有人可以幫忙讓 iptables 丟棄所有長度為 1006 的封包嗎?
範例:18:33:18.964261 IP 74.209.87.132.3054 > 126.220.67.183.13806:UDP,長度 1006
答案1
你應該使用length火柴。它支援長度範圍。
丟棄所有長度為 1006 位元組的 udp 封包:
iptables -I INPUT -p udp -m length --length 1006 -j DROP
聚苯乙烯
- 顯示了比賽
iptables -m length --help的簡短幫助length。 - 讀iptables 教程了解基礎知識。
- 其他規則和規則的順序非常重要。
- 更好地使用
iptables-apply規則集的安全性變更(閱讀該人)。 - 若要排除故障,請檢查規則計數器。
- tcpdump 在 iptables 之前捕獲傳入封包。