[问题求助]iptables 的p2p模块一直不能和其他模块匹配使用 [复制链接]

iptables -A FORWARD -m ipp2p --edk --k.azaa -.-bit -j DROP.

iptables -A FORWARD -p. tcp -m ipp2p --ares -j D.ROP           建材

iptables -A FORWARD -p udp -m ipp..2p --kazaa -j DROP.

iptables -I FORWARD -p tcp -.m .ipp2p --edk --kazaa --gnu --dc -j DROP.
复制代码

这样是没问题的
但是加上time和range 就不行 不知道为.什么    外汇
iptables -A F.O.RWARD -m ipp2p --edk --kazaa --bit -.m time --timestart 8:30 --timestop 12:00 --days Mon,Tue,Wed,Thu,Fri -m ipra.nge --src-range 192.168.1.10-192.168.1.254 -j DROP电脑
复制代码
这样就报语法错误

而l7 这样就可以
i.ptables .-A FORWARD -m layer7 --l7proto qq  -m time --timestart 8.:30 --timestop 12:00 --days. Mon,Tue,Wed,Thu,Fri -m iprange --src-range 192.168.1.10-192.168.1.254 -j DROP           建材
复制代码
正常执行

[ 本帖最后由 bleach 于 2006-3-10 19:.2.6 编辑 ].

报什么错误？

QUOTE:原帖由 platinum 于 2006-3-10 20:25 发表
报什么错误？

[root@gateway protocols]# iptables -A FORWARD -m ipp2p --edk --kazaa --bit -m time --timestart 8:30 --timestop 12:00 --days Mon,Tue,Wed,Thu,Fri -m iprange --src-range 192.168.1.10-192.168.1.254 -j DROP



iptables v1.3.1:

ipp2p-parameter problem: for ipp2p usage type: iptables -m ipp2p --help



Try `iptables -h' or 'iptables --help' for more information.

[root@gateway protocols]#
复制代码[root@gateway protocols]# iptables -A FORWARD -m ipp2p --edk --kazaa --bit -m iprange --src-range 192.168.1.10-192.168.1.254 -j DROP

iptables v1.3.1:

ipp2p-parameter problem: for ipp2p usage type: iptables -m ipp2p --help



Try `iptables -h' or 'iptables --help' for more information.

[root@gateway protocols]#
复制代码[root@gateway protocols]# iptables -A FORWARD -m ipp2p --edk --kazaa --bit -m iprange --src-range 192.168.1.10-192.168.1.254 -j DROP

iptables v1.3.1:

ipp2p-parameter problem: for ipp2p usage type: iptables -m ipp2p --help



Try `iptables -h' or 'iptables --help' for more information.

[root@gateway protocols]#
复制代码

看一下不知道错在哪里了
系统centOS3.6
[root@gateway protocols]# uname -a

Linux gateway 2.4.21-37.EL #1 Wed Sep 28 14:14:23 EDT 2005 i686 i686 i386 GNU/Linux

[root@gateway protocols]#

[root@gateway protocols]# iptables -V

iptables v1.3.1

[root@gateway protocols]#


复制代码
[ 本帖最后由 bleach 于 2006-3-10 20:53 编辑 ]

我初步认为模块加载顺序问题
ipp2p 对参数的验证很严格
因此，你把“-m ipp2p --edk --kazaa --bit ”放在最后面也许就可以了
我这里没有环境，没法帮你做测试，但估计应该可以解决你的问题

QUOTE:原帖由 platinum 于 2006-3-10 21:26 发表
我初步认为模块加载顺序问题
ipp2p 对参数的验证很严格
因此，你把“-m ipp2p --edk --kazaa --bit ”放在最后面也许就可以了
我这里没有环境，没法帮你做测试，但估计应该可以解决你的问题


将time 模块放在ipp2p前面 确实可以

可惜在time模块对已建立的BT连接无法切断 只能是杜绝增加新连接 对已有连接一点作用不起

是的，的确是这样
因为 netfilter 里面有 conntrack 连接追踪机制
如果一个 TCP 已经建立了三次握手，或者 UDP 已经开始通讯，那么他们在 netfilter 框架中会被记录
就好比两个打电话的人，如果你是窃听者，并从他们开始拨号时就开始窃听，那么当他们刚开始通话时会说自己是谁，此时你就知道是谁和谁在打电话
如果你这个窃听者来晚了，那两个人已经开始通话，并开始唠家常，你虽然听得很带劲，但你并不知道是谁和谁在说话
七层匹配也是如此，他们也有自己的七层协议头，如果你错过了，那么很遗憾的告诉你，只能等下次了。。。

QUOTE:原帖由 platinum 于 2006-3-10 22:36 发表
是的，的确是这样
因为 netfilter 里面有 conntrack 连接追踪机制
如果一个 TCP 已经建立了三次握手，或者 UDP 已经开始通讯，那么他们在 netfilter 框架中会被记录
就好比两个打电话的人，如果你是窃听者，并 ...


那能不能按时间清除一下netfilter 框架中的记录 把他初始为零呢？这样time模块的作用就可以完全的生效啦
刚试了下service network restart 重启网络也不可以 连接还能继续 只能想办法将已建立的连接都清除了才可以吧 要通过什么清呢？
是不是要刷一下 /proc/net/ip_conntrack  这个表

[ 本帖最后由 bleach 于 2006-3-10 22:47 编辑 ]

没用的，必须让客户端从新连才能看到，因为 time 模块在一段时间内不窃听电话的，因此当你想听的时候未必知道是谁

晕，这个郁闷了我很久了