Think before you speak, read before you think.

iptables的DROP target

这个内置的target使内核不继续处理这条链,也不给发送者发送任何的拒绝信息。

只有DROP target 和 ACCEPT target 可以被用来当做内部链

可以看REJECT target,它会给发送者发送一个ICMP回复

禁止上某网站:

iptables -I OUTPUT -p tcp -m string --string "jd.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "58.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "taobao.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "v2ex.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP

也可以使用reject

iptables -I OUTPUT -p tcp -m string --string "v2ex.com" --algo bm -j REJECT

删除一条记录

iptables -D OUTPUT 3

禁用 4001 端口

/sbin/iptables -A INPUT -p tcp --destination-port 4001 -j DROP

临时禁用到 domain.com 的访问

iptables -A INPUT -d domain.com -j REJECT
iptables -L -n --line-numbers

如果你的机器是 NAT


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *