近几天研究关于L7 协议拦截BT包的心得

lawson12

我是新手在 这里先向大家问个好。

      关于L7拦截BT等协议封包的和限制流量的 文章我看了好多，但是根据我的测试

如下的：
l7-filter 过滤器 就算拦截了封包，把贴10的标送去频宽管制 但是不知道为什么就是控制不了 上传流量！！
（这里我想问 有没有人已经成功控制了BT 上传 和下载的流量）
请高手指教~

iptables -t mangle -A PREROUTING  -m layer7 --l7proto bittorrent -j MARK --set-mark 10
( BT上传方向的封包，给予贴标签 10 )

iptables -t mangle -A POSTROUTING  -m layer7 --l7proto edonkey -j MARK --set-mark 10
( 驴子 下载方向的封包，给予贴标签 10 )

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

还有这个里面就算丢弃所有的P2P包，也有奇怪的现象 大概可以提供给 有需要知道答案的人。

iptables -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j DROP （这里的DROP 是丢弃）
iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP

iptables -t mangle -A POSTROUTING  -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -A POSTROUTING  -m layer7 --l7proto bittorrent -j DROP

按道理这样应该可以把BT封死！ 你错了！

我还是发现有流量通过BT！还把我的上传资源用光 （%￥·#%￥#%````）

这里我发现连接上我机器的都是 （内网互连）。

在这里我**了一下 是端口的问题 我的内网IP 的 BT端口是22371（只有一个）  

外网有很多个IP连进来其中 大部分的IP都拦截了 如果他BT 端口刚好是 （22371）

那么 就可以连接上 然后我只好把 所有 IP 22371 端口 下行的封掉才可以做到 封死BT

以上是我的心得
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
到现在为止我还没做出 Coyote Linux 的限制流量的 脚本

这里以前大大 的帖子 和其他网站的帖子 我都有学习做过 就是没有一个是把整个BT  QOS 脚本

发表出来的 希望这里的 高手门可以帮到我 （我已经几天没睡好觉了）

心想事成

现有的l7的bittorrent的模板不能全部封锁bt流量。因为现有的bitcomet有以下类型的数据包：
dht包 内网互联包 加密传送的数据包 普通的bt包。现有的模板只能封锁或者匹配普通的bt包。
故而会有你说的问题

lawson12

那么现在就没技术可以 控制流量了？
因为我发现按照 这里站里的 QOS教学 上说的只是针对普通的流量控制
对疯狂是P2P 简直就是没 得办法了。。。。。。悲哀中。

lawson12

还有在这里 你是不是可以可以把你的 防火墙 和QOS 设定 贴一份
让小弟参考 一下吗？ 感激中.......

lawson12

小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。
完全封杀并不合理， 所以很长时间在探访控制 流量的办法 。

AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级？
          不是要等CL 出新版本吧？？？？

aijun

原帖由 lawson12 于 2006-9-20 19:32 发表
小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。
完全封杀并不合理， 所以很长时间在探访控制 流量的办法 。

AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级？
          不是要 ...

     我自己开发的MINIFW内置P2P过滤模块,没有使用L7FILTER.是别人建议我也在MINIFW中加上L7FILTER.   我也看了它的最新源代码,对80端口的P2P限制做的比较好.
     我对流量控制的看法和大家可能有不同:
我的网络带宽据电信说是3-5M,但估计才2M,客户机600台以上,但是同时上网在线计算机250台以上.
按照道理应该使用流量控制,但是流量控制本质上是牺牲一部分的速度,给其他人群.对于1000人以内的办公网络,使用WEB和QQ和软件下载等的人还是多数,使用BT,网络电视的人是少数.所以尽量使用对80端口缓存加速,基本感觉是带宽增加了1M以上,都去访问本地硬盘缓存了.

aijun

原帖由 lawson12 于 2006-9-20 19:32 发表
小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。
完全封杀并不合理， 所以很长时间在探访控制 流量的办法 。

AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级？
          不是要 ...

可以下载最新L7FILTER过滤版本了.
想使用和测试L7filte 最新版本(日期20060910)吗?
L7filte 最新版本(日期20060910),VMWARE5中可测试成功.

编译的时候,使用最新的源程序L7FILTER2.5版本,过滤规则支持该网站定义的最新20060910规则集合.熟悉的网友可以自己更新内部的*.pat文件

为大家测试方便.我内置了最新的100BAO BITTORRENT EDONKEY 规则(明显变化是原来的规则才20个字节,现在变成了100多个字节).

测试环境:VMWARE5 256M内存.2.88M软驱 ,不要用VM4.启动会不认识1.68M软盘的.
user: root password: hajhaj

下载地址:
http://219.223.96.9/minifw_l7
http://219.223.96.9/minifw_l7/minifw_vm_l7.ima

使用*.ima做启动软盘即可.然后
iptables -t mangle -m layer7 --l7proto --bittorrent -j DROP
iptables -t mangle 0m layer7 --l7proto --100bao -j DROP

我不知道MINIFW32是否还和BRW COYOTE兼容.BRW主要做各种IPTABLES扩展了,MINIFW主要做WEB内容过滤和木马检测了.
  
以上作为MINIFW32的发展版本内容.不要同时启动IPP2P.两者功能类似

wendaozhe

tc+l7才是王道！

keris

貌似没多少和ROS有关的

keris

貌似没多少和ROS有关的

spookyu

封BT最实在就是 封了...DHT Tracker 服务器...

这样有Tracker也找不到peers...

比如:封酷狗 就drop搜索服务器...

迅雷也是 直接封 资源服务器...

pywilson

cool525000

严重赞成楼上的，我的BT和KUGOU，迅雷就是这样被我DORP掉的，几乎动弹不得。下几个小时都没流量。