iptables的使用
首页
http://www.netfilter.org/projects/iptables/index.html
参考文章
iptables
http://hegz.iteye.com/blog/629666
需求,我需要屏蔽我的服务器访问一些网站。但是这个网站的域名是变化的,枚举不完的。比如
sillycat.iteye.com
xxxx.iteye.com
在hosts文件修改,我测试了写成www.iteye.com, iteye.com都不行。我ping sillycat.iteye.com还是没有问题的。
我同事发给我的示例
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
说是凡是包里面有qq.com的就不能发送出去。
我想先测试下屏蔽iteye.com,:)仅仅是测试一下哈。不是真正的要屏蔽。
iptables -I FORWARD -m string --string "iteye.com" -j DROP
报错
# iptables -I FORWARD -m string --string "iteye.com" -j DROP
iptables v1.2.11: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
搜索了一下,得到的提示是:启动iptables的字符串模式匹配
我在服务器上执行命令:
iptables -I FORWARD -m string --string "iteye.com" -j DROP
报错如下:
# iptables -I FORWARD -m string --string "iteye.com" -j DROP
iptables v1.3.5: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information.
以上错误解决办法:
iptables -A INPUT -m string --algo kmp --string "iteye.com" -j DROP
删除配置
iptables -D INPUT 1
另外,可以考虑一下,手工编译安装一下iptables,是不是我的redhat上自带的版本太低了。
下载文件
http://www.netfilter.org/projects/iptables/files/iptables-1.4.9.1.tar.bz2
http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20100218.tar.bz2
解开压缩包
cd /usr/tmp
tar xvfj iptables-1.4.9.1.tar.bz2
tar xvfj patch-o-matic-ng-20100218.tar.bz2
查询内核版本
# uname -a
Linux vm_redhat4 2.6.9-42.EL #1 Wed Jul 12 23:16:43 EDT 2006 i686 i686 i386 GNU/Linux
比较麻烦,放弃了。生产机上用
iptables -A INPUT -m string --algo kmp --string "javaeye" -j DROP
可以搞定。
首页
http://www.netfilter.org/projects/iptables/index.html
参考文章
iptables
http://hegz.iteye.com/blog/629666
需求,我需要屏蔽我的服务器访问一些网站。但是这个网站的域名是变化的,枚举不完的。比如
sillycat.iteye.com
xxxx.iteye.com
在hosts文件修改,我测试了写成www.iteye.com, iteye.com都不行。我ping sillycat.iteye.com还是没有问题的。
我同事发给我的示例
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
说是凡是包里面有qq.com的就不能发送出去。
我想先测试下屏蔽iteye.com,:)仅仅是测试一下哈。不是真正的要屏蔽。
iptables -I FORWARD -m string --string "iteye.com" -j DROP
报错
# iptables -I FORWARD -m string --string "iteye.com" -j DROP
iptables v1.2.11: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
搜索了一下,得到的提示是:启动iptables的字符串模式匹配
我在服务器上执行命令:
iptables -I FORWARD -m string --string "iteye.com" -j DROP
报错如下:
# iptables -I FORWARD -m string --string "iteye.com" -j DROP
iptables v1.3.5: STRING match: You must specify `--algo'
Try `iptables -h' or 'iptables --help' for more information.
以上错误解决办法:
iptables -A INPUT -m string --algo kmp --string "iteye.com" -j DROP
删除配置
iptables -D INPUT 1
另外,可以考虑一下,手工编译安装一下iptables,是不是我的redhat上自带的版本太低了。
下载文件
http://www.netfilter.org/projects/iptables/files/iptables-1.4.9.1.tar.bz2
http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20100218.tar.bz2
解开压缩包
cd /usr/tmp
tar xvfj iptables-1.4.9.1.tar.bz2
tar xvfj patch-o-matic-ng-20100218.tar.bz2
查询内核版本
# uname -a
Linux vm_redhat4 2.6.9-42.EL #1 Wed Jul 12 23:16:43 EDT 2006 i686 i686 i386 GNU/Linux
比较麻烦,放弃了。生产机上用
iptables -A INPUT -m string --algo kmp --string "javaeye" -j DROP
可以搞定。
1046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
