platinum 斑竹帮我解决一个URL阻止问题.

skylove

把-j DROP 换成 -j LOG --log-level info --log-prefix "IPTABLES-STRING"


然后分别用 atheros     atheros.com     www.atheros.com 和  www\.atheros\.com  来匹配 看看，然后找找log里的记录。。。看看是否有访问的。。。

qingfeng79

我内核里没编译log选项.惨啦.

skylove

无限同情你了， log选项在排错和诊断iptables规则的时候粉有用的。。。

qingfeng79

好不容易把LOG加进去了.执行后，也在syslog.conf里添加了
kern.=info                             /var/log/iptables.log

可日志文件里就没有内容,晕啦.晚上要研究一下.SYSLOG.CONF了.

枫影谁用了

[0:0] -A INPUT -p udp -m udp --dport 53 -m string --string "www.atheros.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable

這樣是不能阻止的。

C:\Documents and Settings\jabin>ping www.atheros.com

Pinging www.atheros.com [63.111.106.61] with 32 bytes of data:

Reply from 63.111.106.61: bytes=32 time=557ms TTL=236
Reply from 63.111.106.61: bytes=32 time=553ms TTL=236
Reply from 63.111.106.61: bytes=32 time=559ms TTL=236
Reply from 63.111.106.61: bytes=32 time=556ms TTL=236

Ping statistics for 63.111.106.61:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 553ms, Maximum = 559ms, Average = 556ms

C:\Documents and Settings\jabin>

不過我是在INPUT上，在這個連上好像啥也不能陰止！！

[ 本帖最后由 枫影谁用了 于 2006-7-13 16:52 编辑 ]

qingfeng79

是的呀.好象不认识www.atheros.com.
-A FOREARD  -p udp --dport 53 -m string --string "www.atheros.com"  -j DROP
感觉只要加上protocol,就不能解析string里的点号,只能认识atheros.
要好好研究一下...

skylove

注意 iptables.log 文件的权限 ，且 syslog服务需要重新启动。

http://www.linuxmine.com/5856.html 这里参考一下。。。kern.debug 和kern.info

不行就把
kern.info                                                 /dev/console

这条放开（。。。随时做好ssh的准备，真正的显示器上有可能信息多死人），直接丢到屏幕上看。

顺便问问， 为什么你上面写的有个=号？？

[ 本帖最后由 skylove 于 2006-7-13 17:01 编辑 ]

skylove

原帖由 枫影谁用了 于 2006-7-13 16:50 发表
[0:0] -A INPUT -p udp -m udp --dport 53 -m string --string "www.atheros.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable

這樣是不能阻止的。




不過我是在I ...

我倒， 除非你设置这条规则的机器就是你的dns，否则 。。。你测试的那台机器，到写有这规则的机器的时候input链根本没走啊，client机器走的是forward 表出去的。。。

qingfeng79

我先吃饭了，谢谢各位的交流。晚上我再好好分析一下原因.

枫影谁用了

原帖由 skylove 于 2006-7-13 17:06 发表



我倒， 除非你设置这条规则的机器就是你的dns，否则 。。。你测试的那台机器，到写有这规则的机器的时候input链根本没走啊，client机器走的是forward 表出去的。。。

是的.测试的机器的DNS就是NAT的机器.