Iptables+L7+Squid

cheng029

小编：现在的企业网应用中，有些业务和一些重要部门管理人员对于网络的带宽具有较高的要求，最重要的就是速度的稳定性。这就要求我们的网络管理员对于企业网中的带宽进行合理分配，特别是一些基于P2P的软件和应用进行限制，可以很好的解决带宽的压力，满足特殊用户对于网速的需求。今天我们就一起来搭建一种基于Iptables之上，并结合Layer7七层过滤模块和Squid代理来实现对于特殊应用的限制，这就是我们接下来将要要介绍的综合过滤模型：Iptables+L7+Squid.

【基本环境搭建】
一）软件需求及简单说明
linux-2.6.25.19.tar.bz2
说明：由于实验环境使用的内核版本是2.6.18，内核编译过程中并没有加入L7七层过滤模块，所以需要对内核进行重新编译，加入L7七层过滤模块.
iptables-1.4.2.tar.bz2
说明：下载新版iptables源码包，编译安装。
netfilter-layer7-v2.20.tar.gz
说明：下载Layer7补丁源码包，用于给新内核打补丁.
l7-protocols-2009-5-10.tar.gz
说明：下载L7-protocols模式源码包,内嵌的模块用于Iptables进行调用.
二）实现目标
给新内核源码包打上Layer7的补丁，对内核进行重新编译，编译前添加L7的相关模块，最终实现基于L7的七层过滤功能，实现对于应用层的过滤,完成基于L7的过滤的应用.
三）具体步骤
Step1:给新版内核打上L7的补丁.
①解压缩内核源码包和layer7补丁包
tar jxvf linux-2.6.25.19.tar.gz2 -C /usr/src/
tar zxvf netfilter-layer7-v2.20.tar.gz -C /usr/src/
②切换到内核目录下，使用patch工具对内核进行打补丁
cd /usr/src/linux-2.6.25.19/
patch -p1 < /usr/src/netfilter-layer7-v2.20/kernel-2.6.25-layer7-2.20.patch
Step2:配置新内核
①拷贝老的内核的编译配置文件生成新版内核配置文件
cp /boot/config-2.6.18-8.el5 .config
②菜单模式下配置编辑内核编译配置文件，添加L7模块
详细步骤如下：

完成后保存退出，这样就给新内核添加了L7模块了，下面就能进行内核编译了.
Step3:编译和安装新版内核
①编译生成makefile文件.
make
②进行内核的编译及新内核的安装.
make modules_install && make install
Step4:重新编译配置iptables
①卸载已装的iptables，解压缩新版iptables源码包.
rpm -e iptables  --nodeps (取消依赖关系)
tar jxvf iptables-1.4.2.tar.bz2 -C /usr/src/
②合并iptables和layer7补丁，使新的iptables能够调用L7模块.
cd /usr/src/netfilter-layer7-v2.20/iptables-1.4.1.1-for-kernel-2.6.20forward/
cp libxt_layer7.c libxt_layer7.man/usr/src/iptables-1.4.2/extensions/
③编译安装iptables
cd /usr/src/iptables-1.4.2/
./configure --prefix=/ --with-ksource=/usr/src/linux-2.6.25.19
make && make install
Step5:安装L7-protocols模式包
tar zxvf l7-protocols-2009-5-10.tar.gz -C /etc/
mv /etc/l7-protocols-2009-5-10/etc/l7-protocols
Step6:rpm安装Squid，并启动服务
mkdir  /mnt/cdrom
mount  /dev/cdrom  /mnt/cdrom
cd  /mnt/cdrom/Server
rpm -ivh  squid-2.6.STABLE21-3.e15.i386.rpm
service  squid start
启动过程如果出现下列错误：

好了，到目前为止，我们的基本环境就算搭建完成了.
下面通过案例来说明这种环境下的具体应用，希望对大家有所启发.
【环境应用举例】
实例一：
①实验拓扑

②实验目的
使用Linux Red Hat做为软件防火墙，模拟LAN内的网络出口防火墙.
添加Iptables规则，实现下列功能
SNAT：内网的用户通过SNAT访问Internet.
DNAT：内网DMZ区域存在服务器，服务内网服务器.
③具体配置
网卡参数配置


为了测试网络的联通性，我们先把iptables的默认规则改为允许，并添加SSH允许的规则.
iptables -t filter -A INPUT  -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARDACCEPT
修改防火墙的DNS指向


开启防火墙的包过滤功能

再把默认规则改为DROP
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARDDROP


【SNAT配置】
配置：

测试：WinXP虚拟机Host-Only虚拟网卡VMnet1
地址参数如下：

访问宽带路由器的LAN口地址测试

分析：这是由于filter链中的FORWORD默认规则为拒绝所有的.

方法：修改规则为ACCEPT，再次测试.


【DNAT配置】
配置：
测试：WinXP虚拟机Host-Only虚拟网卡VMnet2，
地址参数如下：

添加远程登录账号，加入到远程登陆组并开启允许远程连接：

宿主机（192.168.102.222）远程登录测试：

实例二：
①实验拓扑

②方案说明
某公司有三个部门
工程部门 地址分配：192.168.2.10-192.168.2.20
软件部门  地址分配：192.168.2.21-192.168.2.30
经理办    地址分配：192.168.2.31-192.168.2.40
【限制条件】上班时间（周一至周五 08:00--20：00）
1.工程部门  
上班时间
允许ftp【服务器地址为：192.168.102.253】
不允许qq、迅雷、http
下班无限制
2.软件部门  
上班时间
允许访问http
不允许非法站点sina
不允许使用迅雷
限制连接数最多3个
不允许使用QQ聊天工具
不允许使用pplive网络电视
不允许看图片
下班后无限制   
3.经理办公室  
http 、qq 都可以
下班后无限制
4.dmz区域rdp-server服务器进行发布
③具体配置和相关测试.
1.工程部门  
Step1:上班时间允许登录ftp服务器
①iptables -t filter-A FORWARD
-m iprange --src-range 192.168.2.10-192.168.2.20
-mtime --timestart 08:00 --timestop 20:00
--weekdays Mon,Tue,Wed,Thu,Fri
-d  192.168.102.253 -p tcp --dport 21 -j ACCEPT
②iptables -t filter -A FORWARD
-m state --state  ESTABLISHED,RELATED -j ACCEPT
查看FORWARD表格.
工程部门逐级FTP登录测试
网络参数：

登录测试

显示登录成功，但是命令没法使用，缺少下面模块的支持.

再次登录测试，并比较iptables表格中条目在登陆前后的匹配情况.


Step2:上班时间不允许登录Web服务器、QQ聊天工具、迅雷下载
①iptables -t filter -A FORWARD
-m iprange --src-range 192.168.2.10-192.168.10.20
-m time --timestart 08:00 --timestop 20:00  
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto qq -j DROP
②iptables -t filter -A FORWARD
-m iprange --src-range 192.168.2.10-192.168.10.20
-m time --timestart 08:00 --timestop 20:00
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto xunlei -j DROP
Step3:下班后无限制,周末无限制.
①iptables -t filter -A FORWARD -s 192.168.2.0/24
-m time --timestart 20:01 --timestop 07:59 -o eth1 -j ACCEPT
②iptables -t filter -A FORWARD -s 192.168.2.0/24
-m time --weekdays Sat,Sun-j ACCEPT
【测试】
①修改当前时间为工作日上班时间，测试Web访问

下载安装最新版2013版QQ，进行登录测试

查看系统日志 （tail  -f  /var/log/messages ）


下载新版的迅雷进行下载测试.


