如何用Netfilter/IPtables限制P2P流量

核心提示： 3．应用实例ipp2p只能识别P2P连接请求，而不能识别所有P2P包，如何用Netfilter/IPtables限制P2P流量(6)，因此也必须和CONNMARK目标结合在一起使用，目前只支持TCP协议标示，用贪婪BT（ABC）进行测试，取得了理想的效果，下面来看一个实例，#iptable

3．应用实例

ipp2p只能识别P2P连接请求，而不能识别所有P2P包，因此也必须和CONNMARK目标结合在一起使用，目前只支持TCP协议标示。下面来看一个实例。

#iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark

上面代码表明从CONNMARK目标中恢复标记。

#iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT

上面代码表明接收所有非0的标记包。

#iptables -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1

上面代码表明将ipp2p连接标记为“1”。

#iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark

上面代码表明保存所有标记为“1”的包到CONNMARK目标中。

通过上面设置得到的结果是，每一个标示为P2P连接的包被标记成“1”，然后再通过tc过滤，执行下面的操作：

#tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:11
#tc filter add dev eth1 parent 2:0 protocol ip prio 4 handle 1 fw classid 2:11

使用HTB和过滤，将所有标记为“1”的包放到每一个设备类中，通过对这些设备类的限制来达到对P2P连接带宽的限制。

更多的信息可以参考http://rnvs.informatik.uni-leipzig.de/ipp2p/。

应用效果

笔者在单位防火墙上应用了iptables-p2p和ipp2p配置，对P2P的FastTrack协议进行限制后，用贪婪BT（ABC）进行测试，取得了理想的效果，能有效地限制P2P通信（如图1）。