如何用Netfilter/IPtables限制P2P流量

今年4月，看到一则报道说尽管某宽带公司现有技术可以容纳的网络用户容量为400至600万用户，可是目前，在容纳了45万用户的情况下，网络已经拥挤不堪，时常出现断网情况，一到上网高峰，网速就会急剧下降。

为何网络会如此拥挤不堪？这是因为自从出现诸如电驴、Kazaa、BT等P2P软件之后，海量的数据文件（如大容量文件交换、视频文件下载等）逐渐占据了大部分的网络带宽。P2P这一新应用给用户带来了前所未有的方便和丰富的资源，但同时也引发了网络带宽和安全问题。

如何在发挥P2P强大功能的情况下对其进行一些必要的限制呢？本文将介绍在Linux中如何利用netfilter/iptables实现对P2P应用流量的限制。

升级内核

由于在公开发布的Linux内核文件中，有关iptables的各种参数里没有关于P2P属性的参数，所以必须通过升级Linux内核和iptables来打上这个补丁，使其支持P2P属性设置。

在具体操作之前，先要了解一下升级内核补丁需要的一些相关软件：linux-2.4.20-8.tar.gz、patch-o-matic-20040609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。

这里的测试环境为Red Hat 9.0，内核为2.4.20-8。由于2.4.*是一个稳定的内核，因此不能把当前开发的一些新功能提交到主内核中去，而只能首先在patch-o-matic中测试，然后打补丁到内核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。

有了内核支持后，还需要iptables支持，其中iptables-p2p-0.3.0a.tar.gz为netfilter/iptables组织开发的专门支持P2P的iptables扩展软件包；ipp2p-0.5c.tar.gz为Eicke Friedrich开发的一个支持P2P的iptables扩展包。这两个扩展包各有特色，后面将会分别介绍。