iptables的string模块封不干净？请高手指点

chinaglwo

rhel5.4 的iptables自带string模块\r\n\r\n比如我的web服务器有个/dskfhsdkfkl/aaa.htm的网页被非常多的IP狂刷\r\n\r\n我用iptables -A INPUT -m string --algo bm --string \"dskfhsdkfkl\" -j DROP\r\n\r\n有效果，web日志里面看不到dskfhsdkfkl了，但是都变成400了，下面是日志记录：\r\n\r\n116.225.245.38 - - [28/Mar/2010:01:27:22 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n183.32.52.166 - - [28/Mar/2010:01:27:22 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n58.25.9.229 - - [28/Mar/2010:01:27:22 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n60.191.44.132 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n125.89.143.78 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n202.75.62.10 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n221.217.179.106 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n61.157.236.138 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n221.0.93.181 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n59.48.158.158 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n125.110.101.53 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n111.173.73.139 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n122.235.211.15 - - [28/Mar/2010:01:27:23 +0800] \"-\" 400 0 \"-\" \"-\" |-\r\n\r\n按我的理解，这些访问应该到达防火墙就被丢弃了啊，不应该再出现在web日志里面。这是怎么回事？

snriyt

u are right 它是扫描每个包，封不干净也正常

samlumengjun

在你的web服务器上用iptables, 而且还用string模块,不敢想象能支持多少并发连接啊.有几点必须明白,如果你的web服务起用压缩传输,那么string就没办法工作. 还有,确保你的规则前没有其他规则放行这些包,最好用-I .