Linux防火墙iptables（三）

安装编译环境：

创建编译所需用户、解压内核文件：

向内核打layer 7的补丁：

配置并编译内核：

为了节省时间，我们用系统自带的config文件做模板在其基础上进行修改

选择网络功能：

选择网络选项：

选择netfilter模块：

选择netfilter核心配置：

添加支持layer7层模块：

关闭RedHat内核模块校验：

保存退出：

因为红帽为了防止其它人更改其内核模块进行二次发行，所以添加了模块签名机制，我们的模块没有红帽的签名，所以需要关闭这个功能才能编译成功。

#yum install screen -y
#screen
#make –j 4
#make modules_install
#make install
查看新内核是否安装成功：

使用新内核启动：

编译前的准备工作：

编译安装：

设置配套的脚本和配置文件：

安装layer7的补丁：

开启连接追踪功能：

构建实验拓扑：
NAT Server：192.168.1.0/24, 192.168.23.0/24
Client：192.168.23.0/24

创建NAT条目：

可以看到Client的确是通过NAT Server上网的：

现在QQ也可以登录：

设置layer7层条目拒绝QQ：

已经登录失败了：

匹配到的layer7的规则：

还是能够上网：

匹配到的NAT规则：

拒绝QQ连接的原理：

OK，我们的实验成功啦。可以有效的防止QQ登录，但是还可以上网。虽然我们可以完成这样甚至限制更多的7层服务的功能，但是我是不赞成公司使用的，因为只有自由开放的公司才有活力，靠权利去禁止某些东西归根结底治标不治本。如有错误敬请指出。

Linux防火墙iptables（三）