iptables过滤功能

A. 如何写 iptables 规则来过滤运营商 HTTP 劫持

坐标四川移动光纤， DNS 已经全局走 SS 过滤了移动运营商的 53 端口的 DNS 劫持。因为经常用国内网站，所以回全局答 SS 不现实。搜索
目前存在的问题是京东、华为商城等网站有运营商 HTTP 劫持到返利链接，多次投诉工信部都没有效果，因此想求助大家写个 iptables 规则来过滤 HTTP 劫持，我放在 Openwrt 路由器上。

B. 请教使用iptables屏蔽域名的方法

两种方法：

1. drop 对这个域名的 dns 请求
   

   参考内：容http://ju.outofmemory.cn/entry/86709

2. 添加域名过滤模块
   

   参考：http://bbs.chinaunix.net/thread-2170400-1-1.html
   

C. linux下iptables如何过滤同一网段的连续几个IP

过滤源地址范围：

iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP

过滤目标地址范围：

iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP

D. iptables 实现访问linux下mysql数据库mac地址过滤的功能，为啥实现不了呢

iptables是按先后顺序处理的，
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 这里ACCEPT之后就直接访问MYSQL数据库去了
-A INPUT -p tcp --destination-port 3306 -m mac --mac-source 04:7D:7B:E7:8B:5B -j DROP这条策略完全没起到作用

把这两条策略顺序改过来试试看

E. 关于iptables七层过滤QQ和迅雷的一个问题

之前QQ版本是可以的，但QQ新版本确实如您所说的那样，会出现类似的问题，迅雷也限制不了，这些是腾讯和迅雷在软件中做了特别的设置，同时对于从未登陆过的QQ是可以限制的，但对于成功登陆过一次的QQ限制不了

F. 如何编写脚本iptables过滤重复规则

iptables的配置文件保存在/etc/sysconfig/iptables-config下，书写了iptables规则以后如果需要保存规则，则可以使用命令：iptables-save，使用此命令保存的规则位置可以是任意的，此时保存的规则在重启机器后无法自动生效，需要使用命令iptables...

G. iptables关联时间过滤的问题

time --timestart 15:00 --timestop 17:00 --days是关联时间

H. 防火墙iptables的包过滤的基本流程

简单地说来，就是设定一些规则，自对进来和出去的数据包的ip做检查，符合规则的通行，不符合的做响应的处理，要了解这个流程中的三个表：
nat表，filter表，mangle表，
五条链：INPUT链，OUTPUT链，FORWARD链，PREROUTING链，POSTROUTING链。
1）对于进来的包：经过IP校验后，经过第一条链PREROUTING处理，一般是做DNAT；然后经过路由，决定是到本地的还是需要转发的包。
a、如果是到本地的，就经过INPUT链处理，比如过滤等，经过处理后发往上层协议。
b、如果是需要转发的，经过FORWARD链处理，一般是做过滤，然后经过路由代码，再经过POSTROUTING链处理（主要是做SNAT），再传输到网络上。
2）对于本地产生的包：先经过OUTPUT链处理，若过滤可以后，进行路由选择处理，然后经过POSTROUTING做SNAT处理后发送到网络上。

大概的原理就是这样，啰啰嗦嗦一对不如去看看netfilter网站，讲得更清楚一些。

I. Linux里面iptables作用是什么

iptables简称netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
iptables基础
规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别制定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。
iptables和netfilter的关系
这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。
iptables传输数据包的过程
① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

J. iptables怎么添加规则过滤掉一些网址 iptables能过滤包中的特殊字吗

默认的iptables不具备过滤网站的功能，可以通过配置iptables Layer7应用层过滤功能来实现，可以满足你的要求，如过滤网站、禁止某些应用（QQ、迅雷等），你可以查阅相关的资料