请教iptables问题

sullybear

如何获得iptables匹配的数据包的对应目的地址？
打个比方，我通过-p匹配了部分数据包，但是想提取这些数据包的目的地址，并根据目的地址来作响应的动作DROP，但是没找到没办法，请教有没有这样的办法，请大虾给个脚本看看，谢谢。

samlumengjun

没明白你的意思.
举个例子,如果你要对目的地址为192.168.1.0/24的udp包阻止.对目的地址为192.168.2.0/24放行.只能写两条规则.也就是说对不同目的地址的规则只能事先写死.

sullybear

我打个比方
-p tcp  --dports 80 匹配到了80端口的数据包，这时我想跟踪这些数据包的目的地址  然后根据这些地址来作DROP的动作
P2P一般会有端口跳转，不可能纯用80写死，而且节点ip也不可能事先写死，只能是通过连接特征去发掘。
所谓的连接特征就是第一个包是80的（80只是打个比方）
就是想问有没有这样的脚本可以实现，我目前找不到。

sullybear

在网上找了n久，也没有这样的脚本，郁闷

aaaaa5aa

找了半天我也没找到

sullybear

没有iptables的高手在？指点下也好啊，

samlumengjun

你的需求阐述的不明确,让别人怎么帮你?
"这时我想跟踪这些数据包的目的地址  然后根据这些地址来作DROP的动作"
这句话的意思是你已经有了需要过滤的地址列表?还是发现一个新地址就过滤一个?

sullybear

是先利用固定端口去匹配数据包，然后根据这些数据包的ip地址制定策略
也就是发现一个新地址加一条策略。而不是固定的地址列表。
这些地址列表的来源就是固定端口匹配的数据包的地址。

aaaaa5aa

越看越糊涂了

samlumengjun

回复 8# sullybear


    这样就不需要知道目的地址了,把所有你匹配到的全部drop不就得了?