请问大家这两条iptables规则有什么不同? - 网络问题

cltnet

精灵王

UID：532170
注册：2007-3-2
最后登录： 2008-07-09
帖子：288
精华：0

可用积分：1139
信誉积分：100
专家积分：0 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

1楼发表于 2008-5-15 11:30

大家好,我想限制一部分域名的访问.

使用iptables配置了以下规则,

使用FORWARD链配置

iptables -I FORWARD -d www.163.com -j DROP

配置了这条规则后还是可以访问www.163.com这个网站

使用POSTROUTING 链配置

iptables -t nat -I POSTROUTING -d www.163.com -j DROP

当使用POSTROUTING链去DROP时就不能再访问www.163.com这个网站了.

不明白难道是现在域名只能在NAT链中限制么?还请知道的各位帮帮忙...谢谢

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

ssffzz1 (午夜)

广告杀手－法师

UID：159372
注册：2004-5-19
最后登录： 2008-07-09
帖子：6503
精华：10

可用积分：2309
信誉积分：100
专家积分：95 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

2楼发表于 2008-5-15 13:39

不是的。贴iptables-save

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

platinum (何时才能飞)

广告杀手－法王
人生的转折

UID：26424
注册：2002-11-2
最后登录： 2008-07-09
帖子：19938
精华：22

可用积分：16925
信誉积分：105
专家积分：105 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

3楼发表于 2008-5-15 14:06

通过 nslookup 可以看到，www.163.com 使用了多 IP 解析

[Copy to clipboard] [ - ]

CODE:

Name: www.cache.split.netease.com
Addresses:  220.181.28.54, 220.181.28.50, 220.181.28.51, 220.181.28.52
      220.181.28.53
Aliases:  www.163.com

同样是写的 www.163.com，但不确定解析出的 IP 地址是否为同一个
若不是同一个，则有可能实际访问的 IP 与 iptables 里控制的 IP 不是同一个，则可能会失效

理论上讲，filter 表的 FORWARD 链匹配流程在 nat 表的 POSTROUTING 之前
若 filter 的 FORWARD 无法 DROP，则 nat 表的 POSTROUTING 也一定不行

netfilter 的基本动作有 ACCEPT 和 DROP 之分，虽然无论在哪里都可以 DROP，但他们的用途不同
filter 表主要用于过滤，而 nat 表主要负责地址转换

您对本贴的看法：鲜花[0] 臭蛋[0]

__________________________________

当我们在为生活而疲惫奔波的时候
生活却渐渐离我们远去
find our way, find our style

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

cltnet

精灵王

UID：532170
注册：2007-3-2
最后登录： 2008-07-09
帖子：288
精华：0

可用积分：1139
信誉积分：100
专家积分：0 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

4楼发表于 2008-5-15 16:18

我刚有重新配置了一下,发现使用FORWARD时,有的可以限制住,有的确不能限制.
发现iptables -d www.163.com时,它其实也是去把www.163.com解析为IP地址去DROP的.
则有可能会失效.....

想在请问一下,想限制某些域名访问的话,我知道的有以下三种方法
1 iptables -d www.163.com
2 /etc/hosts/ 把域名指向127.0.0.1
3 就是使用两位版主写的domain模块

但是我使用版主写的domain 限制时出现

root@Net:/# iptables -A FORWARD -m domain --name "3322.org" -j DROP
ip_tables: domain match: invalid size 0 != 104
iptables: Unknown error -1
root@Net:/#
错误.....

还在继续尝试中,不知道这三种方式中那种方式从效率上讲要高点呢?

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

ssffzz1 (午夜)

广告杀手－法师

UID：159372
注册：2004-5-19
最后登录： 2008-07-09
帖子：6503
精华：10

可用积分：2309
信誉积分：100
专家积分：95 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

5楼发表于 2008-5-15 16:52

第二种需要在客户端设置。

另外的做法：
1、吧域名用NSLOOKUP解析成IP，限制IP这样效率较高。
2、用SQUID，限制域名。这样也不错，还有告诉缓存。
3、配置DNS服务器，并配置DNS拦截，在DNS服务器上配置一个错误的地址。

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

cltnet

精灵王

UID：532170
注册：2007-3-2
最后登录： 2008-07-09
帖子：288
精华：0

可用积分：1139
信誉积分：100
专家积分：0 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

6楼发表于 2008-5-15 17:10

QUOTE:

原帖由 ssffzz1 于 2008-5-15 16:52 发表

第二种需要在客户端设置。

另外的做法：
1、吧域名用NSLOOKUP解析成IP，限制IP这样效率较高。
2、用SQUID，限制域名。这样也不错，还有告诉缓存。
3、配置DNS服务器，并配置DNS拦截，在DNS服务器上配置一 ...

使用
iptables -I FORWARD -d www.163.com -j DROP
后它是自动把www.163.com解析为IP地址去DROP的.

至于后面两种现在还没有时间去搞,需要等以后再搞了...谢谢

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

ssffzz1 (午夜)

广告杀手－法师

UID：159372
注册：2004-5-19
最后登录： 2008-07-09
帖子：6503
精华：10

可用积分：2309
信誉积分：100
专家积分：95 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

7楼发表于 2008-5-15 17:46

对的。但是如果www.163.com

有多个IP的话，他只会解析第一个。

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

platinum (何时才能飞)

广告杀手－法王
人生的转折

UID：26424
注册：2002-11-2
最后登录： 2008-07-09
帖子：19938
精华：22

可用积分：16925
信誉积分：105
专家积分：105 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

8楼发表于 2008-5-15 19:01

QUOTE:

原帖由 ssffzz1 于 2008-5-15 17:46 发表

对的。但是如果www.163.com

有多个IP的话，他只会解析第一个。

开始我说的也不对，经过测试不是这样的
iptables 很聪明，把那些 IP 都加进去了

[Copy to clipboard] [ - ]

CODE:

# iptables -A FORWARD -d [url]www.163.com[/url] -j DROP
# iptables -vnL FORWARD
Chain FORWARD (policy ACCEPT 95M packets, 41G bytes)
pkts bytes target    prot opt in    out    source             destination
0    0 DROP    all  --  *    *    0.0.0.0/0          220.181.28.52
0    0 DROP    all  --  *    *    0.0.0.0/0          220.181.28.53
0    0 DROP    all  --  *    *    0.0.0.0/0          220.181.28.54
0    0 DROP    all  --  *    *    0.0.0.0/0          220.181.28.50
0    0 DROP    all  --  *    *    0.0.0.0/0          220.181.28.51
#

至于楼主说的为什么 -I FORWARD 也不行，就怪了

您对本贴的看法：鲜花[0] 臭蛋[0]

__________________________________

当我们在为生活而疲惫奔波的时候
生活却渐渐离我们远去
find our way, find our style

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

herolcb24

圣骑士

UID：612228
注册：2007-9-4
最后登录： 2008-07-09
帖子：82
精华：0

可用积分：83
信誉积分：0
专家积分：0 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

9楼发表于 2008-5-15 19:26

确实如platinum所说的那样
估计楼主在做测试时，忘记清缓存了。

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

ssffzz1 (午夜)

广告杀手－法师

UID：159372
注册：2004-5-19
最后登录： 2008-07-09
帖子：6503
精华：10

可用积分：2309
信誉积分：100
专家积分：95 (本版)

状态：...保密...

[资料] [站内短信] [Blog]

10楼发表于 2008-5-16 07:41

哦。受教了。只记得以前一本资料说过，好像是只解析第一个的，可能是记错了。

您对本贴的看法：鲜花[0] 臭蛋[0]

CU可用积分兑换Linux/Unix精品图书 |《Ubuntu标准教程》书评获奖名单公布

首页 » CU论坛 » Linux » 汇总贴列表 » 网络问题 »