1). C 2.6.14 версии ядра в него включен модуль позволяющий заглянуть внутрь пакета и построить правило, опираясь на наличие/отсутствие определенные строк - модуль string (xt_string). В дистрибутивах обычно включается и ядро пересобирать не нужно - смотреть
ls /lib/modules/2.6.24-24-generic/kernel/met/netfilter/xt_string.ko
Пример правила блокирующего icq.com:
iptables -A FORWARD -m string --string "icq.com" --algo kmp --to 655353 -j DROP
или DownloadMaster
iptables -A FORWARD -m string --string --algo kmp "DownloadMaster" -j REJECT
параметр --algo обязателен - определяет алгоритм, который будет использован для проверки совпадения строк. Варианты kmp (от Knuth-Pratt-Morris - усовершенствованный bm оптимизированным для разбора сложных строк) или bm (от Boyer-Moore - он один из наиболее быстрых в простых ситуациях). Также модуль string поддерживает и парамерт --hex-string, что позволяет производить поиск в бинарном формате.
Комментариев нет:
Отправить комментарий