作为公司上网的路由器需要实现的功能有nat地址转换、dhcp、dns缓存、流量控制、应用程序控制,nat地址转换通过iptables可以直 接实现,dhcp服务需要安装dhcpd,dns缓存功能需要使用bind,流量控制可以使用tc,应用程序控制:例如对qq的封锁可以使用 netfilter-layer7-v2.22+17-protocols-2009-05-28.tar.gz来实现
1、网络规划
操作系统是centos5.8
2、安装dhcpd
3、安装bind,实现dns缓存
4、重新编译编译内核和iptables以支持应用层过滤
由于实行防火墙功能的是netfilter内核模块,所以需要重新编译内核,需要下载新的内核源码,并使用netfilter-layer7-v2.22作为内核的补丁一起编译到内核中。而控制netfiler的是iptables工具,因此iptables也必须重新编译安装,最后再安装应用程序过滤特征码库17-protocols-2009-05028.tar.gz
1、给内核打补丁,并重新编译内核
2、给iptables源码打补丁,并重新编译iptables
3、安装17proto
备份iptables脚本和配置文件
https://www.kernel.org/pub/linux/kernel/v2.6/
netfilter下载地址
http://download.clearfoundation.com/l7-filter/
iptables源码下载地址
http://www.netfilter.org/projects/iptables/downloads.html
应用程序特征码库下载地址
http://download.clearfoundation.com/l7-filter/
#进入解压目录并创建软连接</p>
<p>cd /usr/src
ln -sv linux-2.6.28.10 linux
#进入内核目录</p>
<p>cd /usr/src/linux
#为当前内核打补丁</p>
<p>patch -p1 < ../netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.path
#为了方便编译内核将系统上的内核配置文件复制过来</p>
<p>cp /boot/config-2.6.18-164.el5 /usr/src/linux/.config
</div>
编译内核
<M> IPv4