找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 35485|回复: 50

[layer7] 屏蔽FLV(Flash Video)视频和SWF的L7-filter 模板文件。

  [复制链接]
发表于 2007-12-8 09:40:46 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
屏蔽FLV(Flash Video)视频和SWF的L7-filter模板文件,解压后拷贝到/etc/l7-protocols下。
设置方法一:在Simplified Firewall Configuration中Level 7 Protocols Filtering设置,屏蔽的是所有地址。
设置方法二:自定义防火墙中添加规则如:
  1. iptables -t mangle -A POSTROUTING -d 192.168.0.1/24 -m layer7 --l7proto flv -j DROP
  2. #这个是屏蔽192.168.0.1网段所有IP地址段的。
  3. iptables -t mangle -A POSTROUTING -d 192.168.0.240/29 -m layer7 --l7proto flv -j DROP
  4. #这个是屏蔽192.168.0.240~246的IP地址段的。
  5. iptables -t mangle -A POSTROUTING -d 192.168.0.252 -m layer7 --l7proto flv -j DROP
  6. #这个是屏蔽192.168.0.252一个IP地址的。
复制代码
测试的时候先清理一下浏览器的临时文件。

[ 本帖最后由 LanTian 于 2007-12-8 09:48 编辑 ]

模板.rar

396 Bytes, 下载次数: 300986

FLV(Flash Video)视频和SWF的L7-filter模板文件

routeros
发表于 2007-12-8 22:07:10 | 显示全部楼层
楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载

我是用ETHEREAL来抓包的

希望能与楼上交流如何更好地编写L7的模块PAT文件,主要是正则表达式不太理解透
routeros
回复

使用道具 举报

发表于 2007-12-8 22:15:23 | 显示全部楼层
先发一个VAGAA,外面有人要求封VAGAA

vagaa.rar

88 Bytes, 下载次数: 361

routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-8 23:33:47 | 显示全部楼层
原帖由 edchild 于 2007-12-8 22:07 发表
楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载


拿kugoo练手的时候做了个PAT模板和你的一样,kugoo可以登录并且打开内置页面但是不能搜索和下载。
其它的因为我给客户端只开了80(HTTP)、21(FTP)、53(DNS)、443(HTTPS)端口,FLV不需要什么端口只要能访问80端口的就可以观看,而且现在FLV已经逐渐取代了RMVB格式成为主流,呵呵~才专门封它。

我抓包比较随意,原先用Sniffer Pro后来系统重新安装后没有安装用封包助手来抓,这个不用安装而且可以针对进程中的某个程序。
有兴趣一起研究一下。
routeros
回复

使用道具 举报

发表于 2007-12-9 12:14:23 | 显示全部楼层
封包助手没用过,去试试

楼上有没有提供正则表达式的实例,主要是针对常用的P2P软件的
routeros
回复

使用道具 举报

发表于 2007-12-11 09:14:17 | 显示全部楼层
原帖由 edchild 于 2007-12-8 22:07 发表
楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载

...


能共享一下 PPLIVE 和 KUGOO2007 吗?
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-11 10:21:54 | 显示全部楼层
原帖由 sxqw 于 2007-12-11 09:14 发表


能共享一下 PPLIVE 和 KUGOO2007 吗?

kugoo2007的你试一下,能登录不能搜索下载。
PPlive我用的绿色免安装版本(PPLive V1.9.15(1346) Beta1)测试的,因为没有注册所以不清楚是否可以登录。在我这里测试屏蔽后无法观看视频。

模板2.rar

522 Bytes, 下载次数: 470

routeros
回复

使用道具 举报

发表于 2007-12-12 00:04:57 | 显示全部楼层
PPLIVE的PAT文件解释一下

能否解释一下^\xe9\x03..\x98\xab\x01

如\xe9\x03连在一起是什么意思,是"或"还是"与"

\x98\xab\x01没有带$字符来结尾,这里最好解释一下

我只用了^\xe9就能填充住
routeros
回复

使用道具 举报

发表于 2007-12-12 00:16:50 | 显示全部楼层
kugoo2007我写的PAT文件比较简单的

用ETHEREAL和封包助手出来的结果是一样的

代码部分:
^\x64|\x65

没有楼主的复杂,而且楼主的"\x64.+\x74\x47\x50\x37" 缺了^
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-12 09:14:39 | 显示全部楼层
你只使用^\xe9或者^\x64|\x65这些首字节来屏蔽虽然可以屏蔽住但是给的参数太少了很容易造成误码的。比如我们屏蔽wjawsdflj和wafwjsjdfj这个2字段用^w肯定能屏蔽住,那么www也会被屏蔽住,随意尽可能我们在规则中使用它们相同又和别人不同的地方来屏蔽这样就大大减少了错屏蔽问题。
我的pplive取得是并不是整个代码段所以并不需要$来结束的
routeros
回复

使用道具 举报

发表于 2007-12-12 17:03:36 | 显示全部楼层
确实代码越多,误码机会越少

但是L7只针对数据层的封包,所以越简单路由执行的效率是越快的
routeros
回复

使用道具 举报

发表于 2007-12-12 17:04:32 | 显示全部楼层
楼主要对PPLIVE的PAT文件解释一下好吗????
routeros
回复

使用道具 举报

 楼主| 发表于 2007-12-12 17:10:25 | 显示全部楼层
很简单的呀。
^\xe9\x03..\x98\xab\x01
抓到的PPLIVE包基本上都是e9 03开头的 中间基本都相同的98 ab 01并不是结尾所以没有用$

[ 本帖最后由 LanTian 于 2007-12-12 17:11 编辑 ]
routeros
回复

使用道具 举报

发表于 2007-12-12 20:48:15 | 显示全部楼层
你是一条一条的数据包来看的吗?

如粉红色的.

现在我还是一条一条来分析的,觉得有点累,
routeros
回复

使用道具 举报

发表于 2007-12-12 20:50:36 | 显示全部楼层
做过了试验,采用楼主的方法

多总结一点加上中间码会减少误码和误杀的机会率
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-24 19:34 , Processed in 0.131034 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表