The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Как настроить пакетный фильтр для фильтрации по содержимому пакетов
Следующие правила блокируют прохождение пакетов, данные в которых содержат подстроку virus.exe
и ведут лог пакетов с строкой secret внутри:
iptables -A INPUT -m string --string "secret" -j LOG --log-level info --log-prefix "SECRET"
iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "virus.exe"
# Block Code Red
iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"
# Block Nimda
iptables -I INPUT -j DROP -p tcp -m string --string "root.exe"
iptables -I INPUT -j DROP -p tcp -m string --string "default.ida"
 
30.04.2002
Ключи: tcp, log, string, vi, ip, virus, info, lock, qos, fault, iptables / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетные фильтры в Linux: iptables, ipchains

Обсуждение [ RSS ]
  • 1.1, sasha (?), 01:27, 02/05/2003 [ответить]  
  • +/
    Можно ли фильтровать пакеты которые приходят с сайта в URL которого встречается определенное слово, например banner или counter?
     
  • 1.2, Mike (??), 19:23, 19/01/2006 [ответить]  
  • +/
    У меня iptables 1.3.4 и kernel-2.6.14. Приведенные правила не срабатывают. Iptables требует определить опцию --algo (алгоритм), но какой алгоритм я не знаю? В файле libipt_string.c определено несколько опций для STRING match: --from Offset to start searching from;
    --to Offset to stop serching;
    --algo Algorithm;
    --string [!] string строка в пакете;
    --hex-string [!] string строка в шестнадцатиричном виде. Может кто знает, что задать в опции algo?
     
  • 1.3, DRVTiny (??), 19:45, 24/09/2006 [ответить]  
  • +/
    У меня тот же вопрос. Что это ещё за algo такое???
     
  • 1.4, DRVTiny (??), 20:02, 24/09/2006 [ответить]  
  • +/
    Вы не поверите, но algo - это и в самом деле алгоритм! Например, kmp - это алгоритм Кнута-Мориса-Пратта, bm - наверное, Бойера-Мура. Только непонятно, каким образом об этом должен узнать пользователь?
    Я эти ценные сведения почерпнул из lib/textsearch.c, но это же догадаться ещё надо туда залезть!
     
  • 1.5, DRVTiny (??), 20:03, 24/09/2006 [ответить]  
  • +/
    Работает так:
    iptables -I INPUT -p tcp --sport 80 --dport 1024: -m string --algo kmp --string linux -j DROP
     
  • 1.6, DRVTiny (??), 20:05, 24/09/2006 [ответить]  
  • +/
    Работает так:
    iptables -I INPUT -p tcp --sport 80 --dport 1024: -m string --algo kmp --string linux -j DROP
    Только что проверял - OpenNet с этим правилом действительно не грузится :)
     
  • 1.7, DRVTiny (??), 20:25, 24/09/2006 [ответить]  
  • +/
    Перечень алгоритмов, поддерживаемых функцией поиска подстрок, реализованных ядре, можно получить так :
    (находясь в корне исходников ядра)
    ls lib | sed -nr 's/^ts_([^\.]+)\.c$/\1/p'

    Описания алгоритмов:
    fsm: A naive finite state machine text search approach
    bm: Boyer-Moore text search implementation
    kmp: Knuth-Morris-Pratt text search implementation

     
  • 1.8, Александр (??), 08:42, 08/02/2015 [ответить]  
  • +/
    Для CentOS 6 подошел такой вариант фильтра:
    iptables -A INPUT -p tcp --dport 80 -m string --string "MJ12bot" --algo kmp -j DROP
    заблокировать бота MJ12bot
     
  • 1.9, Azizoro (?), 13:15, 25/03/2019 [ответить]  
  • +/
    С такими правилами указал однин запрет, у меня утром на работе интернет стал зависать. После удаления строчки блокировки vk.com интернет заработал нормально
     
  • 1.10, Azizoro (?), 14:17, 25/03/2019 [ответить]  
  • +/
    Заметил процесс ksoftirqd  стал жрать ЦПУ
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру