主页 / server / 问题 / 1113928
Accepted
Masood Lapeh
Asked: 2022-10-25 18:28:41 +0800 CST

iptables:无法丢弃包含特定 IP 地址的传入 DNS 响应

  • 772

我想删除包含10.10.34.35. 我怎样才能做到这一点?

我试过这样:

iptables -I INPUT -m udp -p udp --sport 53 -m string --algo kmp --hex-string '|31 30 02 31 30 02 33 34 02 33 35|' -j DROP

但它根本不会丢弃它们,我仍然会收到它们。然而,简单地iptables -I INPUT -m udp -p udp --sport 53 -j DROP阻止所有来自端口 53 的它们,但我想选择其中包含的一部分10.10.34.35作为响应。

domain-name-system iptables

1 个回答

  1. Best Answer

    首先,DNS 使用 UDPTCP。

    其次,A 记录的有线表示在 RFC 1035 中定义如下:

    3.4.1. A RDATA format

    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |                    ADDRESS                    |
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

where:

ADDRESS         A 32 bit Internet address.

    因此,当您尝试匹配时,IPv4 地址不会编码为字符串,而是编码为 32 位整数,因此值为 10、10、34、35

    • 4

相关问题