如何用Netfilter/IPtables限制P2P流量

核心提示： 改为：IKERNEL = -I/usr/src/linux-2.4/includeIUSER = -I/usr/src/iptables-1.2.8/includeNETFILTER_VERSION = "1.2.8"编译软件，并拷贝库文件到相应的目录：#make#cp

改为：

IKERNEL = -I/usr/src/linux-2.4/include
IUSER = -I/usr/src/iptables-1.2.8/include
NETFILTER_VERSION = "1.2.8"

编译软件，并拷贝库文件到相应的目录：

#make
#cp libipt_ipp2p.so /lib/iptables

装入模块：

#insmod ipt_ipp2p

应用和检测P2P限制功能

iptables-p2p的应用

1．iptables-p2p目前支持如下协议：

◆ FastTrack（KaZaa、Grokster......）

◆ eDonkey（eDonkey、eMule......）

◆ Direct Connect

◆ Gnutella（regular clients and Shareaza's gnutella 2）

◆ BitTorrent

◆ OpenFT（giFT）

需要安装CONNMARK模块，通过CONNMARK模块的标记包来使用iptables-p2p。

2．通过-help参数获取帮助：

#iptables -m p2p -help
……
P2P match v0.3.0a options:
　--p2p-protocol [!] protocol[,...]
　--p2p ...
　match application-layer protocol（匹配的应用层协议）
Valid p2p protocols:（P2P支持的有效协议如下：）
　　fasttrack
　　gnutella
　　edonkey
　　dc
　　bittorrent
　　openft

iptables-p2p模块通过-m p2p参数来实现对所有已知P2P连接请求的识别。注意，-m p2p只能识别P2P类型的连接请求，不能识别所有的P2P包，可以通过--p2p-protocol子参数来识别P2P的各种已知协议类型。

3．应用实例

#iptables -A FORWARD -m p2p -j DROP

阻塞网络上所有的P2P连接请求。

#iptables -A FORWARD -m p2p --p2p-protocol fasttrack,bittorrent -j DROP