疑问：发现string过滤的奇怪现象

genious588

大家好：
          环境：以前做的策略是禁止192.168.0.12-192.168.0.188 上163的网站，经过测试是好用的！
                   iptables -A URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --timestop 17:56 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -m string --string "www.163.com" -j DROP

                   现在想先禁止所有的网站，然后打开www.163.com
                   iptables -A URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188  -j DROP
                   iptables -I  URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --timestop 17:56 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -m string --string "www.163.com" -j ACCEPT

结果发现：                                                注：我的URL链是在FORWARD上的，我的ip:192.168.0.178
Chain URL (1 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           source IP range 192.168.0.12-192.168.0.179 TIME from 7:12 to 17:56 on all days STRING match "www.163.com"
    2    96 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           source IP range 192.168.0.12-192.168.0.188 TIME from 7:12 to 17:56 on all days

我上了www.163.com，但没上去，
我的本意是想上去163，而其他的网站上不去，但发现匹配的是第二的规则，第一个规则没起任何作用！
不知道为什么，请高手指点！

genious588

大家没有什么见解吗？

platinum

现在想先禁止所有的网站，然后打开www.163.com

逻辑顺序错误
另外，你这样的做法即使顺序对了也不行，因为，还是逻辑问题 :wink:

genious588

原帖由 platinum 于 2008-1-17 11:34 发表

逻辑顺序错误
另外，你这样的做法即使顺序对了也不行，因为，还是逻辑问题 :wink:

什么逻辑顺序？请斑竹再详细的说明一下！

platinum

先禁止后怎么再允许？
先把人打死，怎么再让某活着的过去？
这些基础问题任何相关手册里都有说过

genious588

谢谢斑竹，在下还有一事不明？
这个道理我也知道，但是想一想我们做iptables的时候不也可以先把连先drop掉，然后精确匹配做打开操作吗？！！不知道这个想法和斑竹的说法有冲突吗？

ssffzz1

恰恰相反。
更详细具体的规则通常要放前面。记住规则是顺序匹配的，并且一经匹配后续规则不再匹配。
第一条规则把所有的都DROP了，后面的应用匹配不到。

platinum

原帖由 genious588 于 2008-1-17 13:53 发表
这个道理我也知道，但是想一想我们做iptables的时候不也可以先把连先drop掉，然后精确匹配做打开操作吗？！！

1. 
   
2. if (你说的是 iptables -P INPUT DROP 这句话吗？)
   
3. {
   
4.     if (你不了解 -P、-A、-I 的具体功能吧？)
   
5.         建议你看看基础点的文档
   
6. }
   
7. else
   
8.     谁是这么做的你告诉我
   

复制代码

genious588

原帖由 ssffzz1 于 2008-1-17 16:08 发表
恰恰相反。
更详细具体的规则通常要放前面。记住规则是顺序匹配的，并且一经匹配后续规则不再匹配。
第一条规则把所有的都DROP了，后面的应用匹配不到。

谢谢！请看看我前面写的
   iptables -I  URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --timestop 17:56 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -m string --string "www.163.com" -j ACCE
我就是-I啊！它应该不匹配下面的了！但是-A的数据还有增加！

genious588

原帖由 platinum 于 2008-1-17 22:05 发表


if (你说的是 iptables -P INPUT DROP 这句话吗？)
{
    if (你不了解 -P、-A、-I 的具体功能吧？)
        建议你看看基础点的文档
}
else
    谁是这么做的你告诉我

首先，谢谢斑竹，我知道肯定是我弄错了，但是不知道什么原因，你说的iptables -P INPUT DROP，对我就是把默认策略全drop
请看：
$IPTABLES -P INPUT  DROP                                            
$IPTABLES -P FORWARD  DROP                                          
$IPTABLES -P OUTPUT  ACCEPT  

我自己定义了很多连，想在INPUT里操作就操作，想在FORWARD操作就操作，并且都好用！