[问题求助]platinum请进 关于iptables Layer7 [复制链接]

redhat. EL4.0做的服务器双网卡.
想限制.内网的讯雷 Vagaa bt 电.驴 的下载速度
规则是这样写的 很简单仅做测试.--------------彩票
172.16.0.0/.24是内网外贸
192.168..0.180是外网网卡学习

modprobe ip_ta.bles    外汇
modprob.e iptable_nat健康
modprobe ip_conntr.ack           鲜花

mod.probe ip_nat_ftp.
modprobe .ip_conntrack_ftp(广告)

modprobe ip_nat_i.rc.
modprob.e ip_conntrack_irc.

modpr.obe ipt_REJECT电脑
modpr.obe ipt_limit电脑
echo "Starting fi.rewall....."学习

echo "1" >/proc./sys/net/ipv4/ip_.forward          婚庆
iptables -F
iptables -t nat. -F.
iptables -P INPUT ACC.EPT    健康
ip.tables -P F.ORWARD ACCEPT域名
iptables -P. OUTPUT ACCEPT.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCE.PT..
iptables -t nat -A POSTROUTING -s 172..16.0.0/24 -o eth0 -j SN.AT --to-sour.ce 192.168.0.180    健康
之后加入这样一条规则
iptable.s -t mangle -I POSTROUTING -m layer7 --l7proto xu.nlei -j DROP域名
这样是不是就应该可以阻止内网的. 讯雷下载学习
可是内网一点反映也没有
i.ptables -nvxL -t mangle .
也没有匹配包
不知是.协议摸板的问题还是我规则的问题.

首先明确一点，过滤要在 filter 表的 FORWARD 链里做，并不是说 mangle 不行，只是不好，要专表专用专链专用

其次，要理解“迅雷”，迅雷不是一个协议，而是一个应用软件，它利用 P2SP 的原理传输，获取到迅雷服务器的一个 server list，然后根据 server list 里列出的 server 去逐个连接，通过正常的 HTTP 或者 FTP 协议下载（有没有迅雷自己的我还真不太清楚），所以，即使你 DROP 了仍然用迅雷能下也是很正常的，因为此时的迅雷就是一个 FLASHGET 而已了。

至于为什么匹配不到数据包，我不太清楚了，如果 xunlei.pat 写的没有问题，如果规则策略的逻辑上没有问题，应该是可以匹配到的，建议换到 filter 表的 FORWARD 链再试试看效果如何，前提是注意策略的逻辑顺序问题。