使用iptables string match模组后,上网奇慢,Help...

comxyz

本在应用了如下规则后,上网速度奇慢,且部分通信的应用程序时通时断,取消后一切正常,不知何原因,请众位兄弟帮拖解决...谢!

#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -d 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -m string --string "mp3" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "qq" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "tencent" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "sex" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "game" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "chat" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "10jqka" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "stock" -s ! 192.168.1.0/24-j DROP

platinum

那是必然的，string 模组效率低下

ssffzz1

并且可能有错误的匹配.如果要封锁这些,可以考虑SQUID,尽管是代理,但因为有缓存,速度还是可以的.

comxyz

SQUID我封了,但有部分用户需要使用NAT,所以想iptables也把部份关键字封掉,有没有办法解决呢?string模组很不错的,不想浪费

kenduest

原帖由 comxyz 于 2007-4-5 21:10 发表于 4楼  
SQUID我封了,但有部分用户需要使用NAT,所以想iptables也把部份关键字封掉,有没有办法解决呢?string模组很不错的,不想浪费

string 該 match extension module 其實實用上不好，所以若是阻擋部份只有針對 web request 部分，請搭配 proxy 的 url filter 處理較佳.

==

comxyz

诸位都建意不用这个,我唯有支持下.

kenduest

原帖由 comxyz 于 2007-4-5 21:34 发表于 6楼  
诸位都建意不用这个,我唯有支持下.

那你繼續忍受比對每一個封包帶來的慢速上網吧。

--

dreamice

请教一下白金兄，目前内核中的域名匹配模块是如何实现的

platinum

原帖由 dreamice 于 2009-5-11 10:20 发表
请教一下白金兄，目前内核中的域名匹配模块是如何实现的

实际上就是分析 UDP/53 的数据结构，把 iptables 的 userspace 输入的 string 转换为 UDP/53 里要匹配的模式进行匹配
我的那个 domain 贴子里有源码，实现很简单，看一下便知
关键是要知道 DNS 请求的特点，抓包看看很容易找到规律
要注意的一点就是，里面的 “.” 不是 ASICII 的 “.”，而是动态的

marsaber

一个一个的比对核实，只有符合规则的才放行，你规则越长，慢的感觉就越明显。