[iptables] Фильтрация по содержимому пакета

0

0

Нужно притормозить вот это:

12:31:03.049226 00:0c:29:75:0f:21 (oui Unknown) > 00:0c:29:c4:85:93 (oui Unknown), ethertype IPv4 (0x0800), length 144: 
(tos 0x0, ttl 128, id 56298, offset 0, flags [none], proto UDP (17), length 130) 10.1.1.6.l2f > ubuntu-x86-001.ubuntu-x86-001.l2f:
l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() |...
        0x0000:  000c 29c4 8593 000c 2975 0f21 0800 4500  ..).....)u.!..E.
        0x0010:  0082 dbea 0000 8011 4800 0a01 0106 0a01  ........H.......
        0x0020:  0179 06a5 06a5 006e 05fe c802 0066 0000  .y.....n.....f..
        0x0030:  0000 0000 0000 8008 0000 0000 0001 8008  ................
        0x0040:  0000 0002 0100 800a 0000 0003 0000 0001  ................
        0x0050:  800a 0000 0004 0000 0000 0008 0000 0006  ................

Хотелось бы что то типа:
iptables -I INPUT -p udp -m udp --dport 1701 -m limit --limit 1/minute --limit-burst 1 -m что_то --что_то "дескрипшен пакета" -j ACCEPT

Подскажите что почитать или дайте пример.  
iptables вообще так может?

Спасибо.

Ссылка

←	Две виртуальные подсети на одном интерфейсе и DHCP

Помогите поставить php на Centos 5.2

→

Смотри инфу про расширение string

gruy ★★★★★
(10.09.08 17:29:16 MSD)

google://iptables layer 7

Anoxemian ★★★★★
(10.09.08 17:37:57 MSD)

Ответ на: комментарий от gruy 10.09.08 17:29:16 MSD

Может я просто торможу, но у меня оно не работает. --hex-string "c802006a00000000000000008008000000000001" - 0 реакции, --hex-string "Microsoft" - все ОК. Что-то мне кажется что оно именно string ищет, т.е. printable chars.

TokyoBeer
(10.09.08 19:44:58 MSD) автор топика

Ответ на: комментарий от Anoxemian 10.09.08 17:37:57 MSD

Может, опять же, я просто торможу. Чем конкретно оно может помочь (то что работает в юзерсапэйс)?

TokyoBeer
(10.09.08 19:46:35 MSD) автор топика

Ссылка

Ответ на: комментарий от TokyoBeer 10.09.08 19:44:58 MSD

> Может я просто торможу, но у меня оно не работает. --hex-string "c802006a00000000000000008008000000000001" - 0 реакции, --hex-string "Microsoft" - все ОК. Что-то мне кажется что оно именно string ищет, т.е. printable chars.

т.е. в заголовки пакета оно не смотрит.

TokyoBeer
(10.09.08 19:47:51 MSD) автор топика

Ответ на: комментарий от TokyoBeer 10.09.08 19:47:51 MSD

Попробуйте --hex-string "|c802006a00000000000000008008000000000001|"

>т.е. в заголовки пакета оно не смотрит.

Оно смотрит IP-пакет, а заголовки низлежащего уровня (допустим Ethernet) оно не смотрит.

mky ★★★★★
(11.09.08 13:18:04 MSD)

раньше было расширение для iptables под названием u32 , которое входит в состав patch-o-matic, я им нужные мне пакеты всегда выцеплял.

anonymous
(11.09.08 13:55:47 MSD)

Ответ на: комментарий от mky 11.09.08 13:18:04 MSD

Работает. Спасибо.

Могу поклястся - я пробовал с |, но не работало...

TokyoBeer
(11.09.08 23:28:33 MSD) автор топика

Ссылка

Ответ на: комментарий от anonymous 11.09.08 13:55:47 MSD

Да, я нашел пару примеров с u32, но очень не хотелось перезагружать сервер, да еще и с риском ухода в оффайн.

В любом случае, проблема решена.

Спасибо всем.

TokyoBeer
(11.09.08 23:30:57 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Две виртуальные подсети на одном интерфейсе и DHCP

Admin

Помогите поставить php на Centos 5.2

→

Похожие темы