Originally Posted by
WayF1nder
Хм, что-то не получается.
Скачал bittorrent.pat (для примера), положил в /etc/l7-protocols,
Code:
$ iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables: No chain/target/match by that name
$
Если указать протокол, для которого нет сигнатур, то
Code:
$ iptables -I FORWARD -m layer7 --l7proto jpeg -j DROP
iptables v1.3.8: Couldn't find a pattern definition file for jpeg.
$
Т.е. патчи вроде есть, но почему-то работать оно не хочет. В чем может быть дело?
Добрый день!! случилась у меня такая же ситуация. Команду
iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
нашел вот таком линке
http://wl500g.info/showthread.php?t=24444
от уважаемого theMIROn
И вот эта команда мне выдала такой же ответ
iptables: No chain/target/match by that name
Предыстория: Расширил wifi соседям на халяву, а соседу присели на torrent и задушили мой хиленький adsl mgts internet с upload в 50кб\с. У меня стоит связка adsl modem asus am604 в режиме роутер(самое узкое место, думаю переключить его в режим бридж, чтобы он вообще не "думал") и за ним rt-n 16, с прошивочкой на нем 1.9.2.7-rtn-r2775
Итак, ошибка решилась вот так - у меня были скаченые давным-давно под мое ядро 2.6.22.19, Лежат они, залинканые на /lib/modules.
подключаем незагруженный модуль
а уже потом добавляем правило
Code:
iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
И мой iptables схавал его без ошибок.
Проверяем iptables-save, и вот что ответил
Code:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [935:62573]
:OUTPUT ACCEPT [17626:16706305]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
Вижу что правило вставилось, патерн есть. Проверяю скачку торрент через свой linux transmission на моем ноутбуке - качает по максимуму из интернета - проброс работает, проблема моя осталась.
В transmission в настройках стоит шифрование пакетов и отключить его не знаю как, выбрать можно только:
- разрешить шифрование
- предпочитать шифрование
- требовать шифрование
Если я уж свой клиент не могу настроить, то соседи уж точно этого делать не станут.
Последняя надежда это сделать drop по умолчанию всего кроме http, https, ftp и dns. Где-то находил на форуме как это сделать, да вот только потерял - грущу.