免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: qingfeng79
打印 上一主题 下一主题

[网络管理] platinum 斑竹帮我解决一个URL阻止问题. [复制链接]

论坛徽章:
0
31 [报告]
发表于 2006-07-13 16:02 |只看该作者
把-j DROP 换成 -j LOG --log-level info --log-prefix "IPTABLES-STRING"


然后分别用 atheros     atheros.com     www.atheros.com 和  www\.atheros\.com  来匹配 看看,然后找找log里的记录。。。看看是否有访问的。。。

论坛徽章:
0
32 [报告]
发表于 2006-07-13 16:14 |只看该作者
我内核里没编译log选项.惨啦.

论坛徽章:
0
33 [报告]
发表于 2006-07-13 16:20 |只看该作者
无限同情你了, log选项在排错和诊断iptables规则的时候粉有用的。。。

论坛徽章:
0
34 [报告]
发表于 2006-07-13 16:44 |只看该作者
好不容易把LOG加进去了.执行后,也在syslog.conf里添加了
kern.=info                             /var/log/iptables.log

可日志文件里就没有内容,晕啦.晚上要研究一下.SYSLOG.CONF了.

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
35 [报告]
发表于 2006-07-13 16:50 |只看该作者
[0:0] -A INPUT -p udp -m udp --dport 53 -m string --string "www.atheros.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable

這樣是不能阻止的。


C:\Documents and Settings\jabin>ping www.atheros.com

Pinging www.atheros.com [63.111.106.61] with 32 bytes of data:

Reply from 63.111.106.61: bytes=32 time=557ms TTL=236
Reply from 63.111.106.61: bytes=32 time=553ms TTL=236
Reply from 63.111.106.61: bytes=32 time=559ms TTL=236
Reply from 63.111.106.61: bytes=32 time=556ms TTL=236

Ping statistics for 63.111.106.61:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 553ms, Maximum = 559ms, Average = 556ms

C:\Documents and Settings\jabin>


不過我是在INPUT上,在這個連上好像啥也不能陰止!!

[ 本帖最后由 枫影谁用了 于 2006-7-13 16:52 编辑 ]

论坛徽章:
0
36 [报告]
发表于 2006-07-13 17:00 |只看该作者
是的呀.好象不认识www.atheros.com.
-A FOREARD  -p udp --dport 53 -m string --string "www.atheros.com"  -j DROP
感觉只要加上protocol,就不能解析string里的点号,只能认识atheros.
要好好研究一下...

论坛徽章:
0
37 [报告]
发表于 2006-07-13 17:00 |只看该作者
注意 iptables.log 文件的权限 ,且 syslog服务需要重新启动。

http://www.linuxmine.com/5856.html 这里参考一下。。。kern.debug 和kern.info

不行就把
kern.info                                                 /dev/console

这条放开(。。。随时做好ssh的准备,真正的显示器上有可能信息多死人),直接丢到屏幕上看。

顺便问问, 为什么你上面写的有个=号??

[ 本帖最后由 skylove 于 2006-7-13 17:01 编辑 ]

论坛徽章:
0
38 [报告]
发表于 2006-07-13 17:06 |只看该作者
原帖由 枫影谁用了 于 2006-7-13 16:50 发表
[0:0] -A INPUT -p udp -m udp --dport 53 -m string --string "www.atheros.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable

這樣是不能阻止的。




不過我是在I ...



我倒, 除非你设置这条规则的机器就是你的dns,否则 。。。你测试的那台机器,到写有这规则的机器的时候input链根本没走啊,client机器走的是forward 表出去的。。。

论坛徽章:
0
39 [报告]
发表于 2006-07-13 17:06 |只看该作者
我先吃饭了,谢谢各位的交流。晚上我再好好分析一下原因.

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
40 [报告]
发表于 2006-07-13 19:12 |只看该作者
原帖由 skylove 于 2006-7-13 17:06 发表



我倒, 除非你设置这条规则的机器就是你的dns,否则 。。。你测试的那台机器,到写有这规则的机器的时候input链根本没走啊,client机器走的是forward 表出去的。。。


是的.测试的机器的DNS就是NAT的机器.
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP