请教iptables问题
如何获得iptables匹配的数据包的对应目的地址?打个比方,我通过-p匹配了部分数据包,但是想提取这些数据包的目的地址,并根据目的地址来作响应的动作DROP,但是没找到没办法,请教有没有这样的办法,请大虾给个脚本看看,谢谢。 没明白你的意思.
举个例子,如果你要对目的地址为192.168.1.0/24的udp包阻止.对目的地址为192.168.2.0/24放行.只能写两条规则.也就是说对不同目的地址的规则只能事先写死. 我打个比方
-p tcp --dports 80 匹配到了80端口的数据包,这时我想跟踪这些数据包的目的地址 然后根据这些地址来作DROP的动作
P2P一般会有端口跳转,不可能纯用80写死,而且节点ip也不可能事先写死,只能是通过连接特征去发掘。
所谓的连接特征就是第一个包是80的(80只是打个比方)
就是想问有没有这样的脚本可以实现,我目前找不到。 在网上找了n久,也没有这样的脚本,郁闷 找了半天我也没找到 没有iptables的高手在?指点下也好啊, 你的需求阐述的不明确,让别人怎么帮你?
"这时我想跟踪这些数据包的目的地址 然后根据这些地址来作DROP的动作"
这句话的意思是你已经有了需要过滤的地址列表?还是发现一个新地址就过滤一个? 是先利用固定端口去匹配数据包,然后根据这些数据包的ip地址制定策略
也就是发现一个新地址加一条策略。而不是固定的地址列表。
这些地址列表的来源就是固定端口匹配的数据包的地址。 越看越糊涂了 回复 8# sullybear
这样就不需要知道目的地址了,把所有你匹配到的全部drop不就得了?