iptables a modul string
Dalibor Toman
dtoman na fortech.cz
Pátek Červen 13 14:03:39 CEST 2008
DD,
On Friday, June 13, 2008 1:08 PM ,
l.vlcek na noel-plus.cz <l.vlcek na noel-plus.cz> wrote:
> zdravim,
>
> nejak uz na mne pada trudnomyslnost. Nemuzu se dobrat reseni
> nasledujiciho problemu.
>
> Pomoci iptables chci (=musim) presmerovat nektere webove pozadavky,
> ktere by radi uzivatele na jine stranky, ktere chce zase veleni.
> Takze jsem si sestudoval, ze pro tyto ucely sepouziva cil DNAT.
> Tento
> lze umistit pouze v tabulce NAT a retezcich OUTPUT a PREROUTING.
> OK, zatim dobry.
> Kdyz jsem ale chtel pouzit i modul string pro filtrovani
> pozadovanych
> textu (stringu), tak mi to proste nechce fungovat.
>
> Zadam-li pravidla:
>
> $ipt -t nat -A OUTPUT -p tcp -m string --algo bm --string
> abclinuxu.cz -j DNAT --to-destination "$LocRedir"
> $ipt -t nat -A OUTPUT -j ACCEPT
>
> normalne se mi vlozi do tablulky nat a retezce OUTPUT (pro lokalni
> uzivatele toho stroje...)
tahle to nepujde udelat. Je treba presmerovat cele TCP spojeni - jenze
v dobe kdy prijde prvni _datovy_ packet od klienta (HTTP hlavicka) je
jiz spojeni navazano s nejakym WWW serverem - uprostred komunikace
jej neni mozne presmerovat jinam
Bud je nutne tento pozadavek vedeni vymluvit nebo ho realizovat pomoci
nejake proxy (treba transparentni - pak neni treba klientum nastavovat
prohlizece aby proxy pouzivaly)
Zdravi
D. Toman
Fortech s.r.o.
Další informace o konferenci Linux