Rico's ordinary days

ifconfig

Thu, 21 Aug 2008 09:15:51 +0000

主机及网段文件
主机文件/etc/hosts

#
# Hosts file for Virtual Brewery/Virtual Winery
#
# IP            FQDN                 aliases
#
127.0.0.1       localhost
#
172.16.1.1      vlager.vbrew.com      vlager vlager-if1
172.16.1.2      vstout.vbrew.com      vstout
172.16.1.3      vale.vbrew.com        vale
#
172.16.2.1      vlager-if2
172.16.2.2      vbeaujolais.vbrew.com vbeaujolais
172.16.2.3      vbardolino.vbrew.com  vbardolino
172.16.2.4      vchianti.vbrew.com    vchianti

网段文件/etc/networks

# /etc/networks for the Virtual Brewery
brew-net 172.16.1.0
wine-net 172.16.2.0

网口与路由

# ifconfig eth0 vstout netmask 255.255.255.0

其中vstout的值由/etc/hosts读出，为172.16.1.2。

查看网口：

# ifconfig eth0
eth0      Link encap 10Mps Ethernet HWaddr  00:00:C0:90:B3:42
          inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0
          UP BROADCAST RUNNING  MTU 1500  Metric 1
          RX packets 0 errors 0 dropped 0 overrun 0
          TX packets 0 errors 0 dropped 0 overrun 0

RX：收到的包
TX：发出的包

添加网段路由：

# route add brew-net

brew-net由/etc/networks读出，为172.16.1.0。

查看路由表：

# route -n
Kernel routing table
Destination  Gateway  Genmask         Flags Metric Ref Use    Iface
127.0.0.1    *        255.255.255.255 UH    1      0      112 lo
172.16.1.0   *        255.255.255.0   U     1      0       10 eth0

网关
添加到wine-net网段的网关为vlager：

# route add wine-net gw vlager

设置默认网关为vlager：

# route add default gw vlager

default即0.0.0.0。

双网卡的网关：

# ifconfig eth0 vlager-if1
# route add brew-net
# ifconfig eth1 vlager-if2
# route add wine-net/code]
[size=4][b]ifconfig语法[/b][/size]
[code]ifconfig interface [address [parameters]]

参数：
up：激活网卡
down：关闭网卡
netmask mask：配置子网掩码
pointopoint address：配置点对点地址，查看时有POINTOPOINT flag
broadcast address：指定广播地址，用于与BSD 4.2等兼容
irq：指定中断
promisc：打开后可以收到网络广播，黑客可以用之监听和抓包
-promisc：关闭promiscuous mode
allmulti：打开后，支持的软件可以收听网络里的多媒体广播
Tags - 软件使用

装修思路基本形成

Wed, 20 Aug 2008 08:17:00 +0000

逛过多个装修图区后，结合房子的结构，装修思路初步形成。

客厅
客厅的形状是装修的最大难点！因为电梯间的影响，房子的客厅并非规则的矩形。

沙发放在凹进处时，与对面墙的中轴线错开，让人感觉很别扭。因此，构思将阳台门做成隐形门，与影视墙做成整体。参考图如下：

改动之处：
按房子的结构，隐形门做到左边，装饰格做到右边，影视墙内凹墙面帖墙纸，用色效果如：

原电视机柜与此风格相近。
吊顶风格与第一幅图相近。

由于影视墙面很宽，在其右边靠墙做一博古架，以后可以陈放工艺品，架结构效果如图：

要做成白色。

进门处要做一个隔断式的鞋柜

效果如图：

该鞋柜色彩调成浅紫与白，右边隔断上半部分挂水晶帘。并在其前方安装一面穿衣镜。
餐厅

餐厅需要吊顶，使用悬挂灯，有隔断与酒柜两套思路，需要与家人再商议。
隔断效果：

酒柜效果

卧室
主卧和辅卧需要打壁橱。主卧床头一面墙要做一定的装饰效果，以衬托床头。参考图：

书房
书房需要打组合电脑桌，效果如图：

考虑以后使用双显示器，显示器台要加宽，且桌面要加宽，能在上面写字。

其它
其它工程还有：
客厅一进门的顶端吊顶与隐形灯；
卧室、书房的门，卫生间门，厨房拉门，卫生间里的隔断与拉门；
墙面处理；
玄关；
卫生间和厨房集成吊顶；
卫生间镜子与储物柜、不锈钢毛巾架、卷纸架、热水器；
厨柜、灶具、抽油烟机、消毒柜；
阳台包管道、晾衣架；
地下室铺瓷砖等。

总之，工程算是比较浩大。
Tags - 装修

Vista安装SP1后清理其备份

Wed, 20 Aug 2008 06:03:39 +0000

安装Vista SP1时会备份所有替换的文件，这是为了能够卸载SP1。不过升级后一般不会想要卸载SP1，而备份文件占用的硬盘空间大约有600~800MB，浪费了硬盘空间。

清理办法如下，在命令行，输入：

vsp1cln

Tags - 软件使用

Vista下安装网络打印机

Wed, 20 Aug 2008 04:19:14 +0000

办公室里的打印机在\\192.168.3.35上，打开这台电脑，双击打印机，提示Access is denied.

解决办法如下：
打开Control Panel→Printers，单击Add a printer：

选择Add a local printer，再选择Create a new port:类型为Local Port，点Next，这时弹出对话框要输入端口名，在里面输入网上邻居里那台共享打印机的电脑名及打印机名即可：

下面要安装打印机驱动，为之选择对应的驱动程序，如果Vista没有带相应的驱动，到打印机网站下载后，选择从本地安装该驱动即可。

经测试，成功安装。
Tags - 软件使用

Re-Enable Hibernate Option in Windows Vista

Mon, 18 Aug 2008 23:37:35 +0000

If you've found that your Hibernate option is missing from Windows Vista, it might be from running the disk cleanup wizard and removing the hibernate files. This is due to a known bug in Vista that might not have been hotfixed already.

Turning it back on is very simple, however.

Type cmd into the start menu search box, and use Ctrl+Shift+Enter to open in administrator mode. You can also right-click the item in the menu and choose Run as Administrator.

From the command prompt, type in the following command:

powercfg /hibernate on

You'll have to restart your computer before it will take effect.

Update: Alternative Method

An alternative method with more steps was suggested by Shane in the comments. If the above doesn't fix your problem, you can use these steps.

