[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables string matching

Alexey -> debian-russian@lists.debian.org  @ Sat, 2 Aug 2008 00:21:21 +0300:

 A> почему такой вариант работает:
 A> iptables -P OUTPUT ACCEPT
 A> iptables -I OUTPUT 1   -p tcp -m string --string "google.com" --algo bm   -j 
 A> DROP

 A> и на гугл не пускает

 A> а такой не работает:
 A> iptables -P OUTPUT DROP
 A> iptables -I OUTPUT 1   -p tcp -m string --string "google.com" --algo bm   -j 
 A> ACCEPT

 A> на гугл тоже не пускает 

Потому что такая комбинация могла бы пустить на гугл, только если строка
google.com фигурировала бы во _всех_ пакетах.  Ну, или добавить правило,
пропускающее ESTABLISHED, в первом.  А она там только в четвертом.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

ожидания по умолчанию приводят к обломам по определению.
 -- http://apraxina.livejournal.com/301026.html
Reply to: