iptables规则

ruanhg

请问各位：我在ubuntu的机器（IP：192.168.1.1，上面还架设了一个php的网站）上设置iptables.up.rules文件：
-A OUTPUT -m string --algo kmp --string "index" -j DROP
然后在另外一台电脑上去访问http://192.168.1.1/index.php，打不开网页，其它的网页http://192.168.1.1/a.php等则全部可以打开。
但是我去掉上述规则，加另外两条：
-A OUTPUT -m string --algo kmp --string "index" -j ACCEPT
-A OUTPUT -j DROP
本意是想仅允许访问http://192.168.1.1/index.php，却发现所有网页均打不开，连本机都上不了网。
请问，是怎么回事呀？

adidiaos丶丶

第二句有点猛！

ruanhg

问题搞清楚了，是在系统版那里得到答案的，iptables对ACCEPT不做过滤，因此想先ACCEPT后DROP是徒劳的。
既然如此，那么能否从ubuntu开源的源码打开突破，修改源码使之适应“先ACCEPT后DROP”的思路，然后编译之，为我所用。大家给些参考吧！谢谢了！

瀚海书香

回复 3# ruanhg

问题搞清楚了，是在系统版那里得到答案的，iptables对ACCEPT不做过滤，因此想先ACCEPT后DROP是徒劳的。
既然如此，那么能否从ubuntu开源的源码打开突破，修改源码使之适应“先ACCEPT后DROP”的思路，然后编译之，为我所用。大家给些参考吧！谢谢了

That is netfilter soul. It is not vary hard to change!

   

ruanhg

这位仁兄，如何搞掂netfiler呀？我是新手！请不吝赐教，万分感谢！

goter

-A OUTPUT -m string --algo kmp --string "index" -j MARK --set-mark 0xffff
-A OUTPUT -m mark ! --mark 0xffff -j DROP

或者用-j GOTO 直接跳到其他链子
在其他链里ACCEPT

ruanhg

多谢啊！不过试过了还是不行。

goter

ruanhg 发表于 2013-10-31 17:01
多谢啊！不过试过了还是不行。

行了就怪了，你把udp包(dns查询包)，tcp syn包，ack(不包含index字符串)都DROP掉了。

ruanhg

再次感谢!看来用取反运算的思路将就使用string模块是不行的，只有改写string模块还有一丝希望。url提取已在本站找到相关代码，就差匹配部分，该如何写呀?

Godbach

回复 9# ruanhg

既然都可以提取出来 URL，直接扩展个match 好了。比如叫做 --url <string>
规则是可以这么写：
-A INPUT -p tcp --dport 80 --url  http://1.2.3.4/index.htm -j DROP

其实感觉你直接匹配 URI 也行：

-A INPUT -p tcp --dport 80 --uri  /index.htm -j DROP