    * Go to the command prompt icon in the Start menu under Accessories and right click the icon: click "Run as administrator".
    * Paste: "powercfg.exe /hibernate on" and hit Enter and also paste "powercfg -h on" and hit enter just to be safe.
    * Open Control Panel and type in "Hibernate" in the Search.
    * Click "Turn hibernation on or off"
    * Click "Change advance power settings"
    * Scroll to and expand the "Sleep" option.
    * Select "Off" to the "Allow hybrid sleep" option.
    * Scroll to and expand the "Power buttons and lid" option.
    * Select "Hibernate" for the "Sleep button action" option. 10. Select "Hibernate" for the "Start menu power button" option.

Hopefully one of these methods will solve your problem!
Tags - 软件使用

工作室：在中国电脑图书市场渐入末途？

Wed, 13 Aug 2008 09:49:29 +0000

　　 “工作室”在电脑图书领域将成历史名词？听起来似乎骇人听闻，但在不少业内人士看来却是无奈的现实：曾经辉煌一度的工作室，目前正在衰落、分化、隐身或改换行头，很有可能在不久的将来，逐渐淡出电脑图书市场。
　　
工作室：风光不再

　　任何事物的发展与消亡总有其过程，工作室也是一样。自上世纪八十年代末最初一批工作室先驱诞生起迄今，它已经历了十余年的风风雨雨，从年代来看虽不久远，但在阶段上来看，工作室确实更像徘徊于末日光景，衰微的趋势已日渐明显。

　　没人能否认工作室曾经有过很辉煌的年代。早在八十年代末，那时中国电脑图书市场还几乎一片空白，工作室就因拥有极其敏锐的嗅觉得以诞生，并显示了新生命的非凡生命力；九十年代之后，尤其是划时代的W in95推出之后，工作室随着电脑图书市场一起进入高速发展期；W in98的推出时期更是把工作室推至顶峰，使得工作室成为电脑图书创作最普遍的组织形式。曾有人这样描绘当时的风光：光是中关村附近林林总总的工作室，就多得让人没法数得清。

　　时过境迁，工作室的风光终于黯淡下来。谈及往事，许多工作室的负责人都感慨万千。曹康，这个成立于1996年的康博工作室的负责人就感叹说，在先前，尽管版权制度尚未普及，但工作室的总体形势却很不错，不仅收入稳定，而且出书的质量也比现在好很多。无论在读者还是出版社眼中，工作室都是很响亮的名称。

　　“而现在，工作室的名声被搞臭了。”谈到现状，曹康的语气颇为无奈。“原因有很多，主要是因为这个行业出现泡沫了。众多出版社纷纷在挤进这个市场，工作室也随之泛滥成灾，泥沙俱下。工作室整体水平和着整个行业的急功近利导致质量下滑。”

　　据介绍，目前全国各地出版电脑图书的出版社超过半数家，每年计算机图书超过8000种，估计工作室的数量也不下数千。但总得说来，能有品牌的工作室和图书却寥寥无几。许多工作室都没有相符的编辑实力，出书粗制滥造；有些有实力的工作室又急于大量出书，难以保证图书质量；甚至还有一些工作室为眼前利益而有悖商业道德，出现不少一稿多投，捞一笔就开溜的事件。

　　曹康认为，目前很少有工作室能够大投入、纵向地做书，都在低档电脑图书市场恶性竞争，使得大量图书选题重复，而这又直接导致了整个行业利润的下滑。他说，以前一本书能卖20万册，如今最多能卖几千册。无论是单书的印数、销量还是效益，都在急剧下滑。长此以往，工作室怎能生存下去？

　　记者也注意到，在今年出版的各类电脑图书中，标明为某某工作室编著的并不多。与几年前相比比率明显减少，这或许从另一面也说明：工作室的品牌已逐渐失去了市场和出版社的认同。
　　
工作室与出版社：矛盾重重

　　工作室与出版社的关系一直被描绘为“鱼水相依”、“相互依赖”。但在实际操作中，两者的关系却远非那么融洽。作为民间组织形式的工作室与企事业型的出版社之间，总免不了枝枝节节的各种矛盾。

　　最近，人民邮电出版社停止了与门槛工作室的合作，据说门槛工作室也搬离了人民邮电出版社的大楼。据该社一位编辑介绍，双方合作不愉快由来已久，出版社主要对门槛工作室的“三心二意”感到不满，认为门槛工作室与太多出版社合作，无法保证供稿质量。而据知情人介绍，双方的反目的原因并非如此简单。

　　抖斗书屋是知名的工作室之一，其负责人史惠康这样归纳：出版社对工作室的态度是“又爱又恨”。一方面，出版社在很大程度上必须依赖工作室的供稿；另一方面，工作室一旦壮大，就很可能朝公司化发展，并最终发展为与出版社分庭抗礼的独立书商。出版社无疑存在两难的考虑：既要不得不维持与工作室的长期合作，又担心会导致养虎为患的恶果。而某工作室的负责人则透露，而当年他们都是在和出版社的合作中不断壮大的，但后来合作不下去，主要还是利润分成方面出现分歧。明显的是，一些出版社正试图走一条脱离工作室的发展道路。

　　这种矛盾心态影响了出版社与工作室之间的许多具体合作。史惠康举例说，出版社把大小工作室不分区别对待，在报酬上实施一刀切，就是这种矛盾心理所致。工作室即使想做大投入的图书，也往往因得不到出版社的支持与保护而最终放弃。这样一来，工作室也就失去做品牌的积极性了。

　　北京希望电子出版社是最典型的和工作室共同起家代表之一。当年仅为公司一个事业部的图书，在与东方人华等一批老工作室的合作过程中，最终壮大而成为庞然大物。不过如今，它已放弃了与老伙伴的联姻，另起炉灶。据秦人华社长介绍，现在希望电子出版社采取的是新型的合作方式，就是由出版社提供服务、设备、资金和场地，而工作室则依附于出版社，各负责一个方向，更具专业开发组的性质。“就像卫星城一样紧围在出版社周围。”她这样形容道。

　　秦社长告诉记者，不和外面的工作室合作，主要是因为他们技术不专一，方向不明确。

　　航空航天大学出版社的说法也异曲同工，该社乔社长告诉记者，因为出版的都是特别专业类图书，所以不存在与工作室合作的必要。

　　有些人担忧：一旦这种独立趋势在出版社会得以推广加强，工作室无疑将成为无家可归的弃儿。也有人说，真是金子是谁也不会舍得丢弃的。
　　
工作室的分化与转变

　　东方人华的前身是老牌的鑫万博创作室，负责人李振格在接受记者采访时却反复强调：“东方人华已不是工作室，而是具有独立法人资格的公司。”作为工作室的代表人物，他的说法颇让记者诧异。

　　康博工作室的曹康先生认为，李振格先生的反应完全可以理解，除了工作室名声不好，政策上的避讳之外，东方人华确实也有别于它的前身鑫万博创作室，甚至存在质的飞跃。他将飞跃归结为三点：一、具有法人资格，是合法公司，而不再是民间组织；二、在管理上趋向科学化，脱离原先小作坊模式；三、在财务方面有大的突破，有固定的品牌。

