有人可以帮忙让 iptables 丢弃所有长度为 1006 的数据包吗?
例如:18:33:18.964261 IP 74.209.87.132.3054 > 126.220.67.183.13806:UDP,长度 1006
答案1
您应该使用length匹配。它支持长度范围。
丢弃所有长度为 1006 字节的 UDP 数据包:
iptables -I INPUT -p udp -m length --length 1006 -j DROP
附言
- 显示比赛
iptables -m length --help的简要帮助length。 - 读iptables 教程了解基础知识。
- 其他规则和规则的顺序非常重要。
- 最好使用
iptables-apply规则集来安全地更改(阅读手册)。 - 要排除故障,请检查规则计数器。
- tcpdump 在 iptables 之前捕获传入的数据包。