请教iptables问题

samlumengjun

没明白你的意思.
举个例子,如果你要对目的地址为192.168.1.0/24的udp包阻止.对目的地址为192.168.2.0/24放行.只能写两条规则.也就是说对不同目的地址的规则只能事先写死.

samlumengjun

你的需求阐述的不明确,让别人怎么帮你?
"这时我想跟踪这些数据包的目的地址  然后根据这些地址来作DROP的动作"
这句话的意思是你已经有了需要过滤的地址列表?还是发现一个新地址就过滤一个?

samlumengjun

回复 8# sullybear


    这样就不需要知道目的地址了,把所有你匹配到的全部drop不就得了?

samlumengjun

你自己不说清楚是状态检测.而且如果你把它主端口禁止了哪里还有相关连接会产生?就拿ftp来说,主动模式下你禁止了21端口,难道20端口还会有连接?
好吧,不管怎么样,按照你的意思来加规则.假设你是网关
iptable -A FORWARD -p "你需要禁止的协议" -j DROP
iptable -A FORWARD -p "你需要禁止的协议" -m state --state ESTABLISHED,RELATED -j DROP

假设你只是一台主机
iptable -A INPUT -p "你需要禁止的协议" -j DROP
iptable -A INPUT -p "你需要禁止的协议" -m state --state ESTABLISHED,RELATED -j DROP

samlumengjun

限制p2p不是这样做的
ipp2p和l7filter模块都可以实现.
iptables -A FORWARD -m layer7 --l7proto p2p  -j DROP

samlumengjun

你要封杀应用层的协议,用哪个工具不会过时?l7可以自己写模版只要你能写出你要封杀的应用层协议的特征,一样可以阻拦.

samlumengjun

http://l7-filter.sourceforge.net/protocols
自己去看看吧,上面有的协议以及测试后的效果.

samlumengjun

不过你一定要坚持先匹配再过滤的话,可以给你一点提示,先在mangle表里把你匹配到的数据包打上记号.然后再去过滤. 用-j MARK --set-mark VALUE 设置标记值,最大支持到32位整型. 用 -m mark --mark VALUE 来辨别被你打上标记的包.