　　这样的转变并不仅仅发生于东方人华，更多的工作室都在向公司转化。如康博、抖斗书屋、门槛等较有实力的工作室，都已成立法人公司，就是一些小的工作室，也在纷纷探索改革道路。

　　由此产生的问题是，我们能否再用“工作室”一词来概括这类变化飞跃后的产物？还是如李振格所说，这些老牌工作室已不再是工作室了？即使在出版业内，这种认识上的分歧也普遍存在。

　　可以肯定的是，工作室正在逐渐背离原先的民间性质，它的传统意义正在逐渐转化、消失。

　　谈起这个现象，康博工作室的曹康认为是必然：“工作室发展到一定程度，就必然要超越自身工作室的性质。”

　　而抖斗书屋的史惠康则认为，目前大的工作室对书的操作基本涵盖了编、印、发的前两个阶段，随着壮大必然会向具有发行功能的图书公司性质演变。据他透露，抖斗书屋就试图拓展这一领域。

　　出版社也在不断充当着促使工作室自觉演变的角色。相较以前而言，现在出版社与工作室更多选择捆绑式合作方式，具体而言就是成立合资公司，通过资金这一纽带来消除出版社与工作室之间的矛盾，使两者利益更趋一致。如东方人华，它分别与清华大学出版社、北京大学出版社、科学出版社合资成立文源公司、北大宏博和科学出版社计算机事业部。

　　而这些因市场而出现的新生儿，我们又将如何定义呢？工作室自诞生至今，终于变得复杂和面目全非起来，或说是发展，或说是衰亡。但总的说来，“工作室”似乎注定要成为电脑图书领域的历史名词。
Tags - 借鉴 , 创业

LFQ 第6章研究小型网络事例

Fri, 08 Aug 2008 01:08:20 +0000

指10个用户以内的网络，一般为家庭网或者小型办公网。

Linux用作家用路由
SOHO即Small Offices and Home Office。

将旧电脑配置成SOHO路由器非常经济实惠。该机上必须安装两块网卡，其一为WAN，另一为LAN。如下图所示：

配置网络
配置局域网使用C类网段192.168.1.0/24，路由器eth1为192.168.1.1：

#ifconfig eth1 192.168.1.1 netmask 255.255.255.0 up

为了为NAT后面的设备创建合适的防火墙，需要给它们分配静态IP地址。游戏和笔记本电脑要想使用DCHP服务的话，需要安装DHCP服务器，在不同版本的Linux上命令有所区别，比如在Debian上：

# apt-get install dhcp
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
dhcp

然后配置DHCP服务器。笔记本电脑可分配的地址段为192.168.1.2到192.168.1.10，编辑/etc/dhcpd.conf，添加如下行：

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.2 192.168.1.10;
  option domain-name-servers provider.assigned.me.one;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
  default-lease-time 600;
  max-lease-time 7200;
}

打印机、台式机和孩子的电脑按MAC地址分配固定IP，在/etc/dhcpd.conf，添加如下行：

host children {
  hardware ethernet 02:03:04:05:06:07;
  fixed-address 192.168.1.55;
  option name-servers provider.assigned.me.one;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
}
host desktop {
  hardware ethernet 02:03:04:05:06:08;
  fixed-address 192.168.1.11;
  option name-servers provider.assigned.me.one;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
}
host printer {
  hardware ethernet 02:03:04:05:06:09;
  fixed-address 192.168.1.100;
  option name-servers provider.assigned.me.one;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
}
host Xbox {
  hardware ethernet 02:03:04:05:06:10;
  fixed-address 192.168.1.200;
  option name-servers provider.assigned.me.one;
  option routers 192.168.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
}

编辑/etc/init.d/dhcp脚本，设置eth1网口：

# Defaults
INTERFACES="eth1"

运行/etc/init.d/dhcp start启动DHCP服务器。

这样，配置好的网络如下：
● Linux路由器在eth0上有公网IP，eth1上有私网IP 192.168.1.1，并运行DHCP服务器
● 笔记本电脑使用的IP地址段为192.168.1.2-192.168.1.10
● 台式机固定IP为192.168.1.11
● 孩子的电脑固定IP为192.168.1.55
● 网络打印机固定IP为192.168.1.100
● 游戏机的固定IP为192.168.1.200

定义安全策略
配置防火墙前，写一个文档列出安全策略。通常规则如下：
● 游戏机可以任意访问互联网，并用GameSpy Arcade管理上面的游戏
● 打印机只能在私网里使用
● 孩子的电脑只能浏览互联网网页并使用Yahoo! Messenger。不希望他们访问成人站点或下载病毒，也不想让他们使用P2P软件。
● 笔记本电脑可以任意访问互联网
● 台式机可以任意访问互联网，并且希望能从外网通过VPN访问它们
● Linux路由器必须运行SSH，可以从内网或者办公室访问

其中最难的是对孩子电脑的限制。要阻止访问成人站点和下载病毒，必须使用透明代理服务器。

建立防火墙
首先需要建立Squid代理服务器。默认端口为3128，在其配置文件/etc/squid/squid.conf里添加如下行以使用透明代理：

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

定义Squid access list以阻止对成人站点和危险文件的访问，在squid.conf添加如下内容：

acl all src 0.0.0.0/0.0.0.0
acl our_network src 192.168.1.0/24
acl porn url_regex -i sex adult porn hardcore fetish
acl downloads urlpath_regex \.exe$ \.rar$ \.zip$ \.pif$ \.scr$

http_access deny porn
http_access deny downloads
http_access allow our_network
http_access deny all

名为"porn"的ACL里包含禁止在URL里出现的字符串。

名为"downloads"的ACL里包含禁止下载的文件类型。

配置好代理服务器后，下面配置防火墙。要使用NAT，首先要加载第4章提到的连接跟踪器：

modprobe ip_nat_ftp
modprobe ip_nat_irc

参考GameSpy Arcade网站上的说明，需要转发游戏机的如下端口：
● 6500 UDP: for GameSpy Arcade
● 6700 UDP: for GameSpy Tunnel

处理如下：

iptables –t nat –A PREROUTING –p udp –-dport 6500 –j DNAT –-to 192.168.1.200
iptables –t nat –A PREROUTING –p udp –-dport 6700 –j DNAT –-to 192.168.1.200