查看日志，发现并没有出现matched xunlei 的信息.
(说明：虽然迅雷被一定程度的限制，但是并没有调用L7的模块进行限制，只是Iptables的默认规则，把迅雷给限制了.)
修改当前时间为工作日下班时间，测试Web访问

查看客户端访问前后的数据包匹配状态




下班后，登录QQ测试


修改当前时间为周末，测试Web访问

查看客户端访问前后的数据包匹配状态




2.软件部门
由于软件部门有些限制是基于应用层的内容进行过滤，所以要结合Squid透明代理实现对于内容的过滤.
Step1:Iptables对于软件部门访问Internet进行端口重定向.
①iptables -t nat -A PREROUTING -m iprange
--src-range 192.168.2.21-192.168.2.30 -p tcp --dport 80
-j REDIRECT --to-port 3128
②iptables -t filter -A INPUT -p tcp --dport 3128 -j ACCEPT
③iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
④iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
⑤iptables -t filter -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
Step2:为了实现用户的DNS的解析，需要对DNS的流量规则设为允许.
①iptables -t filter -A FORWARD -m iprange
--src-range 192.168.2.21-192.168.2.40 -p udp --dport 53 -o eth1 -j ACCEPT
②iptables -t filter -A OUTPUT -p udp --dport 53  -j ACCEPT
访问Internet,测试透明代理
网卡参数：

访问Internet测试，会出现下面错误，需要编辑Squid主配置文档.


Step3:编辑Squid主配置文件，添加对非法域名sina、图片和最大连接数的限制.
vim /etc/squid/squid.conf
开启透明代理


设置软件部门的访问权限


Step4:iptables实现对于QQ、pplive、迅雷限制.
①iptables -t filter -A FORWARD -m iprange
--src-range 192.168.2.21-192.168.2.30
-m time --timestart 08:00 --timestop 20:00
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto qq  -j DROP
②iptables -t filter -A FORWARD -m iprange
--src-range 192.168.2.21-192.168.2.30
-m time --timestart 08:00 --timestop 20:00
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto pplive  -j DROP
③iptables -t filter -A FORWARD -m iprange --src-range 192.168.2.21-192.168.2.30
-m time --timestart 08:00 --timestop 20:00  
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto xunlei  -j DROP
【测试】
①访问Internet测试(www.baidu.com)

②访问非法站点测试(www.sina.com)


③图片限制测试（www.163.com）


④最大连接数测试（baidu+163+126+sohu）.


上班时间QQ登录测试

迅雷下载测试.


查看日志，发现并没有出现matched xunlei 的信息.
(说明：虽然迅雷被一定程度的限制，但是并没有调用L7的模块进行限制，只是Iptables的默认规则，把迅雷给限制了.)
下载安装PPLive，进行测试.

查看日志，发现并没有出现matched pplive 的信息.
(说明：虽然PPlive被一定程度的限制，但是并没有调用L7的模块进行限制，只是Squid的最大连接数和Iptables的规则，把它给限制了，这时我们再次访问网页，发现已经没有连接数可用了)

修改时间为下班测试，进行测试

上网测试

QQ登录测试


3.经理办公室
①iptables -t nat -A PREROUTING -m iprange --src-range 192.168.2.31-192.168.2.40 -p tcp
--dport 80 -j REDIRECT --to-port 3128
②iptables -t filter -IFORWARD 1 -m iprange --src-range 192.168.2.31-192.168.2.40
-m time --timestart 08:00 --timestop 20:00
--weekdays Mon,Tue,Wed,Thu,Fri
-m layer7 --l7proto qq -j ACCEPT
【测试】
网络参数

修改时间为上班时间


上网测试


QQ登录测试




4.dmz区域rdp-server服务器进行发布
①iptables -t nat -A PREROUTING -d 192.168.102.123
-i eth1 -p tcp --dport 3389 -j DNAT --to 192.168.3.100
②iptables -t filter -A FORWARD -d 192.168.3.100
-p tcp --dport 3389  -j ACCEPT
【测试】
宿主机远程桌面测试

查看测试前后的策略匹配情况




【总结】
Iptables+L7+Squid在企业中的应用，对于一个网络管路员来说，是至关重要的.但是由于某些条件的限制，本次试验，只是对QQ做了很好的限制，对于一些P2P软件，没有通过L7进行很好的限制，但是还是可以通过其他途径进行限制的。希望广大博友，积极发表自己的观点、讨论，有好的方法的可以留言哦！！！！！！