论坛徽章:: 5

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-11-06 16:22 |只看该作者 |倒序浏览

我看了斑竹写的domain模块后，做为参考也写了一个相同的模块，本来是要做成内核PATCH的，是因为我不太会写Makefile文件。不过也想到了一个简单的方法，就是先下载斑竹的domain模块，然后用我写的文件替换掉相应的文件，就可以使用了。功能是一样的，不过匹配更严格了，不会处理TCP协议的，也不会处理非A类查询的，不过匹配速度相比斑竹的应该慢一点点，不过这不会是个大问题。使用方法：
1、如果网关没有开DNS服务器，就只在FOWARD链加入就可以了：
iptables -I FORWARD 1 -p udp -m domain --name "www.126.com" -j DROP
2、如果网关运行DNS服务，还要加入下面的：
iptables -I INPUT 1 -p udp -m domain --name "www.126.com" -j DROP

当然不用DROP也可以了，只要是目标动作就可以了譬如LOG。
希望各位哥哥把使用效果能帖出来的，谢谢了。

domain.tar

10 KB, 下载次数: 853

独孤九贱

富足长乐

论坛徽章:: 0

2楼 [报告]

发表于 2006-11-06 17:33 |只看该作者

原帖由 ssffzz1 于 2006-11-6 16:22 发表
我看了斑竹写的domain模块后，做为参考也写了一个相同的模块，本来是要做成内核PATCH的，是因为我不太会写Makefile文件。不过也想到了一个简单的方法，就是先下载斑竹的domain模块，然后用我写的文件替换掉相应的 ...

大概看了一个代码，就是拆DNS包，匹配操作符和字符串，提一个小意见，不要用return 0，而用
return ACCEPT或return DROP
更符合风格一点，呵呵……