netfilter module - domain （2008.07.19 更新）

chenyx

我觉得不是,期待白金版解答

neten

原帖由 dreamice 于 2009-5-12 15:09 发表
iptables -A INPUT -d www.sina.com -j DROP

被翻译成了：
iptables-save：
-A INPUT -d 61.172.201.194/32 -j DROP

这种写法debian4.0就可以了吧？
linux 2.6.18

platinum

原帖由 dreamice 于 2009-5-12 15:50 发表


不是讨论写法的问题，我只是想知道内核是不是支持这个域名匹配了

哦，这个应该早就支持了的，userspace 会自动通过 dns 解析 A 记录，转换成 ID 输出到 kernelspace 中
如果一个 domain 有多个 A 记录，那么很有意思的是会出现多个 -d X.X.X.X

1. 
   
2. platinum ~ # iptables -A FORWARD -d [url]www.163.com[/url]
   
3. platinum ~ # iptables -vnL
   
4. Chain INPUT (policy ACCEPT 20 packets, 1528 bytes)
   
5. pkts bytes target     prot opt in     out     source               destination
   
6. 
   
7. Chain FORWARD (policy ACCEPT 113K packets, 66M bytes)
   
8. pkts bytes target     prot opt in     out     source               destination
   
9.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.16
   
10.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.17
    
11.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.18
    
12.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.9
    
13.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.10
    
14.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.11
    
15.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.12
    
16.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.13
    
17.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.14
    
18.     0     0            all  --  *      *       0.0.0.0/0            61.135.253.15
    
19. 
    
20. Chain OUTPUT (policy ACCEPT 17 packets, 1628 bytes)
    
21. pkts bytes target     prot opt in     out     source               destination
    
22. platinum ~ #
    

复制代码

dreamice

原来是这样的啊，多谢白金兄。
我今天查看代码，猜测也是这样的，不然不会转换成ip地址

springtty

正想研究一下这种扩张方式，多谢。

rula_xu

我用包转发,-to可以使用域名吗?
目前尝试只能用IP地址,是否有方法使用域名?谢谢.
iptables -t nat -A PREROUTING -s **** -p tcp -i eth1 -d **** --dport 3000 -j DNAT --to ****:43

platinum

匹配的仅是 DNS 数据包
如果用 --to 转向的话，也仅是把 DNS 请求转移走了而已

xuluqxulu

哈哈，我遇到了同样的问题。我还以为楼主写的module跟我的环境不匹配呀！

phoenixson

原帖由 platinum 于 2006-10-23 12:41 发表

一个是

if (udph->len < (8 + 13 + info->len + 5)
    return 0;
else
    return 1;

另一个是

return ( udph->len >= (8 + 12 + info->len + 5) );

二者是等价的啊

等价？？

molecar

请教白金，如果我用如下参数是否生效？
iptables －t mangle -A PREROUTING -i bond1.10 -m domain --name ".com" -j MARK --set-mark 2
我的目的是要把所有符合.com的 ip都打标签--set-mark 2
ip rule add from all fwmark 2 table 2
这样会生效吗？