我目前有iptables阻止所有UDP流量,但是我想只允许某些DNS查询通过。
我们以google.com为例。
我正在尝试使用字符串匹配来查找请求中的域名,并允许它。这就是我提出的。
iptables -A OUTPUT -o eth0 -p udp --sport 53 -m string --string "google.com" --algo bm -j ACCEPŤ
我还尝试了--dport 53而不是--sport。没有骰子。
如果有人知道如何做到这一点,或者看到我出错的地方,我们非常感谢您的帮助!
谢谢, 震动
答案 0 :(得分:25)
我知道这有点晚了,但是因为你还没有结束这个问题......
如果您在wireshark或类似内容中查看DNS请求数据包的内容,您会发现未使用点字符。域名的每个部分都是一个计数字符串,因此google.com请求的实际字节数为:
06 67 6f 6f 67 6c 65 03 63 6f 6d
第一个字节(06)是google的长度,后跟6个ASCII字符,然后是com长度的计数字节(03),然后是......你得到了想法。
要在iptables中匹配此项,请使用以下命令:
iptables -A OUTPUT -o eth0 -p udp --port 53 -m string --hex-string "|06|google|03|com" -algo bm -j ACCEPT
--hex-string参数解析提供的字符串,查找由垂直条对分隔的十六进制值。垂直条之外的任何内容都被解释为ASCII文本。
如果在添加条目后列出OUTPUT表,您将找到以下内容:
ACCEPT udp -- anywhere anywhere udp dpt:domain STRING match "|06676f6f676c6503636f6d|" ALGO name bm TO 65535
您可以使用--from和--to参数限制搜索范围,从而略微调整规则并加快速度。
答案 1 :(得分:3)
我发现带点的字符串不可靠。
这将有效:
iptables -A OUTPUT -o eth0 -p udp --port 53 -m string --string google --algo bm -j ACCEPT