iptables怎么實(shí)現字符串匹配

這篇文章主要介紹“iptables怎么實(shí)現字符串匹配”，在日常操作中，相信很多人在iptables怎么實(shí)現字符串匹配問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對大家解答”iptables怎么實(shí)現字符串匹配”的疑惑有所幫助！接下來(lái)，請跟著(zhù)小編一起來(lái)學(xué)習吧！

iptables實(shí)現字符串匹配

分類(lèi)： SHELL&linux命令2012-07-03 18:25 3172人閱讀 評論(0) 收藏 舉報

stringinputtcpoutputhexlinux

通過(guò)string匹配域名來(lái)過(guò)濾，范例如下：

iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP
iptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROP

這樣就無(wú)法訪(fǎng)問(wèn)與QQ相關(guān)的業(yè)務(wù)了，但是代理好像還是可以

系統要求：

1：內核在2.6.18以上

2：iptables在1.3.5以上

3：內核中包含字符串匹配模塊。在.config文件中應有

CONFIG_NETFILTER_XT_MATCH_STRING=m

man手冊

iptables -m string -helpstring

         This  modules  matches  a  given string by using some
pattern matching strategy. It requires a linux kernel >= 2.6.14.

        --algo  bm|kmp

              Select the pattern matching strategy. (bm = Boyer-
Moore, kmp = Knuth-Pratt-Morris)

        --from offset

              Set the offset from which it starts looking for any
matching. If not passed, default is 0.

        --to offset

              Set the offset to which it starts looking for any
matching. If not passed, default  is  the

              packet size.

        --string pattern

              Matches the given pattern.  --hex-string pattern
Matches the given pattern in hex notation. 
常見(jiàn)的應用程序和有用的示例規則1：防止***的方法
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROPiptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"2：
保護DDOS服務(wù)
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "domain.com" --algo kmp -j DROP3：
防止電子郵件欺騙
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP
做個(gè)最優(yōu)規則
iptables -I INPUT -p tcp --dport 25 -m string --string "Subject"  --algo bm --to 15000 -j DROP