|
呵呵....這個問題要請教學長們IPATBLES的小技巧了....小弟想先說明一下小弟這幾天 MSN 測試的心得....啊不過如果有誤還請指正....^^
MSN 的通訊埠是 1863 埠,如果我們阻擋了 1863 埠,MSN又會自動去連線下面這些 server 的 80 埠,baym-gw(X).msgr.hotmail.com => X 的範圍是0~50 ,也就是
baym-gw1.msgr.hotmail.com = 207.46.110.1
baym-gw2.msgr.hotmail.com = 207.46.110.2
baym-gw3.msgr.hotmail.com = 207.46.110.3
baym-gw4.msgr.hotmail.com = 207.46.110.4
.....................
所以我們要完全阻擋 MSN,可以索性也把目的地是 207.46.110.0/24 的 80 埠封包全部封掉,不過....呵呵呵...小弟有一個壞心的想法
大致是這樣的,當我們連線上 MSN ,則必須要先連到 baym-gw(X).msgr.hotmail.com 其中一台,但這僅止於 MSN上線
如果要跟另一個人通訊,就必須又跟另一台 baym-gw(X).msgr.hotmail.com 做連線
也就是說,先封住所有1863 port 連線,在連上 MSN 之後,立刻檔掉所有跟207.46.110.0/24建立新連線的封包
那麼USER就會掛在MSN上但是發出去的訊息對方全部收不到,大致上是這樣......
所以小弟的問題是...iptables不知道可不可以做到限制對某一個網段的建立一個連線呢.....小弟現在都是等 USER 上線之後給他下
/sbin/iptables -A FORWARD -m state --state NEW -p tcp -m mac --mac-source 00:0D:87:71:xx:xx -d 207.46.110.0/24 --dport 80 -j DROP
/sbin/iptables -A FORWARD -m state --state NEW -p udp -m mac --mac-source 00:0D:87:71:xx:xx -d 207.46.110.0/24 --dport 80 -j DROP
不過每次都要等他上線才能下有點麻煩...小弟試過限封包數,限封包狀態(ESTABLISHED),只允許連線特定 MSN gate way 主機,都沒成功....
想向學長們請一下....,小弟如果想讓特定主機對某個網段只能建立一個連線,其他連線一律 DROP 掉,使用IPTABLES可以做到嗎?
|
登入
註冊
問答集
搜尋
