iptables過濾功能

A. 如何寫 iptables 規則來過濾運營商 HTTP 劫持

坐標四川移動光纖， DNS 已經全局走 SS 過濾了移動運營商的 53 埠的 DNS 劫持。因為經常用國內網站，所以回全局答 SS 不現實。搜索
目前存在的問題是京東、華為商城等網站有運營商 HTTP 劫持到返利鏈接，多次投訴工信部都沒有效果，因此想求助大家寫個 iptables 規則來過濾 HTTP 劫持，我放在 Openwrt 路由器上。

B. 請教使用iptables屏蔽域名的方法

兩種方法：

1. drop 對這個域名的 dns 請求
   

   參考內：容http://ju.outofmemory.cn/entry/86709

2. 添加域名過濾模塊
   

   參考：http://bbs.chinaunix.net/thread-2170400-1-1.html
   

C. linux下iptables如何過濾同一網段的連續幾個IP

過濾源地址范圍：

iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP

過濾目標地址范圍：

iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP

D. iptables 實現訪問linux下mysql資料庫mac地址過濾的功能，為啥實現不了呢

iptables是按先後順序處理的，
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 這里ACCEPT之後就直接訪問MYSQL資料庫去了
-A INPUT -p tcp --destination-port 3306 -m mac --mac-source 04:7D:7B:E7:8B:5B -j DROP這條策略完全沒起到作用

把這兩條策略順序改過來試試看

E. 關於iptables七層過濾QQ和迅雷的一個問題

之前QQ版本是可以的，但QQ新版本確實如您所說的那樣，會出現類似的問題，迅雷也限制不了，這些是騰訊和迅雷在軟體中做了特別的設置，同時對於從未登陸過的QQ是可以限制的，但對於成功登陸過一次的QQ限制不了

F. 如何編寫腳本iptables過濾重復規則

iptables的配置文件保存在/etc/sysconfig/iptables-config下，書寫了iptables規則以後如果需要保存規則，則可以使用命令：iptables-save，使用此命令保存的規則位置可以是任意的，此時保存的規則在重啟機器後無法自動生效，需要使用命令iptables...

G. iptables關聯時間過濾的問題

time --timestart 15:00 --timestop 17:00 --days是關聯時間

H. 防火牆iptables的包過濾的基本流程

簡單地說來，就是設定一些規則，自對進來和出去的數據包的ip做檢查，符合規則的通行，不符合的做響應的處理，要了解這個流程中的三個表：
nat表，filter表，mangle表，
五條鏈：INPUT鏈，OUTPUT鏈，FORWARD鏈，PREROUTING鏈，POSTROUTING鏈。
1）對於進來的包：經過IP校驗後，經過第一條鏈PREROUTING處理，一般是做DNAT；然後經過路由，決定是到本地的還是需要轉發的包。
a、如果是到本地的，就經過INPUT鏈處理，比如過濾等，經過處理後發往上層協議。
b、如果是需要轉發的，經過FORWARD鏈處理，一般是做過濾，然後經過路由代碼，再經過POSTROUTING鏈處理（主要是做SNAT），再傳輸到網路上。
2）對於本地產生的包：先經過OUTPUT鏈處理，若過濾可以後，進行路由選擇處理，然後經過POSTROUTING做SNAT處理後發送到網路上。

大概的原理就是這樣，啰啰嗦嗦一對不如去看看netfilter網站，講得更清楚一些。

I. Linux裡面iptables作用是什麼

iptables簡稱netfilter/iptables（簡稱為iptables）組成Linux平台下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。
iptables基礎
規則（rules）其實就是網路管理員預定義的條件，規則一般的定義為「如果數據包頭符合這樣的條件，就這樣處理這個數據包」。規則存儲在內核空間的信息包過濾表中，這些規則分別制定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的主要工作就是添加、修改和刪除這些規則。
iptables和netfilter的關系
這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是netfilter，它是Linux內核中實現包過濾的內部結構。
iptables傳輸數據包的過程
① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

J. iptables怎麼添加規則過濾掉一些網址 iptables能過濾包中的特殊字嗎

默認的iptables不具備過濾網站的功能，可以通過配置iptables Layer7應用層過濾功能來實現，可以滿足你的要求，如過濾網站、禁止某些應用（QQ、迅雷等），你可以查閱相關的資料