V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
v1p
V2EX  ›  问与答

iptables 如何屏蔽代理访问?

  •  
  •   v1p · 2014-10-17 10:59:27 +08:00 · 3315 次点击
    这是一个创建于 3722 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个明确为采集的IP段,用iptables屏蔽了(iptables -I INPUT -s 123.123.123.0/24 -j DROP)

    现在在nginx日志里发现这个IP段又改为使用代理访问,日志的 $http_x_forwarded_for 字段显示了已经DROP的这个IP段

    请教,如何用iptables屏蔽这种通过代理访问的源地址
    6 条回复    2014-10-17 17:19:59 +08:00
    rex1901
        1
    rex1901  
       2014-10-17 12:16:50 +08:00
    squid的acl可以指定header:
    acl deny_ip req_header X-Forwarded-For 123\.123\.123\..*
    http_access deny deny_ip
    v1p
        2
    v1p  
    OP
       2014-10-17 12:27:39 +08:00 via Android
    @rex1901 nginx也可以,但还是用iptables效率高啊
    jasontse
        3
    jasontse  
       2014-10-17 13:19:36 +08:00 via Android
    @v1p
    应用层协议处理不适合交给 iptables
    v1p
        4
    v1p  
    OP
       2014-10-17 13:39:07 +08:00
    @jasontse 我是想知道iptables如何能够屏蔽这种代理访问
    lsylsy2
        5
    lsylsy2  
       2014-10-17 13:41:48 +08:00
    @v1p 没办法,因为TCP/IP层看不到$http_x_forwarded_for
    goter
        6
    goter  
       2014-10-17 17:19:59 +08:00 via iPhone
    iptables -A FORWARD -m string --string "mp3" -s ! 192.168.1.0/24 -j DROP lz可以试试 看看速度怎么样 会不会有误判
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4085 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:27 · PVG 13:27 · LAX 21:27 · JFK 00:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.