镜像域名: doub.bid 提供给无翻墙能力的人使用~ 有能力的建议访问主域名(注意把"点"改为".") doub点io
投稿文章 | 广告投放 | Telegram 群组 / 公告频道

Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)

Linux教程 Toyo 8评论
本文最后更新于 2017年4月19日 20:39 可能会因为没有更新而失效。如已失效或需要修正,请留言!

一些人不想让别人用Shadowsocks账号访问指定域名,但是通过Hosts屏蔽域名的话比较麻烦,Shadowsocks服务端是启动的时候才会读取Hosts,所以每次修改都需要重启Shadowsocks服务端,并且Hosts的方法屏蔽域名,只支持单域名,并不支持泛域名,很不方便。

所以我简单查了一下,找到了一个通过iptables防火墙匹配字符串的方法,那就是 string 模块。

如果要封禁BT等,可以用这个脚本:『原创』iptables 封禁 BT/PT/SPAM(垃圾邮件)和自定义端口/关键词 一键脚本


一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。

示例:

以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名。

iptables -I OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP
# 添加屏蔽规则

iptables -D OUTPUT -m string --string "youtube.com" --algo bm --to 65535 -j DROP
# 删除屏蔽规则,上面添加的代码是什么样,那么删除的代码就是把 -I 改成 -D 

解释:

-I 是插入iptables规则;

-D 是删除对应的iptables规则;

-m string 是指定模块;

–string “youtube.com” 是指定要匹配的字符串(域名);

–algo bm 是指定匹配字符串模式/算法;

–to 65535 是指定端口,这里代表所有端口;

-j DROP 是指匹配到数据包后处理方式,这里是丢弃数据包。

这个模块的作用就是匹配字符串,这个字符串可以是URL,也可以是普通文本,也可以是文件后缀,

比如: .zip ,就会把包含 .zip 的数据库丢弃,这样就会无法下载 .zip 类型的文件了!

其他的作用大家可以慢慢研究。

其他iptables教程:Linux中利用 iptables 封垃圾邮件(SPAM)和BT(磁力链接)、PT

转载请超链接注明:逗比根据地 » Linux中利用 iptables string模块 屏蔽泛域名(匹配字符串)
责任声明:本站一切资源均原创或收集自互联网,仅作交流学习之用,请勿用作商业!如造成任何后果,本站概不负责!

赞 (8)or打赏
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(8)个小伙伴在吐槽
  1. 我爱偷油
    Buffer2Disk2017-01-14 16:50 回复
  2. 听说Debian下,iptables是临时保存的,重启之后,之前的iptables规则就丢失
    民浩2017-01-10 14:34 回复
    • 不清楚,我经常用Debian的,重启后规则依然存在。
      Toyo2017-01-10 16:37 回复
    • 不要直接ssh下添加指令,直接vi规则文件在wq,这样就不会丢失了。
      bogie2017-02-04 12:00 回复
  3. 6666很有用 :mrgreen:
    匿名2017-01-09 22:05 回复
  4. 这样是不是也能屏蔽掉Bt下载呢?
    whoami2017-01-09 20:18 回复
  5. 谢谢大神
    路人甲2017-01-09 18:18 回复