另外还要为它们在后面统一配置NAT。

下面，禁止外网对打印机的访问。由于它处于私网中，并不能从外网访问，只要不NAT其向外发出的包即可。

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.100 –j DROP

孩子的电脑要使用透明代理，需要将其80端口的通讯重定向到代理服务器，还允许他们访问HTTPS的443端口：

iptables -t nat -A PREROUTING -s 192.168.1.55 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING –o eth0 -s 192.168.1.55 -p tcp --dport 443 -j MASQUERADE

这样，192.168.1.55到任意80或443端口的访问都要经过我们的代理服务器，这些都在本地完成，不用伪装192.168.1.55的请求。

孩子的电脑发送DNS请求时需要伪装处理：

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –p udp –-dport 53 –j MASQUERADE

要开放他们使用Yahoo! Messenger聊天(不是语音和文件传输)，查看Yahoo! Messenger的帮助，发现它使用20、23、25、80、119、5050、8001和8002端口，需要访问的站点有：
● scs.msg.yahoo.com
● scsa.msg.yahoo.com
● scsb.msg.yahoo.com
● scsc.msg.yahoo.com

因此孩子的电脑访问这些站点时要伪装处理：

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –d scs.msg.yahoo.com –j MASQUERADE
iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –d scsa.msg.yahoo.com –j MASQUERADE
iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –d scsb.msg.yahoo.com –j MASQUERADE
iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –d scsc.msg.yahoo.com –j MASQUERADE

引用

在iptables命令中使用域名时，Linux路由器将把域名解析为IP地址，在插入内核时使用解析到的IP地址。如果一个域名解析出多条IP地址，就在内核插入同样多的IP地址。

然后禁止孩子电脑对别的端口和主机的访问，在nat表的POSTROUTING链里添加：

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.55 –j DROP

笔记本和台式机可以任意访问互联网，只需添加MASQUERADE规则即可：

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.1.0/24 –j MASQUERADE

配置VNC通道。台式机上的VNC服务器使用9112端口，为该端口配置DNAT：

iptables –t nat –A PREROUTING –p tcp –-dport 9112 –j DNAT –-to 192.168.1.11

本地规则配置完毕。下面配置若干规则保护路由器。

为保护SSH访问，最好创建一条名为SSH的链，并把SSH不放在标准端口22上(如1234)。创建如下：

iptables –N SSH

插入规则告诉内核，对所有通过1234端口进入的TCP通讯检查SSH链：

iptables –A INPUT –p tcp –-dport 1234 –j SSH

在SSH链里添加规则，只允许信任主机的访问。比方说办公室的IP地址是1.2.3.4：

iptables –A SSH –s 1.2.3.4 –j ACCEPT
iptables –A SSH –s 192.168.1.0/27 –j ACCEPT
iptables –A SSH –s 0/0 –j DROP

第一条规则允许来自办公室的访问，第二条规则只允许内网192.168.1.0/27(192.168.1.1到192.168.1.32)的访问，不允许孩子的电脑、打印机、游戏机对路由器的SSH访问。第三条规则丢弃所有其它对1234端口的访问。

Squid有自己的访问列表。不过最好的保护办法是丢弃input链里来自互联网的TCP SYN包。这样就不能通过互联网连到Linux路由器上，除了从1.2.3.4访问1234端口上的SSH(之前命中)。另外还要接受所有环路(lo)通讯。

iptables –A INPUT –i lo –j ACCEPT
iptables –A INPUT –i eth0 –p tcp –-syn –j DROP

丢弃SYN包存在一定缺陷，不能为打开UDP端口的软件提供保护。
建立防火墙脚本
脚本执行的顺序为内核分析的顺序。

#!/bin/bash

#define where iptables is
IPT=/sbin/iptables

############# Begin the NAT table operations ######

#Flush all the rules in the nat table
$IPT -t nat -F

#Load some modules needed for NAT
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

#DNAT the gaming device ports 6500 and 6700 UDP for hosting games
$IPT –t nat -A PREROUTING -p udp --dport 6500 -j DNAT --to 192.168.1.200
$IPT –t nat -A PREROUTING -p udp --dport 6700 -j DNAT --to 192.168.1.200

#Deny printer access to the internet
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.100 -j DROP

#Transparent Proxy for the children's computer
$IPT -t nat -A PREROUTING -s 192.168.1.55 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Masquerade HTTPS for children's computer
$IPT -t nat -A POSTROUTING –o eth0 -s 192.168.1.55 -p tcp --dport 443 -j MASQUERADE

#Masquerade the children's computer for DNS requests
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -p udp --dport 53 -j MASQUERADE

#Masquerade the children's computer to access yahoo messenger servers
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -d scs.msg.yahoo.com -j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -d scsa.msg.yahoo.com -j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -d scsb.msg.yahoo.com -j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -d scsc.msg.yahoo.com -j MASQUERADE

#Drop everything else for the children's computer
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.55 -j DROP

#Masquerade all our network
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

#DNAT port 9112 TCP for VNC into the desktop computer
$IPT –t nat -A PREROUTING -p tcp --dport 9112 -j DNAT --to 192.168.1.11

############# End the NAT table opperations ######

#Flush all the rules in INPUT, FORWARD and OUTPUT
$IPT -F

#Allow everything on the loopback interface
$IPT -A INPUT -i lo -j ACCEPT

#Delete the SSH chain if it exists and create it again
$IPT -X SSH
$IPT -N SSH

#Pass all tcp packets to port 1234 to the SSH chain
$IPT -A INPUT -p tcp --dport 1234 -j SSH

#Append the allow and drop rules for the SSH chain
$IPT -A SSH -s 1.2.3.4 -j ACCEPT
$IPT -A SSH -s 192.168.1.0/27 -j ACCEPT
$IPT -A SSH -s 0/0 -j DROP

#DROP all incoming TCP SYN packets on eth0
$IPT -A INPUT -i eth0 -p tcp --syn -j DROP

检验防火墙配置
运行脚本后，想看一下表和链的情况。首先，用 iptables –t nat –L –n –v查看一下nat表，看看内核如何分析我们的规则：

# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 201 packets, 26363 bytes)
pkts bytes target     prot opt in     out     source      destination
    0     0 DNAT       udp  --  eth0      *       0.0.0.0/0 0.0.0.0/0          udp dpt:6500 to:192.168.1.200
    0     0 DNAT       udp  --  eth0      *       0.0.0.0/0 0.0.0.0/0          udp dpt:6700 to:192.168.1.200
    0     0 REDIRECT   tcp  --  *      *       192.168.1.55 0.0.0.0/0          tcp dpt:80 redir ports 3128
    0     0 DNAT       tcp  --  eth0      *       0.0.0.0/0 0.0.0.0/0          tcp dpt:9112 to:192.168.1.11
Chain POSTROUTING (policy ACCEPT 47 packets, 8648 bytes)
pkts bytes target     prot opt in   out    source      destination
    0     0 DROP       all  --  *    eth0   192.168.1.100    0.0.0.0/0
    0     0 MASQUERADE  udp  --  *   eth0   192.168.1.55     0.0.0.0/0 tcp dpt:443
    0     0 MASQUERADE  udp  --  *   eth0   192.168.1.55     0.0.0.0/0 udp dpt:53
    0     0 MASQUERADE  all  --  *   eth0   192.168.1.55 216.155.193.136
    0     0 MASQUERADE  all  --  *   eth0   192.168.1.55 216.155.193.137
    0     0 MASQUERADE  all  --  *   eth0   192.168.1.55 216.155.193.138
(… some lines missing here …)
    0     0 DROP       all  --  *    eth0   192.168.1.55     0.0.0.0/0
    0     0 MASQUERADE  all  --  *   eth0   192.168.1.0/24   0.0.0.0/0
Chain OUTPUT (policy ACCEPT 3 packets, 250 bytes)
pkts bytes target     prot opt in   out    source         destination

Tags - 网络

LFQ 第5章第7层过滤

Thu, 07 Aug 2008 07:09:39 +0000

在本书的第1章，我们展示了OSI和TCP/IP的网络模型。我们发现，即便TCP/IP模型应用广泛，参考模型依然是OSI。

我们再看一下TCP/I{和OSI模型：

在OSI模型的第7层找到的是应用(HTTP、FTP、SSH等)。从上图可以看到，TCP/IP将OSI的第5、6、7层集成到一个层：TCP第4层(应用层)，名称相同，不过功能相异。

过滤或提升某些程序的通讯量可难可易。通常，我们可以通过命中源或目标端口为80(HTTP端口)的TCP包来过滤/提升网络通讯量。然而，网页服务器可配置使用任一端口，因此对于特定的通讯量我们的过滤/提升将无效。

网管另外要对付的就是P2P软件，如Kazaa、DC++、Emule等等。由于这些程序不使用标准端口，并且更糟糕的是，它们还能配置成使用标准端口(比如80).

当前，有人打算出手对付这些，并已经干得不错，启动的项目叫“第7层过滤”。

你可能猜到，“第7层过滤”就是过滤第7层数据的办法，即由程过滤由程序产生的网络通讯，不管在第4层用的是什么协议和端口。

L7过滤为Linux内核的包分类器，它不查找第4层的协议和端口，而是查找IP包里的数据，并做正则表达式匹配以决定数据的类型，及使用了什么程序协议。

我们还将讨论的另一个项目是IP2P，为L7过滤的替代品，设计用于只过滤P2P软件，而L7过滤处理的程序范围要更广泛。

何时使用第7层过滤
L7过滤为命中网络程序数据的很棒的解决方案，不过也存在不利的地方。主要是占用大量CPU计算，因此在通讯量非常大的系统上并不推荐采用。不过这还要看通过系统的数据类型。比如，平均20Mbps的www数据处理起来轻松小菜，而2Mbps的VoIP通讯就会使系统的性能严重下降。

通常，我们认为L7过滤比较适合SOHO环境，能够很好地过滤病毒、限制孩子下载音乐占用的带宽。

L7过滤还适合中小企业，用于限制一些非必要的通讯。比如，某企业只有10Mbps的互联网连接，某个员工使用P2P软件将很快占满所有通讯量，使正常的工作无法开展。

采用L7过滤另一个不利之处是它需要连接跟踪模块有效。之前我们讨论过该模块对大流量通讯并不适合。

因此，结论是：L7过滤是不错的工具，不过对CPU占用很高，并且必须要有ip_conntrack的协作。不推荐在超过5000pps(包/秒)的机器上使用，当然如果机器性能不在话下，就无所谓了。

第7层过滤工作原理
L7过滤为iptables提供分辨包属于哪个程序的方法。

TCP/IP模型有4层，在L7过滤项目之前，netfilter能够命中下面三层的数据：
● 链路层：iptables -A CHAIN -m mac --mac-source ...
● 网络层：iptables -A CHAIN -s IP_ADDRESS …
● 传输层：iptables -A CHAIN -p tcp --dport 80 …

在链路层，netfilter使用-m mac命中来自或者发向网络中某个MAC地址的包。在网络层有IP协议，netfilter命中来自或者发向某个IP地址的包，无论该包采用了什么通讯协议、端口或应用程序。在传输层有TCP、UDP协议，netfilter可以通过协议、端口命中相应的包。

可以对此三层的条件任意组合，比如：

iptables –A FORWARD –s 192.168.0.2 –p tcp -–dport 80 –m mac –-mac-source 00:01:BC:2D:EF:2A –j DROP

即，如果包源IP地址为192.168.0.2，且MAC地址为00:01:BC:2D:EF:2A，采用TCP协议，目标端口为80，将之丢弃。
L7过滤使netfilter能够分辨包属于哪个程序。它为iptables的另一个匹配选项，别的匹配选项的规则在此同样适用，因此可以对命中L7过滤的包做所有iptables操作。

最短且最简单的L7过滤版本就是，在安装之后，你可以使用 -m layer7 --l7proto [http|ftp|...]。这为我们即将讨论的匹配选项。

为了命中L7数据，netfilter将不仅仅分析IP包的头部。然而，包里的数据可不会说：“我是P2P包，过滤我吧！”因此，匹配即做一系列正则表达式运算以分辨不同的程序。而这些正则表达式无疑是该项目最重要的部分，被称为“协议定义”

L7过滤项目包含3个重要部分：
● 内核补丁，为内核提供分析IP包内部数据的办法
● iptables补丁，为iptables提供匹配选项
● 正则表达式集，以分辨不同的协议定义

安装L7过滤
要安装L7过滤项目，我们需要对内核打上http://l7-filter.sourceforge.net提供的补丁，要有内核源代码。然后再打上iptables补丁，重新编译iptables，再安全协议定义。依次解释。

打上内核补丁
首先从http://www.kernel.org下载内核源代码，然后从http://l7-filter.sourceforge.net下载L7过滤。

本书采用2.6.12.5版的内核和L7-filter version 2.0 bet。下载到/usr/src里，解压L7-filter TAR：

# tar xfvz netfilter-layer7-v2.0-beta.tar.gz
netfilter-layer7-v2.0-beta/
netfilter-layer7-v2.0-beta/stray_code
netfilter-layer7-v2.0-beta/for_older_kernels/
netfilter-layer7-v2.0-beta/for_older_kernels/kernel-2.6.9-2.6.10-layer7-1.2.patch
netfilter-layer7-v2.0-beta/for_older_kernels/kernel-2.6.0-2.6.8.1-layer7-0.9.2.patch
netfilter-layer7-v2.0-beta/for_older_kernels/kernel-2.6.11-2.6.12-layer7-1.4.patch
netfilter-layer7-v2.0-beta/CHANGELOG
netfilter-layer7-v2.0-beta/README
netfilter-layer7-v2.0-beta/iptables-layer7-2.0.patch
netfilter-layer7-v2.0-beta/kernel-2.6.13-layer7-2.0.patch
netfilter-layer7-v2.0-beta/kernel-2.4-layer7-2.0.patch

接下来，到内核源代码根目录，打上合适的补丁：

# patch -p1 < ../netfilter-layer7-v2. 0-beta/for_older_kernels/kernel-2.6.11-2.6.12-layer7-1.4.patch
patching file include/linux/netfilter_ipv4/ip_conntrack.h
patching file include/linux/netfilter_ipv4/ipt_layer7.h
patching file net/ipv4/netfilter/Kconfig
patching file net/ipv4/netfilter/Makefile
patching file net/ipv4/netfilter/ip_conntrack_core.c
patching file net/ipv4/netfilter/ip_conntrack_standalone.c
Hunk #1 succeeded at 189 with fuzz 2 (offset 37 lines).
patching file net/ipv4/netfilter/ipt_layer7.c
patching file net/ipv4/netfilter/regexp/regexp.c
patching file net/ipv4/netfilter/regexp/regexp.h
patching file net/ipv4/netfilter/regexp/regmagic.h
patching file net/ipv4/netfilter/regexp/regsub.c

运行make config/make menuconfig/make Xconfig，激活如下选项：
● Code maturity level options | Prompt for development and/or incomplete code/drivers
● Netfilter (Device Drivers | Networking support | Networking Options | Network packet filtering)
● Connection tracking (Network packet filtering | IP: Netfilter Configuration | Connection tracking)
● Connection tracking flow accounting and IP tables support (on the same screen)
● Layer 7 match support

然后编译安装内核，重启系统。

编译时，按照不同的版本可能会看到如下警告：

CC [M] net/ipv4/netfilter/ipt_layer7.o
net/ipv4/netfilter/ipt_layer7.c:457: warning: initialization from incompatible pointer type

忽略即可。

打上iptables补丁
到http://www.netfilter.org下载iptables源代码后，再打上合适的补丁：

# patch -p1 < ../netfilter-layer7-v2.0-beta/iptables-layer7-2.0.patch
patching file extensions/.layer7-test
patching file extensions/libipt_layer7.c
patching file extensions/libipt_layer7.man

需要将extensions/.layer7-test设上可执行权限：

# chmod +x extensions/.layer7-test

指定之前打好补丁的内核的路径，用make编译iptables：

# make KERNEL_DIR=/usr/src/linux-2.6.12.5
Making dependencies: please wait...
Extensions found: IPv4:CLUSTERIP IPv4:layer7 IPv4:recent IPv6:ah IPv6:
esp IPv6:frag IPv6:ipv6header IPv6:hbh IPv6:dst IPv6:rt
...

用make install安装iptables：

# make install KERNEL_DIR=/usr/src/linux-2.6.12.5
cp iptables /usr/local/sbin/iptables
cp iptables.8 /usr/local/man/man8/iptables.8
...

基本完工，请注意，新的itpables和原来的路径可能不一样。由make install反馈可以知道它装到了/usr/local/sbin/iptables下面，使用时要注意调用的是不是合适的iptables。可以用iptables -V看看：

# iptables -V
iptables v1.2.11
# type iptables
iptables is hashed (/sbin/iptables)
# /usr/local/sbin/iptables -V
iptables v1.3.4

协议定义
到http://prdownloads.sourceforge.net/l7-filter/l7-protocols-2006-06-03.tar.gz?download下载协议定义包。然后将pattern文件(.pat)复制到/etc/l7-protocols下面。

# mkdir /etc/l7-protocols
# cp protocols/* /etc/l7-protocols

/etc/l7-protocols为pattern文件的默认目录，iptables将查找该目录和其一级子目录，不继续深入。

可以指定自己的pattern目录：

iptables […] –m layer7 –-l7dir /path-to/patterns –-l7proto […]

请注意，必须在协议之前指定pattern目录。

测试安装情况
首先，看一下模块有没有加载：

# modinfo ipt_layer7
filename:       /lib/modules/2.6.12.5-home.made/kernel/net/ipv4/netfilter/ipt_layer7.ko
author:         Matthew Strait ,
                  Ethan Sommer
license:        GPL
description:    iptables application layer match module
vermagic:       2.6.12.5-home.made preempt PENTIUMIII gcc-3.3
depends:        ip_tables

输出显示有一个ipt_layer7模块。

然后，用modprobe加载该模块：

# modprobe ipt_layer7
# lsmod
Module Size Used by
ipt_layer7 12364 0

modprobe命令不会报错。使用lsmod命令可以看到加载进内核的模块，其大小、使用的进程号(0)。

下面，测试该模块是否工作。我们在apache网页服务器里放一些文件，然后下载试试。

下载时，应当能看到命中所有包。首先，我们使用iptables -Z将所有链里的计数器清零，再在OUTPUT链里插入计数规则，以命中流出的HTTP通讯。

# iptables -Z
# iptables -A OUTPUT -m layer7 --l7proto http
# iptables -L OUTPUT -n -v
Chain OUTPUT (policy ACCEPT 10168 packets, 3433K bytes)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto http

然后，我们从服务器下载whale.qt，查看apache的access.log：

"GET /whale.qt HTTP/1.1" 200 11727970 "-"

这样我们会有11Mb命中OUTPUT链里的计数规则。

# iptables -L OUTPUT -n -v
Chain OUTPUT (policy ACCEPT 172K packets, 65M bytes)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto http

糟糕！没有命中任何包！弄错什么了？原来是没有加载ip_conntrack模块。

加载ip_conntrack再试试：

# modprobe ip_conntrack
# iptables -L OUTPUT -n -v
Chain OUTPUT (policy ACCEPT 457K packets, 159M bytes)
pkts bytes target       prot  opt   in     out           source       destination
0      0      all             --      *      *       0.0.0.0/0    0.0.0.0/0    LAYER7 l7proto http
# wget http://127.0.0.1/whale.qt
--00:37:21--  http://127.0.0.1/whale.qt => `whale.qt'
Connecting to 127.0.0.1:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 11,727,970 [video/quicktime]

100%[=========================================>] 11,727,970    12.74M/s

00:37:22 (12.71 MB/s) - `whale.qt' saved [11727970/11727970]

# iptables -L OUTPUT -n -v
Chain OUTPUT (policy ACCEPT 467K packets, 175M bytes)
pkts  bytes        target       prot          opt   in     out           source       destination
1433 12M         all             --              *      *       0.0.0.0/0    0.0.0.0/0    LAYER7 l7proto http

