求助:iptabel1.3装上后,string模块怎么没起作用啊

xzp1030

iptable1.3保证已正确安装,并且添加了string模块.
我在规则中写入以下代码
$IPTABLES -A FORWARD -m string --string "sex" -j DROP

为什么我还能上带sex关键字的网站呢，我哪里写错了，请指教，谢谢

xzp1030

up，怎么没人呢？奇怪

platinum

有的网页用了特殊编码方式，在数据包里不是以明码“sex”来表示的，因此不能生效

xzp1030

上面那个图片是怎么回事/ 好怕怕呀！！
那我回去试试别的再回来，看看是不是这么回事

xzp1030

老大呀，我刚试过了，我改了"qq.com",但还能上www.qq.com。
为什么啊，能给我举个简单的例子吗，谢谢

platinum

这样好了，你禁止“sina”，然后你尝试上所有页面里涉及到“sina”字样的网站试试？

xzp1030

还能上,你看一下下面的信息，应该起作用了啊
root@server root]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0           
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     all  --  192.168.0.237        0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            221.214.212.24      state RELATED,ESTABLISHED
tcp_input_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           
udp_input_packets  udp  --  0.0.0.0/0            0.0.0.0/0           
icmp_packets  icmp --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
lan_forward_packets  all  --  0.0.0.0/0            0.0.0.0/0           
tcp_forward_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     all  --  192.168.0.237        0.0.0.0/0           
ACCEPT     all  --  221.214.212.24       0.0.0.0/0           

Chain allowed (6 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           

Chain bad_tcp_packets (3 references)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x12/0x12 state NEW reject-with tcp-reset
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x16/0x02 state NEW

Chain icmp_packets (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11

Chain lan_forward_packets (1 references)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           STRING match "sina"
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           source IP range 192.168.0.1-192.168.0.255

Chain tcp_forward_packets (1 references)
target     prot opt source               destination         
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21

Chain tcp_input_packets (1 references)
target     prot opt source               destination         
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21
allowed    tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:113

Chain udp_input_packets (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123
[root@server root]

platinum

Chain FORWARD (policy DROP)
target     prot opt source               destination         
bad_tcp_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
lan_forward_packets  all  --  0.0.0.0/0            0.0.0.0/0           
tcp_forward_packets  tcp  --  0.0.0.0/0            0.0.0.0/0           

这个策略从逻辑上讲是不对的
数据包全都已经 ACCEPT 了，还怎么根据 string 来 DROP？

xzp1030

你指的是这行代码吗?
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

它是状态为RELATED,ESTABLISHED 才accept 啊,刚开始建立连接的时候状态为NEW啊,这行应该不会起作用吧,建立连接后才会,到下一行时只接给DROP 了,根本没有连接的机会啊,要是改的话,应怎么改呢?谢谢

platinum

sorry，你的规则太乱了，很难看懂
具体参考一下其他人的贴子吧，昨天一共 3 个人问过