Назад | Перейти на главную страницу

Как отбрасывать пакеты в зависимости от длины?

может кто-нибудь помочь заставить iptables отбрасывать все пакеты длиной 1006?

Пример: 18: 33: 18.964261 IP 74.209.87.132.3054> 126.220.67.183.13806: UDP, длина 1006

Вы должны использовать length соответствие. Поддерживает диапазон длины.

Чтобы отбросить все пакеты udp длиной 1006 байт:

iptables -I INPUT -p udp -m length --length 1006 -j DROP

P.S.

  1. В iptables -m length --help показывает краткую справку length соответствие.
  2. Читать руководство по iptables чтобы понять основы.
  3. Остальные правила и порядок следования правил очень важны.
  4. Лучше используйте iptables-apply для безопасного изменения набора правил (читайте в человеке).
  5. Для устранения неполадок проверьте счетчики правил.
  6. Tcpdump перехватывает входящие пакеты перед iptables.