屏蔽FLV(Flash Video)视频和SWF的L7-filter 模板文件。

LanTian

屏蔽FLV(Flash Video)视频和SWF的L7-filter模板文件，解压后拷贝到/etc/l7-protocols下。
设置方法一：在Simplified Firewall Configuration中Level 7 Protocols Filtering设置，屏蔽的是所有地址。
设置方法二：自定义防火墙中添加规则如：

1. iptables -t mangle -A POSTROUTING -d 192.168.0.1/24 -m layer7 --l7proto flv -j DROP
   
2. #这个是屏蔽192.168.0.1网段所有IP地址段的。
   
3. iptables -t mangle -A POSTROUTING -d 192.168.0.240/29 -m layer7 --l7proto flv -j DROP
   
4. #这个是屏蔽192.168.0.240～246的IP地址段的。
   
5. iptables -t mangle -A POSTROUTING -d 192.168.0.252 -m layer7 --l7proto flv -j DROP
   
6. #这个是屏蔽192.168.0.252一个IP地址的。

复制代码

测试的时候先清理一下浏览器的临时文件。

[ 本帖最后由 LanTian 于 2007-12-8 09:48 编辑 ]

edchild

楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载

我是用ETHEREAL来抓包的

希望能与楼上交流如何更好地编写L7的模块PAT文件,主要是正则表达式不太理解透

edchild

先发一个VAGAA,外面有人要求封VAGAA

LanTian

原帖由 edchild 于 2007-12-8 22:07 发表

                               
登录/注册后可看大图

楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载

拿kugoo练手的时候做了个PAT模板和你的一样，kugoo可以登录并且打开内置页面但是不能搜索和下载。
其它的因为我给客户端只开了80（HTTP）、21（FTP）、53（DNS）、443（HTTPS）端口，FLV不需要什么端口只要能访问80端口的就可以观看，而且现在FLV已经逐渐取代了RMVB格式成为主流，呵呵～才专门封它。

我抓包比较随意，原先用Sniffer Pro后来系统重新安装后没有安装用封包助手来抓，这个不用安装而且可以针对进程中的某个程序。
有兴趣一起研究一下。

edchild

封包助手没用过,去试试

楼上有没有提供正则表达式的实例,主要是针对常用的P2P软件的

sxqw

原帖由 edchild 于 2007-12-8 22:07 发表

                               
登录/注册后可看大图

楼上能说明一下你的方法好

我自己也编了几个常用的PAT文件,实验通过,肯定能封最新版的

有PPLIVE ;VAGAA;KUGOO2007几个PAT文件共享的

改端口也是不能下载,程序能正常打开,和打开内置的网页,就是不能下载

...

能共享一下 PPLIVE 和 KUGOO2007 吗？

LanTian

原帖由 sxqw 于 2007-12-11 09:14 发表

                               
登录/注册后可看大图

能共享一下 PPLIVE 和 KUGOO2007 吗？

kugoo2007的你试一下，能登录不能搜索下载。
PPlive我用的绿色免安装版本（PPLive V1.9.15(1346) Beta1）测试的，因为没有注册所以不清楚是否可以登录。在我这里测试屏蔽后无法观看视频。

edchild

PPLIVE的PAT文件解释一下

能否解释一下^\xe9\x03..\x98\xab\x01

如\xe9\x03连在一起是什么意思,是"或"还是"与"

\x98\xab\x01没有带$字符来结尾,这里最好解释一下

我只用了^\xe9就能填充住

edchild

kugoo2007我写的PAT文件比较简单的

用ETHEREAL和封包助手出来的结果是一样的

代码部分:
^\x64|\x65

没有楼主的复杂,而且楼主的"\x64.+\x74\x47\x50\x37" 缺了^

LanTian

你只使用^\xe9或者^\x64|\x65这些首字节来屏蔽虽然可以屏蔽住但是给的参数太少了很容易造成误码的。比如我们屏蔽wjawsdflj和wafwjsjdfj这个2字段用^w肯定能屏蔽住，那么www也会被屏蔽住，随意尽可能我们在规则中使用它们相同又和别人不同的地方来屏蔽这样就大大减少了错屏蔽问题。
我的pplive取得是并不是整个代码段所以并不需要$来结束的

edchild

确实代码越多,误码机会越少

但是L7只针对数据层的封包,所以越简单路由执行的效率是越快的

edchild

楼主要对PPLIVE的PAT文件解释一下好吗????

LanTian

很简单的呀。
^\xe9\x03..\x98\xab\x01
抓到的PPLIVE包基本上都是e9 03开头的 中间基本都相同的98 ab 01并不是结尾所以没有用$

[ 本帖最后由 LanTian 于 2007-12-12 17:11 编辑 ]

edchild

你是一条一条的数据包来看的吗?

如粉红色的.

现在我还是一条一条来分析的,觉得有点累,

edchild

做过了试验,采用楼主的方法

多总结一点加上中间码会减少误码和误杀的机会率