netfilter：丢弃具有 IP 选项的数据包

iptables包括u32match 方法，它允许对数据包有效负载进行一些按位（但不是任意算术）操作、范围比较和一些类似指针的间接操作以匹配条件：

u32

U32 测试从数据包中提取的最多 4 个字节的数量是否具有指定值。提取内容的规范足以从 tcp 标头或有效负载中找到给定偏移量的数据。

它有自己的子语言语法，需要检查手册中的语法和示例。

IHL是 IP 标头大小（以 32 位块而不是字节为单位）并且是标头中前 32 位的一部分（4 位用于版本，IPv4 值为 0x04，后跟 4 位用于 IHL），因此，如果有没有选项，这个大小应该是最小大小：20（字节）/4（每 32 位字的字节数）所以 IHL = 5（32 位字）。我不会处理 IHL < 5 的无效情况，IPv4 堆栈应该已经解决了这个问题。

这转化为：

• 取前 32 位值
• 为国际人道法部分掩盖它
• 将其移动 24 位
• 将相等性与 5 进行比较（!在匹配时反转结果）

因此，要使用iptables丢弃此类传入数据包：

iptables -A INPUT -m u32 ! --u32 '0 & 0x0F000000 >> 24 = 5' -j DROP

没有反转（匹配 6 或更大）：

iptables -A INPUT -m u32 --u32 '0 & 0x0F000000 >> 24 = 6:0xF' -j DROP

手册有一个类似的例子，它被移动了 24 位，然后乘以 4（所以只移动了 22 位）以获得字节而不是 32 位字（因为u32稍后使用的指针使用 8 位地址），以检索第 4 层有效载荷并继续进行进一步操作：

... 0 >> 22 & 0x3C @ 0 >> 24 = 0"

第一个 0 表示读取字节 0-3，>>22 表示向右移动 22 位。移动 24 位将给出第一个字节，因此只有 22 位是该字节的四倍加上更多位。&3C 然后消除右侧的两个额外位和第一个字节的前四位。例如，如果 IHL=5，那么 IP 报头是 20 (4 x 5) 字节长。
[...]

给予 OP 的案例：

iptables -A INPUT -m u32 ! --u32 '0 >> 22 & 0x3C = 20' -j DROP

没有反转（并且不关心第一个可能的值不是 21 而是 24 也不关心确切的最大值，只要给定的值更大）：

iptables -A INPUT -m u32 --u32 '0 >> 22 & 0x3C = 21:0xFF' -j DROP

第一种方法可以简化为：

• 取前 32 位值
• 为国际人道法部分掩盖它
• 将相等性与 (5<<24) 进行比较，即与 0x05000000 进行比较（同上）

给予：

iptables -A INPUT -m u32 ! --u32 '0 & 0x0F000000 = 0x05000000' -j DROP

或者：

iptables -A INPUT -m u32 --u32 '0 & 0x0F000000 = 0x06000000:0x0F000000' -j DROP

甚至：

• 取前 32 位值
• 将值与 0x45000000 和 0x45FFFFFF 之间的范围进行比较以表示 OK（IPv4始终以 4 开头，并且 IHL 部分之后的任何值都将被忽略）或在 0x46000000 和 0x4FFFFFFF 之间的范围内表示不OK。

给予：

iptables -A INPUT -m u32 ! --u32 '0 = 0x45000000:0x45FFFFFF' -j DROP

或者：

iptables -A INPUT -m u32 --u32 '0 = 0x46000000:0x4FFFFFFF' -j DROP

选择您的选择。