请教iptables问题

sullybear

晕，病了几天没看，还是没人能解决啊。
我的意思是iptables是一个状态防火墙，这一些列目的地址是未知的，只是想要DROP这些地址的数据包，那么这些目的地址怎么出来呢，就是一开始会有个80端口的连接，目的地址指向这些地址。因此我想做的是这些目的地址的跟踪，我查了下iptables指南，并没有相关脚本可以参考啊。

sullybear

打个比方吧，ftp传输控制和文件传输用的是不同端口，20和21
目前就是20端口连接目的主机，然后21端口和这些主机通信
我希望做的就是把20端口的目的主机的目的地址ip进行跟踪，然后把去这些ip的数据包全部drop！
找不到这种脚本啊

sullybear

其实就是举个详细例子，脚本就行，解释下状态跟踪的使用

samlumengjun

你自己不说清楚是状态检测.而且如果你把它主端口禁止了哪里还有相关连接会产生?就拿ftp来说,主动模式下你禁止了21端口,难道20端口还会有连接?
好吧,不管怎么样,按照你的意思来加规则.假设你是网关
iptable -A FORWARD -p "你需要禁止的协议" -j DROP
iptable -A FORWARD -p "你需要禁止的协议" -m state --state ESTABLISHED,RELATED -j DROP

假设你只是一台主机
iptable -A INPUT -p "你需要禁止的协议" -j DROP
iptable -A INPUT -p "你需要禁止的协议" -m state --state ESTABLISHED,RELATED -j DROP

sullybear

状态检测机制我明白，你理解错我的意思了，我这边是作网关
我说的是类似于状态检测，
ftp只是打个比方，我这边是限制p2p的环境。
打个比方：
第一步：先与三个固定ip（地址是未知的，而且是每次连接都变化的）进行主端口（固定端口）通讯，但是目的ip不定，这时我通过端口DROP
第二步：这时，程序就会自动连接这些目的ip的其他端口（乱的），这时无法通过端口DROP，这时只能依靠这些目的地址进行DROP。唯一的线索是程序只和第一步的目的地址进行通讯，因此要对这些目的ip进行DROP
我问的就是有没有脚本获取这些目的ip
只是类似于状态检测，但是不固定是一个连接，所以需要通过脚本获取ip地址再作策略。
不知道这样说还能不能明白

sullybear

说白了，状态机制是对于具体的连接进行跟踪，我说的是对于对应的目的ip也就是节点ip进行跟踪。

samlumengjun

限制p2p不是这样做的
ipp2p和l7filter模块都可以实现.
iptables -A FORWARD -m layer7 --l7proto p2p  -j DROP

sullybear

l7filter和ipp2p只能对标准协议进行限制，非标准协议只能采用协议跟踪或者地址跟踪的办法。
这两种东西  早过时了

samlumengjun

你要封杀应用层的协议,用哪个工具不会过时?l7可以自己写模版只要你能写出你要封杀的应用层协议的特征,一样可以阻拦.