iptables - thả gói trong chuỗi FORWARD dựa trên khớp chuỗi không hoạt động

perlwle

17:02, 15/11/2022

Tôi đang cố chuyển tiếp lưu lượng truy cập từ máy chủ này sang máy chủ khác. Nó đang hoạt động nhưng tôi muốn thêm danh sách trắng url. Các quy tắc iptables-save sau đây vẫn chặn các lượt truy cập như http://host:8383/api/test

Tôi đang thiếu gì?

*tự nhiên
:CHẤP NHẬN TRƯỚC [0:0]
:INPUT CHẤP NHẬN [0:0]
:CHẤP NHẬN ĐẦU RA [7:517]
:CHẤP NHẬN SAU ĐÓ [2:161]
-A PREROUTING -p tcp -m tcp --dport 8383 -j DNAT --to-destination x.x.x.x:8001
-A SAU ĐƯỜNG! -s 127.0.0.1/32 -j MẶT MẠO
LÀM

*lọc
:INPUT CHẤP NHẬN [0:0]
:CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [0:0]

-A FORWARD -p tcp -m string --string "GET /api" --algo bm --icase -j CHẤP NHẬN
-P VỀ PHÍA TRƯỚC DROP

LÀM

Sudo iptables -nvL
Chuỗi INPUT (chính sách CHẤP NHẬN 49 gói, 2356 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi FORWARD (chính sách DROP 5 gói, 200 byte)
 pkts byte đích prot chọn không tham gia đích nguồn
    0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 CHUỖI khớp "NHẬN /api" Tên thuật toán bm ĐẾN 65535 ICASE

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 38 gói, 3060 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

0 + 6

iptables

Tom Yan

17:42, 15/11/2022

Đây là `tcpdump` của một cuộn tròn đơn giản từ một máy chủ khác đến máy chủ lighttpd của tôi: https://paste.ubuntu.com/p/FCHsg4PmBR/, vì vậy không, bạn thực sự không thể đưa nó vào "danh sách trắng" như vậy. Đó không phải là cách TCP hoặc HTTP hoạt động.

Hồi đáp

Tom Yan

17:46, 15/11/2022

Tuy nhiên, bạn có thể *đưa vào danh sách đen* một số `NHẬN` nhất định với cách tiếp cận đó.

Hồi đáp

perlwle

01:20, 16/11/2022

đặt chính sách thành CHẤP NHẬN thì danh sách đen hoạt động nhưng đó không phải là điều tôi muốn. Bất kỳ ý tưởng khác?

Hồi đáp

Tero Kilkanen

11:26, 16/11/2022

IPTables chỉ khớp với các gói IP. Để đạt được mục tiêu của bạn, bạn cần đánh chặn mức TCP. Có lẽ cách dễ nhất là tạo proxy HTTP trong suốt bằng Squid.

Hồi đáp

perlwle

17:46, 16/11/2022

Dường như có những lựa chọn khác. Mực như đề nghị. Tôi nghĩ proxy chuyển tiếp sử dụng nginx cũng có thể hoạt động.Có thể có vấn đề với giao thức https.

Hồi đáp

djdomi

11:32, 25/11/2022

bạn đang gặp một vấn đề x và y cổ điển, bạn thực sự muốn giải quyết vấn đề gì?

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: iptables - drop packet in FORWARD chain based on string match not working

TH: iptables - วางแพ็กเก็ตใน FORWARD chain ตามการจับคู่สตริงไม่ทำงาน

RO: iptables - aruncarea pachetului în lanțul FORWARD bazat pe potrivirea șirurilor nu funcționează

RU: iptables - отбросить пакет в цепочке FORWARD на основе совпадения строк, не работает

VI: iptables - thả gói trong chuỗi FORWARD dựa trên khớp chuỗi không hoạt động

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.