Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)

一些人不想让别人用Shadowsocks账号访问指定域名，但是通过Hosts屏蔽域名的话比较麻烦，Shadowsocks服务端是启动的时候才会读取Hosts，所以每次修改都需要重启Shadowsocks服务端，并且Hosts的方法屏蔽域名，只支持单域名，并不支持泛域名，很不方便。

所以我简单查了一下，找到了一个通过iptables防火墙匹配字符串的方法，那就是 string 模块。

如果要封禁BT等，可以用这个脚本：『原创』iptables 封禁 BT/PT/SPAM(垃圾邮件)和自定义端口/关键词 一键脚本

一般 iptables 自带的都有 string 模块，这个模块的作用就是匹配字符串，匹配到泛域名的URL，然后就把数据包丢弃，就实现了屏蔽泛域名的功能。

示例：

以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名。

iptables -A OUTPUT -m string --string "youtube.com" --algo bm -j DROP
# 添加屏蔽规则

iptables -D OUTPUT -m string --string "youtube.com" --algo bm -j DROP
# 删除屏蔽规则，上面添加的代码是什么样，那么删除的代码就是把 -I 改成 -D 

解释：

-A
# 添加iptables规则；
-D
# 删除iptables规则（把添加防火墙规则时代码中的 -A 改成 -D 即可删除添加的规则）；
-m string
# 指定模块；
--string "youtube.com"
# 指定要匹配的字符串(域名、关键词等)；
--algo bm
# 指定匹配字符串模式/算法（还有一种更复杂的算法：kmp）；
-j DROP
# 指匹配到数据包后处理方式，这里是丢弃数据包。

这个模块的作用就是匹配字符串，这个字符串可以是URL、普通文本、文件后缀（后两者时，如果目标网站启用了GZIP类压缩算法，就会无法过滤匹配，毕竟都压缩了）

比如屏蔽： .zip ，就会把包含 .zip 的数据全部丢弃，这样就会无法下载 .zip 类型的文件了！

其他的作用大家可以慢慢研究。

转载请超链接注明：月下博客 » Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)

责任声明：本站一切资源仅用作交流学习，请勿用作商业或违法行为！如造成任何后果，本站概不负责！