[问题求助]能否在网关上实现数据传输只进不出 [复制链接]

我想在网关上实现内网只能获得互联网上的网页和数据而.不能上传超过十个字符.的数据,iptables能否实现?怎样才能实现?请老师赐教!电影

我来回答

呵呵，看一下置顶的IPTABLES帖子。
不建议你用长度来控制。

我说过用应用层网关，但不知道你具体的需求。

to ssffzz1
说的有道理,如果选择合适的限制出去报文的数据量是可以作到阻拦网内只能浏览网页的,请问linux怎么做能作到可以根据报文长度转发报文的,谢谢

QUOTE:原帖由 zhangtm_1 于 2007-5-21 16:06 发表于 6楼  

知道流量是双向的,但比如说浏览网页,从TCP连接来说进来的报文携带数据,而出去的报文只是一个确认回复,
如果向外面传送数据,则出去的报文携带数据,依据这个可以做到把出去的携带数据的报文拦截下来.


这么说也可以，但是有时候出去的包不仅仅是一个确认，譬如浏览网页的时候至少要有HTTP协议的命令信息。这远远的大于了10B个字节。
不过LINUX是可以根据包的长度来转发信息的。但是你要选择好你的包的长度大小。不过这是很困难的，有时候上传数据的包也可以很小。而有时候必须通过的包却很大。


也许你从应用层网关上面考虑可以解决。

iptables做不到这个功能

QUOTE:原帖由 ssffzz1 于 2007-5-21 15:10 发表于 5楼  
时刻要记住，流量永远是双向的。

知道流量是双向的,但比如说浏览网页,从TCP连接来说进来的报文携带数据,而出去的报文只是一个确认回复,
如果向外面传送数据,则出去的报文携带数据,依据这个可以做到把出去的携带数据的报文拦截下来.

时刻要记住，流量永远是双向的。

QUOTE:原帖由 platinum 于 2007-5-21 12:32 发表于 3楼  
获取信息前先要发出获取信息的命令，获取信息的命令往往就远远大于 10bytes 的有效载荷信息长度（payload）

  我以为获取信息的命令都是ICMP类型的报文,可以被区别开来

TCP连接的特性决定了你不能这样做.