我尝试使用规则阻止计算机上的应用程序数据包
iptables -I OUTPUT 1 -p tcp \! -f --dport 443 -m state --state ESTABLISHED -m u32 --u32 "0>>22&0x3C@ 12>>26&0x3C@ 0 & 0xFF000000=0x17000000" -j DROP
这允许网站进行握手但阻止应用程序数据包。
虽然这可行,但我希望一些网站能够连接到网络,因此我添加了另一条规则
iptables -I OUTPUT 1 -p tcp \! -f --dport 443 -s 69.171.230.68 -m state --state ESTABLISHED -m u32 --u32 "0>>22&0x3C@ 12>>26&0x3C@ 0 & 0xFF000000=0x17000000" -j ACCEPT
但是,当我尝试连接到该特定 ipaddress 时,它不起作用。(数据包被阻止,不会显示在 wireshark 中)
您知道发生这种情况的原因吗并帮助我调试此功能?
注意:要理解上述规则,你可能需要阅读此内容博客
答案1
您应该-s 69.171.230.68用替换-d 69.171.230.68,因为您处于输出链中,而网站是目的地。