使用iptables string match模組后,上網(wǎng)奇慢,Help...

comxyz

本在應(yīng)用了如下規(guī)則后,上網(wǎng)速度奇慢,且部分通信的應(yīng)用程序時(shí)通時(shí)斷,取消后一切正常,不知何原因,請眾位兄弟幫拖解決...謝!

#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state RELATED,ESTABLISHED -d 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -m string --string "mp3" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "qq" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "tencent" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "sex" -s ! 192.168.1.0/24 -j DROP
#iptables -A FORWARD -m string --string "game" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "chat" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "10jqka" -s ! 192.168.1.0/24-j DROP
#iptables -A FORWARD -m string --string "stock" -s ! 192.168.1.0/24-j DROP

platinum

那是必然的，string 模組效率低下

ssffzz1

并且可能有錯(cuò)誤的匹配.如果要封鎖這些,可以考慮SQUID,盡管是代理,但因?yàn)橛芯彺?速度還是可以的.

comxyz

SQUID我封了,但有部分用戶需要使用NAT,所以想iptables也把部份關(guān)鍵字封掉,有沒有辦法解決呢?string模組很不錯(cuò)的,不想浪費(fèi)

kenduest

原帖由 comxyz 于 2007-4-5 21:10 發(fā)表于 4樓  
SQUID我封了,但有部分用戶需要使用NAT,所以想iptables也把部份關(guān)鍵字封掉,有沒有辦法解決呢?string模組很不錯(cuò)的,不想浪費(fèi)

string 該 match extension module 其實(shí)實(shí)用上不好，所以若是阻擋部份只有針對 web request 部分，請搭配 proxy 的 url filter 處理較佳.

==

comxyz

諸位都建意不用這個(gè),我唯有支持下.

kenduest

原帖由 comxyz 于 2007-4-5 21:34 發(fā)表于 6樓  
諸位都建意不用這個(gè),我唯有支持下.

那你繼續(xù)忍受比對每一個(gè)封包帶來的慢速上網(wǎng)吧。

--

dreamice

請教一下白金兄，目前內(nèi)核中的域名匹配模塊是如何實(shí)現(xiàn)的

platinum

原帖由 dreamice 于 2009-5-11 10:20 發(fā)表
請教一下白金兄，目前內(nèi)核中的域名匹配模塊是如何實(shí)現(xiàn)的

實(shí)際上就是分析 UDP/53 的數(shù)據(jù)結(jié)構(gòu)，把 iptables 的 userspace 輸入的 string 轉(zhuǎn)換為 UDP/53 里要匹配的模式進(jìn)行匹配
我的那個(gè) domain 貼子里有源碼，實(shí)現(xiàn)很簡單，看一下便知
關(guān)鍵是要知道 DNS 請求的特點(diǎn)，抓包看看很容易找到規(guī)律
要注意的一點(diǎn)就是，里面的 “.” 不是 ASICII 的 “.”，而是動(dòng)態(tài)的

marsaber

一個(gè)一個(gè)的比對核實(shí)，只有符合規(guī)則的才放行，你規(guī)則越長，慢的感覺就越明顯。