一則報道說盡管某寬帶公司現有技術可以容納的網絡用戶容量為400至600萬用戶,可是目前,在容納了45萬用戶的情況下,網絡已經擁擠不堪,時常出現斷網情況,一到上網高峰,網速就會急劇下降。
為何網絡會如此擁擠不堪?這是因為自從出現諸如電驢、Kazaa、BT等P2P軟件之后,海量的數據文件(如大容量文件交換、視頻文件下載等)逐漸占據了大部分的網絡帶寬。P2P這一新應用給用戶帶來了前所未有的方便和豐富的資源,但同時也引發了網絡帶寬和安全問題。
如何在發揮P2P強大功能的情況下對其進行一些必要的限制呢?本文將介紹在Linux中如何利用netfilter/iptables實現對P2P應用流量的限制。
升級內核
由于在公開發布的Linux內核文件中,有關iptables的各種參數里沒有關于P2P屬性的參數,所以必須通過升級Linux內核和iptables來打上這個補丁,使其支持P2P屬性設置。
在具體操作之前,先要了解一下升級內核補丁需要的一些相關軟件:linux-2.4.20-8.tar.gz、patch-o-matic-20040609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。
這里的測試環境為Red Hat 9.0,內核為2.4.20-8。由于2.4.*是一個穩定的內核,因此不能把當前開發的一些新功能提交到主內核中去,而只能首先在patch-o-matic中測試,然后打補丁到內核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。
有了內核支持后,還需要iptables支持,其中iptables-p2p-0.3.0a.tar.gz為netfilter/iptables組織開發的專門支持P2P的iptables擴展軟件包;ipp2p-0.5c.tar.gz為Eicke Friedrich開發的一個支持P2P的iptables擴展包。這兩個擴展包各有特色,后面將會分別介紹。
裝載模塊
首先在/usr/src下解壓軟件包:
|
生成patch-o-matic-20040609.tar.out。
|
生成補丁目錄patch-o-matic-20040609。Red Hat 9.0中默認的內核目錄為/usr/src/linux-2.4。進入補丁目錄/usr/src/patch-o-matic-20040609,由于支持P2P協議控制選項需要CONNMARK模塊,該模塊在extra子目錄下,因此需要運行如下命令來升級內核補丁。
|
運行該命令后會出現一個模塊選擇界面,界面有兩個區域,一個給出相關的模塊名、模塊功能、用法和語法實例;另一個給出各種選項,如N/y/b/r.../q/?,其中第一個為大寫字母,表示缺省選項,n表示下一個模塊,y表示確定,b表示上一個模塊,q表示退出。
首先應該確定當前的模塊是否需要,不需要就按“N”鍵后回車,繼續顯示下一個模塊的相關信息。當出現需要的模塊時,按“Y”鍵確認,同時應該將里面的相關語法實例抄錄下來以備用。選擇完所有需要的模塊后,按“Q”鍵退出。
編譯內核
進入內核文件所在目錄/usr/src/linux-2.4,開始編譯內核:
|
注意,在配置選項中必須選擇Networking options→IP:Netfilter Configuration→Connection mark tracking support和CONNMARK target support兩個選項。確保關鍵文件在正確位置:
|
編譯選擇的模塊:
|
將編譯后的模塊轉移到系統標準位置:
|
讓系統自動修改啟動配置文件grub.conf:
|
重新啟動系統,選擇Red Hat Linux(2.4.20-8custom)選項,則啟動了新編譯的內核。
升級iptables
安裝iptables-1.2.8
首先解壓iptables-1.2.8.tar.bz2文件:
|
編譯iptables-1.2.8:
|
拷貝可執行文件到相應目錄:
|
安裝iptables-p2p軟件
首先解壓iptables-p2p-0.3.0a.tar.gz:
|
拷貝iptables-1.2.8的頭文件到適當的目錄:
|
運行“make”編譯iptables-p2p,并拷貝相關文件到相應的目錄:
|
安裝ipp2p軟件
首先修改Makefile文件中的源目錄、內核目錄和netfilter版本號,將以下內容:
|
改為:
|
編譯軟件,并拷貝庫文件到相應的目錄:
|
裝入模塊:
|
|
iptables-p2p模塊通過-m p2p參數來實現對所有已知P2P連接請求的識別。注意,-m p2p只能識別P2P類型的連接請求,不能識別所有的P2P包,可以通過--p2p-protocol子參數來識別P2P的各種已知協議類型。
3.應用實例
|
阻塞網絡上所有的P2P連接請求。
|
阻塞網絡上fasttrack和bittorrent協議連接請求。
在實際使用過程中必須和CONNMARK目標結合起來,然后通過tc過濾才能真正對所有P2P包進行限制。更多的信息可以參考example/limit-p2p.sh的實例腳本。
ipp2p的應用
1.ipp2p目前支持如下Linux內核和iptables版本:
◆ Linux-Kernels 2.6:2.6.3
◆ Linux-Kernels 2.4:2.4.18、2.4.19、2.4.20、2.4.21、2.4.22、2.4.23
◆ iptables(www.netfilter.org)1.2.7a、1.2.8、1.2.9
2.獲取ipp2p幫助
|
3.應用實例
ipp2p只能識別P2P連接請求,而不能識別所有P2P包,因此也必須和CONNMARK目標結合在一起使用,目前只支持TCP協議標示。下面來看一個實例。
|
上面代碼表明從CONNMARK目標中恢復標記。
|
上面代碼表明接收所有非0的標記包。
|
上面代碼表明將ipp2p連接標記為“1”。
|
上面代碼表明保存所有標記為“1”的包到CONNMARK目標中。通過上面設置得到的結果是,每一個標示為P2P連接的包被標記成“1”,然后再通過tc過濾,執行下面的操作:
|
使用HTB和過濾,將所有標記為“1”的包放到每一個設備類中,通過對這些設備類的限制來達到對P2P連接帶寬的限制。更多的信息可以參考http://rnvs.informatik.uni-leipzig.de/ipp2p/。
應用效果
筆者在單位防火墻上應用了iptables-p2p和ipp2p配置,對P2P的FastTrack協議進行限制后,用貪婪BT(ABC)進行測試,取得了理想的效果,能有效地限制P2P通信如圖1)。
