[问题求助]netfilter-layer7 封迅雷是不是没什么效果啊？ [复制链接]

Chain FO.RWARD (policy ACCEPT 316M packets, .185G bytes)--------------彩票
pkts by.tes target     prot opt in     out     source .              destination       .  --------------彩票
2214 2299K DROP       a.ll  --  *      *       0.0.0.0./0            0.0.0.0/0           LAYER7 l7p.roto pplive .
9448  575K DROP  .    . all  --  *      *       0.0.0.0/0            0.0.0.0/0           LAYER7 l7pr.oto edonkey 域名
    32 10311 DROP       all  --  *      *       0.0.0.0/0    .        0.0.0.0/0.           LAYER7 l7proto xunlei   .                外汇
4059  376K DROP       all  --  *      *       0.0.0.0/0   .  ..       0.0.0.0/0           LAYER7 l7proto bittorrent 虚拟主机


我打..的 netfilter-layer7-v2.9   内核 2.4(广告)

补丁保证没问题 i.ptables也没问题 其他模块都测试好用 就.迅雷不好使.
是不是 /etc/l7-protocol.s/protocols/xun.lei.pat  里匹配有问题呢？？？<性病>


或者哪位高手知道 给指条路 ？.？学习
先谢谢了

[ 本帖.最后由 vampire's .于 2007-7-11 11:02 编辑 ]服务器

那是很早以前的了，现在的迅雷已经变得相当复杂，l7-filter 已经不能匹配了，而且也无法写出能匹配的表达式

QUOTE:原帖由 platinum 于 2007-7-11 11:03 发表
那是很早以前的了，现在的迅雷已经变得相当复杂，l7-filter 已经不能匹配了，而且也无法写出能匹配的表达式

哦，谢谢斑竹
我看网上写封掉 3076 端口可以抵制一下
不知道好不好用

没用的，经过抓包发现，迅雷很阴险，使用 TCP/80 传输数据，而这个端口是 http 所使用的

QUOTE:原帖由 platinum 于 2007-7-11 11:32 发表
没用的，经过抓包发现，迅雷很阴险，使用 TCP/80 传输数据，而这个端口是 http 所使用的

汗。。。。。。。 80怎么能封。。。。
想别办法吧。。。。
谢谢斑竹，很荣幸你回帖

使用 TCP/80 的还有很多，而且感觉 l7-filter 的很多东西都失效了，针对这个我曾经很有感慨地写在自己的 blog 里了

http://blog.chinaunix.net/u/311/showart_331227.html


QUOTE:现在的 P2P 软件太厉害了

迅雷使用 TCP/80
BitComet 默认使用 TCP/80（这些软件都太狠了 ）和自己的加密协议
电驴也支持了协议迷惑
网络电视方面播霸（猫眼）也使用了特殊的加密协议
今天又发现了一个超牛的 BT 软件：毒蛙（Azureus），汗~!

另外，无意中发现 l7-filter 的 http.pat 有问题，他们对协议匹配的准确性方面考虑不周啊，就说官方提供的规则库里 xunlei.pat 吧，那大概是一年多以前 wsgtrsys 初写我补充的，现在早没用了，却还放在那里，也是，没人去更新的话，老外又怎么知道那个东西不能用了呢？

经过初步测试，失效的 P2P 协议有
100bao
http（特殊情况下有可能）
ftp（特殊情况下有可能）
poco
xunlei
bittorrent
edonkey（不仅不能完全封住，还把 ntp 协议误匹配进来，差劲啊）
msnmessenger
msn-filetransfer（这两个至少我试了没用）

协议分析与协议欺骗永远是一对矛盾，就好像杀毒软件与病毒一样，斗争还将不断地继续下去...

太好了~这些对我有很大帮助~~~~！
谢谢谢
PS：你BLOG图片很帅哦~

[ 本帖最后由 vampire's 于 2007-7-11 12:18 编辑 ]

用思科的SCE可以封，就是有点贵