nftable 规则在重新连接时失效（VDSL，ppp0）

Question

Tomato

Asked: 2020-01-15 12:29:28 +0800 CST2020-01-15 12:29:28 +0800 CST 2020-01-15 12:29:28 +0800 CST

nftables 支持字符串匹配支持

iptables 可以按字符串匹配数据包。

dns 示例：

iptables -A INPUT -i eth0 -p udp --dport 53 -m string --hex-string "|09|proxypipe|03|net" --algo bm -j DROP

如何在 nftables 中执行这样的匹配？

tie · Answer 1 · 2020-02-04T09:17:23+08:00

Best Answer

tie

使用 nftables，您可以使用原始有效负载表达式语法（在此处记录）来匹配基于位块内容的数据包。

因此，阻止查询的规则proxypipe.net如下所示：

meta l4proto udp udp dport 53 @th,160,120 0x0970726f787970697065036e657400 counter drop comment "block queries for proxypipe.net"

以上将从传输标头 ( ) 的第 160 位开始获取 120 位的数据，@th并将它们与十六进制等效|09|proxypipe|03|net

请注意，与 iptables 版本不同，上面的内容只会匹配proxypipe.net数据包中的固定位置。这意味着它不会阻塞foobar.proxypipe.net或任何其他子域。