行了。现在我们有了一台具备应用层过滤能力的Linux路由器。
第7层过滤应用
L7过滤器虽然可以配合任一iptables选项，不过由于它命中的包也可能属于不是期望的程序，所以并不推荐应用所有iptables选项。

过滤程序数据
并不推荐用L7过滤流经路由器的程序数据。不同程序的通讯看起来很相似，因此基于L7过滤器丢弃数据时可能导致问题。比如，丢弃eDonkey包时，别的协议有可能也出现一些问题，eDonkey数据规则有可能命中1%别的数据流。

如果确实想要过滤，可以：

# iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP

还可以组合端口与IP地址：

# iptables -A FORWARD -m layer7 --l7proto edonkey –d 192.168.1.131 -j DROP

将丢弃目标地址为192.168.1.131的eDonkey包。

引用

在决定阻挡程序前，请看一下http://l7-filter.sourceforge.net/上面协议。里面有L7-filter项目支持的协议，及对应的数据规则的质量。如果数据规则质量不佳，不要使用L7过滤器 DROP或REJECT！

程序带宽限制
L7过滤器的创建者认为他们的项目最佳应用就是程序带宽限制。要限制程序或者用户的带宽，可以使用第3章介绍的tc工具。

L7过滤器可以命中IP包里的部分或者全部程序数据，因此我们可以标记特定程序的包。L7过滤器也是一种匹配选项，所以可以用netfilter标记，TOS指定特定服务类型，DSCP设置DSCP值，都可以用tc设定。

比如，我们编写一段脚本，将所有用户的BitTorrent限制为2 Mbps，一个用户的FTP流量限制为 512 Kbps，另一个为 1 Mbps。

首先要在BitTorrent和FTP数据上做标记：

# iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j MARK --set-mark 5
# iptables -t mangle -A POSTROUTING -m layer7 --l7proto ftp –d 192.168.1.100 -j MARK --set-mark 6
# iptables -t mangle -A POSTROUTING -m layer7 --l7proto ftp –d 192.168.1.112 -j MARK --set-mark 7

现在，检查POSTROUTING链：

# iptables -t mangle -L POSTROUTING -n  -v
Chain POSTROUTING (policy ACCEPT 5855K packets, 4686M bytes)
pkts   bytes   target  prot    opt     in      out     source          destination
3183   1404K   MARK    all     --      *       *       0.0.0.0/0       0.0.0.0/0  LAYER7 l7proto bittorrent MARK set 0x5
119    1012K   MARK    all     --      *       *       0.0.0.0/0       192.168.1.100   LAYER7 l7proto ftp MARK set 0x6
12     100K    MARK    all     --      *       *       0.0.0.0/0       192.168.1.112   LAYER7 l7proto ftp MARK set 0x7

发现已经加上了相应标记(BitTorrent为5，FTP为7)
在本例中我们采用CBQ，因此需要创建cbq类。下面编写名为limits的脚本：

#!/bin/bash

#delete root class. When running this
#script we need to delete limits first
tc qdisc del dev eth1 root

#create the root class
tc qdisc add dev eth1 root handle 10: cbq bandwidth 100Mbit avpkt 1000
tc class add dev eth1 parent 10:0 classid 10:1 cbq bandwidth 100Mbit rate 100Mbit allot 1514 weight 10Mbit prio 8 maxburst 20 avpkt 1000

#create a 2 mbps class for bittorrent
tc class add dev eth1 parent 10:1 classid 10:100 cbq bandwidth 100Mbit rate 2Mbit allot 1514 weight 256Kbit prio 5 maxburst 20 avpkt 1000 bounded
tc qdisc add dev eth1 parent 10:100 sfq quantum 1514b perturb 15
tc filter add dev eth1 parent 10:0 protocol ip prio 25 handle 5 fw flowid 10:100

#create a 512 kbps class for ftp for the client 192.168.1.100
tc class add dev eth1 parent 10:1 classid 10:200 cbq bandwidth 100Mbit rate 512Kbit allot 1514 weight 64Kbit prio 5 maxburst 20 avpkt 1000 bounded
tc qdisc add dev eth1 parent 10:200 sfq quantum 1514b perturb 15
tc filter add dev eth1 parent 10:0 protocol ip prio 25 handle 6 fw flowid 10:200

#create a 1 mbps class for ftp for the client 192.168.1.112
tc class add dev eth1 parent 10:1 classid 10:300 cbq bandwidth 100Mbit rate 1Mbit allot 1514 weight 128Kbit prio 5 maxburst 20 avpkt 1000 bounded
tc qdisc add dev eth1 parent 10:300 sfq quantum 1514b perturb 15
tc filter add dev eth1 parent 10:0 protocol ip prio 25 handle 7 fw flowid 10:300

要检查配置，需要将mangle表里的POSTROUTING链清零，再运行该脚本。

# chmod +x limits
# iptables -t mangle -Z POSTROUTING; ./limits
RTNETLINK answers: No such file or directory

运行脚本时显示错误是因为该网口不存在限制，即不存在根类。再次运行该脚本就不会出错了。

现在，用iptables –t mangle –L POSTROUTING –n –v和tc –s class show dev eth1命令就能产生同样数量的字节和包，命中每条规则与对应的类。

用L7过滤器计数
有一台路由器连有11个客户，想看一下应用层通讯情况，建立如下脚本：

iptables -A FORWARD -m layer7 --l7proto directconnect
iptables -A FORWARD -m layer7 --l7proto bittorrent
iptables -A FORWARD -m layer7 --l7proto http
iptables -A FORWARD -m layer7 --l7proto ftp
iptables -A FORWARD -m layer7 --l7proto yahoo
iptables -Z

后来，想看一下其中哪种通讯类型最多：

# iptables -L FORWARD -n -v
Chain FORWARD (policy ACCEPT 289K packets, 209M bytes)
pkts   bytes   target  prot    opt     in      out     source          destination
62318   55M             all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto directconnect
6978    1202K           all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto bittorrent
8037    6116K           all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto http
0       0               all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto ftp
108     10724           all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto yahoo

发现最多的是dc++，占了25%的通讯。

IPP2P：一个P2P匹配选项
IPP2P为匹配IP通讯里的P2P数据的应用。项目网站：http://www.ipp2p.org

安装IPP2P
到其网站下载最新稳定版：

# wget http://www.ipp2p.org/downloads/ipp2p-X.Y.Z.tar.gz
--19:59:51-- http://www.ipp2p.org/downloads/ipp2p-X.Y.Z.tar.gz => `ipp2p-X.Y.Z.tar.gz'
Resolving www.ipp2p.org... 81.169.145.64
Connecting to www.ipp2p.org[81.169.145.64]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 18,910 [application/x-tar]
100%[===============================================>] 18,910 --.--K/s
19:59:52 (181.98 KB/s) - `ipp2p-X.Y.Z.tar.gz' saved [18910/18910]

