成这样甚至限制更多的7层服务的功能,但是我是不赞成公司使用的,因为只有自由开放的公司才有活力,靠权利去禁止某些东西归根结底治标不治本。如有错误敬请指出。
原文:http://blog.51cto.com/13869667/2157397