ipp2p的应用

1.ipp2p目前支持如下Linux内核和iptables版本：

◆ Linux-Kernels 2.6：2.6.3

◆ Linux-Kernels 2.4：2.4.18、2.4.19、2.4.20、2.4.21、2.4.22、2.4.23

◆ iptables(www.netfilter.org)1.2.7a、1.2.8、1.2.9

2.获取ipp2p帮助

# iptables -m ipp2p --help

……

IPP2P v0.5c options:

--ipp2p Grab all known p2p packets

(抓所有已知的P2P包)

--ipp2p-data Grab all known p2p data packets

(抓所有已知P2P数据包)

--edk Grab all known eDonkey/eMule/Overnet packets

(抓所有已知的eDonkey/eMule/Overnet类型的包)

--edk-data Grab all eDonkey/eMule/Overnet data packets

(抓所有已知的eDonkey/eMule/Overnet数据包)

--dc Grab all known Direct Connect packets

(抓所有已知的直接连接包)

--dc-data Grab all Direct Connect data packets

(抓所有已知的直接连接数据包)

--kazaa Grab all KaZaA packets

(抓所有KaZaA包)

--kazaa-data Grab all KaZaA data packets

(抓所有KaZaA数据包)

--gnu Grab all Gnutella packets

(抓所有Gnutella包)

--gnu-data Grab all Gnutella data packets

(抓所有Gnutella数据包)

--bit Grab all BitTorrent packets (beta - handle with care)

(抓所有BitTorrent包)

--apple Grab all AppleJuice packets (beta - handle with care)

(抓所有AppleJuice包)

--soul SoulSeek (beta - handle with care)

(SoulSeek类型的包)

……

3.应用实例

ipp2p只能识别P2P连接请求，而不能识别所有P2P包，因此也必须和CONNMARK目标结合在一起使用，目前只支持TCP协议标示。下面来看一个实例。

#iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark

上面代码表明从CONNMARK目标中恢复标记。

#iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT

上面代码表明接收所有非0的标记包。

#iptables -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1

上面代码表明将ipp2p连接标记为“1”。

#iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark

上面代码表明保存所有标记为“1”的包到CONNMARK目标中。

通过上面设置得到的结果是，每一个标示为P2P连接的包被标记成“1”，然后再通过tc过滤，执行下面的操作：

#tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:11

#tc filter add dev eth1 parent 2:0 protocol ip prio 4 handle 1 fw classid 2:11

使用HTB和过滤，将所有标记为“1”的包放到每一个设备类中，通过对这些设备类的限制来达到对P2P连接带宽的限制。

应用效果

笔者在单位防火墙上应用了iptables-p2p和ipp2p配置，对P2P的FastTrack协议进行限制后，用贪婪BT(ABC)进行测试，取得了理想的效果，能有效地限制P2P通信。

【编辑推荐】

【责任编辑：高圆圆 TEL：(010)68476606】