一些人不想让别人用Shadowsocks账号访问指定域名,但是通过Hosts屏蔽域名的话比较麻烦,Shadowsocks服务端是启动的时候才会读取Hosts,所以每次修改都需要重启Shadowsocks服务端,并且Hosts的方法屏蔽域名,只支持单域名,并不支持泛域名,很不方便。
所以我简单查了一下,找到了一个通过iptables防火墙匹配字符串的方法,那就是 string 模块。
如果要封禁BT等,可以用这个脚本:『原创』iptables 封禁 BT/PT/SPAM(垃圾邮件)和自定义端口/关键词 一键脚本
一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。
示例:
以下规则是屏蔽以 youtube.com
为主的所有一级 二级 三级等域名。
iptables -A OUTPUT -m string --string "youtube.com" --algo bm -j DROP # 添加屏蔽规则 iptables -D OUTPUT -m string --string "youtube.com" --algo bm -j DROP # 删除屏蔽规则,上面添加的代码是什么样,那么删除的代码就是把 -I 改成 -D
解释:
-A # 添加iptables规则; -D # 删除iptables规则(把添加防火墙规则时代码中的 -A 改成 -D 即可删除添加的规则); -m string # 指定模块; --string "youtube.com" # 指定要匹配的字符串(域名、关键词等); --algo bm # 指定匹配字符串模式/算法(还有一种更复杂的算法:kmp); -j DROP # 指匹配到数据包后处理方式,这里是丢弃数据包。
这个模块的作用就是匹配字符串,这个字符串可以是URL、普通文本、文件后缀(后两者时,如果目标网站启用了GZIP类压缩算法,就会无法过滤匹配,毕竟都压缩了)
比如屏蔽: .zip
,就会把包含 .zip
的数据全部丢弃,这样就会无法下载 .zip
类型的文件了!
其他的作用大家可以慢慢研究。
转载请超链接注明:月下博客 » Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)
责任声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!
2 thoughts on “Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)”
Pingback: 『原创』iptables 封禁 BT/PT/SPAM(垃圾邮件)和自定义端口/关键词 一键脚本 – 月下博客 Pingback: Linux中利用 iptables 封垃圾邮件(SPAM)和BT(磁力链接)、PT – 月下博客
留言评论