我试图根据域字符串控制用于 DNS 的 IP 地址。我在带有firewalld的Fedora上并尝试过以下命令:
firewall-cmd --direct --add-rule ipv4 filter PREROUTING 0 -t nat -p udp \
--dport 53 -m string --algo bm --hex-string '|06|<example>|03|<com>|' \
-j DNAT --to-destination a.b.c.d
我确信我使用了正确的十六进制字符串和目标 IP 值。当我列出 nat 表时,规则确实显示出来,但 tcpdump 显示没有目标 IP 的流量。 nat 是正确的表还是我应该使用过滤器?或者可能还有别的什么?
另外,我不知道是否有办法清除尚未标记为 --permanent 的规则。我可能会重新启动,但这似乎没有必要。