ВНИМАНИЕ! Данный проект больше не поддерживается. Рекомендуется использовать extFilter https://github.com/max197616/extfilter .

Программа основана на разработке https://github.com/ircop/nfq_filter.

Программа компилируется и работает под CentOS 7. Для сборки программы необходимы следующие программы и библиотеки:

 libnetfilter_queue
 libnfnetlink
 Poco >= 1.6
 nDPI = 1.7-stable (ставится автоматически с github с наложением необходимых патчей)
 git
 patch

Сборка программы:

1 ./autogen.sh
2 ./configure
3 make


Для запуска программы необходимо указать путь к конфигурационному .ini файлу (-c в командой строке). Для запуска в режиме daemon необходимо указать ключи --daemon и --pidfile=/path/to/file.pid


Для перенаправления трафика на фильтр необходимо использовать следующую конструкцию iptables:

 iptables -t mangle -A PREROUTING -s x.x.x.x/y -p tcp -m tcp -j NFQUEUE --queue-num 0 --queue-bypass

где, x.x.x.x/y сеть, которую необходимо проверять.

Для блокировки SSL/ip:port трафика необходимо использовать следующее правило:

 iptables -A FORWARD -m mark --mark 17 -p tcp -j REJECT --reject-with tcp-reset

 где 17, это значение из конфига nfqfilter.

Так же вместо маркировки трафика можно сразу посылать TCP RST клиенту и серверу, если указать в конфиге send_rst = true .

В каталоге contrib находятся примеры файлов для работы фильтра.

Чтобы заставить фильтр перечитать конфиги, необходимо послать ему сигнал HUP.