解压：

# tar xfvz ipp2p-X.Y.Z.tar.gz

README文件说： "modify the Makefile (change "IUSER = -I/usr/src/iptables/include" to wherever iptables.h is located)"。比如，我们的iptables源文件放在/usr/src/iptables-1.3.4。有些版本不使用makefile里定义的IUSER，而此处有：

ifndef $(IPTABLES_SRC)
IPTVER ?= $(shell $(IPTABLES_BIN) --version | $(SED) -e 's/^iptables v//')
IPTABLES_SRC = $(wildcard /usr/src/iptables-$(IPTVER))
endif

即脚本将检查iptables的版本，并在/usr/src/iptables-里查找iptables源文件，在我们的情况下，不用修改任何东西。

输入make编译，然后将libipt_ipp2p.so拷到iptables的lib目录/usr/local/lib/iptables/，把ipt_ipp2p.ko拷到模块目录并运行 depmod -a：

# cp ipt_ipp2p.ko /lib/modules/2.6.12.5-home.made/kernel/net/ipv4/
# depmod -a
# modinfo ipt_ipp2p
filename:       /lib/modules/2.6.12.5-home.made/kernel/net/ipv4/ipt_ipp2p.ko
author:         Eicke Friedrich/Klaus Degner
description:    An extension to iptables to identify P2P traffic.
license:        GPL
vermagic:       2.6.12.5-home.made preempt PENTIUMIII gcc-3.3
depends:        ip_tables

加载模块：

# modprobe ipt_ipp2p

使用IPP2P
匹配语法：

iptables … -m ipp2p –-option ...

option可以是：

还能用--ipp2p命中上面列出的所有协议。

这些匹配选项和L7过滤器项目相似。

比较IPP2P和第7层过滤
为测试L7过滤器和IPP2P命中的结果，我们编写计数规则统计DC++、BitTorrent和eDonkey：

iptables -I FORWARD -m layer7 --l7proto directconnect
iptables -I FORWARD -m ipp2p --dc
iptables -I FORWARD -m layer7 --l7proto bittorrent
iptables -I FORWARD -m ipp2p --bit
iptables -I FORWARD -m layer7 --l7proto edonkey
iptables -I FORWARD -m ipp2p --edk

几分钟后，看一下结果：

# iptables -L FORWARD -n -v
Chain FORWARD (policy ACCEPT 25M packets, 18G bytes)
pkts   bytes   target  prot    opt     in      out     source          destination
2797    253K            all     --      *       *       0.0.0.0/0       0.0.0.0/0 ipp2p v0.8.0 --edk
1533    434K            all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto edonkey
6665    1069K           all     --      *       *       0.0.0.0/0       0.0.0.0/0 ipp2p v0.8.0 --bit
7375    1273K           all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto bittorrent
192     36558           all     --      *       *       0.0.0.0/0       0.0.0.0/0 ipp2p v0.8.0 --dc
693K    640M            all     --      *       *       0.0.0.0/0       0.0.0.0/0 LAYER7 l7proto directconnect

从结果可以发现这两个应用间有许多不同。

比如，对于eDonkey，IPP2P比L7过滤器命中的包多，但是数据少。这并非意味着IPP2P更准确，而是IPP2P和L7过滤器命中的是不同的包。解释参见/etc/l7-protocols下的edonkey.pat文件。

edonkey
# http://gd.tuwien.ac.at/opsys/linux/sf/p/pdonkey/eDonkey-protocol-0.6
#
# In addition to \xe3, \xc5 and \xd4, I see a lot of \xe5
#
# God this is a mess. What an irritating protocol.
# This will match about 1% of streams with random data in them!
^[\xe3\xc5\xe5\xd4].?.?.?.?([\x01\x02\x05\x14\x15\x16\x18\x19\x1a\x1b\
x1c\x20\x21\x32\x33\x34\x35\x36\x38\x40\x41\x42\x43\x46\x47\x48\x49\
x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x5b\x5c\
x60\x81\x82\x90\x91\x93\x96\x97\x98\x99\x9a\x9b\x9c\x9e\xa0\xa1\xa2\
xa3\xa4]|\x59................?[ -~]|\x96....$)
# matches everything and too much
# ^(\xe3|\xc5|\xd4)
# ipp2p essentially uses "\xe3....\x47", which doesn't seem at all right to me.
# bandwidtharbitrator uses
# e0.*@.*6[a-z].*p$|e0.*@.*[a-z]6[a-z].*p0$|e.*@.*[0-9]6.*p$|emule|edonkey
# no comments to explain what all the mush is, of course...

可见他们使用不同的数据规则，因此命中不同的数据。

IPP2P和L7过滤器的BitTorrent值相似，不过并不能判断哪个更接近事实。

DC++数据差别最大，我有9成把握L7过滤器要更精确，因为我亲眼看到路由器后面有几个用户正在用DC++。
Tags - 网络

Autodesk 3ds Max Design 2009

Sat, 02 Aug 2008 06:19:26 +0000

新房子钥匙拿到手后，就要构思怎样装修了，好久没有玩过3ds max了，从网上搞到目前最新的Autodesk 3ds Max Design 2009，感觉改进很大。

启动后，在一个Learning movies，里面教了很多基本技术，还有新版改进功能介绍。

界面上浮动一个InfoCenter，可以随时搜索帮助。

新的界面，视图功能更强了。

刚刚做完的新房结构草图

哈哈，要搞定所有东西，可费劲了，毕竟很不熟悉
Tags - 新软件

用上新本本

Fri, 01 Aug 2008 08:09:12 +0000

Breeze单位类似福利性质发了一台联想昭阳笔记本电脑，现在我们终于能用上自己的新本本了。原来那台Acer笔记本设计太烂，电源接口离VGA外接口太近，对输出的VGA信号严重干扰，接在家里的液晶电视上看电影时画面出现大量干扰波纹，早就想要能够换一台新的了。

这台本子目前还有一点水土不服，还要在调试，不过好像已经找到窍门了，

显摆一下，呵呵，人总是虚荣！

接上Acer AL1716后，双显示器效果。

笔记本左侧，插满了。

这有一个读卡器

指纹识别器感觉不错哦，进Windows系统，只要刷一下手指就行了；另外一些需要记住的密码，登记以后也只要刷一下手指就自动进入了。

我的森海塞尔耳机

卡，卡……
Tags - 笔记本