[问题求助]疑问：发现string过滤的奇怪现象 [复制链接]

大家好：
          环境：以前做的策略是禁止192.168..0.12.-192.168.0.188 上163的网站，经过测试是好用的！<性病>
                ..   iptables -A URL -p t.cp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --timestop 17:.56 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -m string --string "www.163.com" .-j DROP.

                   现在想先禁止所有的网站，然后打开www..163.c.om健康
                   ipt.ables -A URL -p. tcp -m iprange --src-range .192.168.0.12-192.168.0.188  -j DROP.
                   iptables -I  URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --tim.estop 1.7.:56 --days Sun,Mon,Tue.,.Wed,Thu,Fri,Sat -m string --string "www.163.com" -j ACCEPT           鲜花

结果发现：                              .                  注：我的URL链是.在FORWARD上的，我.的ip:192.168.0.178.
Chain URL (1 re.ferences)健康
pkts bytes target     prot opt in     out     source.           .    destination    .     <性病>
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0  .      .    0.0.0.0./0           source .IP range 192.168.0.12-192.168.0.179 TIME from 7:12 to 17:56 on all days STRING match "w.ww.163.com"
    2    96 DROP       tcp . --  *      *       0.0.0.0/0            0.0.0.0/0           source I.P range 192.168.0..12-192.168..0.188 TIME from 7:12 to 17:56 on all days --------------彩票

我上了www.163.com，但没.上去，.
我的.本意是.想上去163，而其他的网站上不去，但发现匹配的是第二的规则，第一个规则没起任何作用！电脑
不知道为什么，请高手指点！

大家没有什么见解吗？

QUOTE:现在想先禁止所有的网站，然后打开www.163.com

逻辑顺序错误
另外，你这样的做法即使顺序对了也不行，因为，还是逻辑问题

QUOTE:原帖由 platinum 于 2008-1-17 11:34 发表

逻辑顺序错误
另外，你这样的做法即使顺序对了也不行，因为，还是逻辑问题  



什么逻辑顺序？请斑竹再详细的说明一下！

先禁止后怎么再允许？
先把人打死，怎么再让某活着的过去？
这些基础问题任何相关手册里都有说过

谢谢斑竹，在下还有一事不明？
这个道理我也知道，但是想一想我们做iptables的时候不也可以先把连先drop掉，然后精确匹配做打开操作吗？！！不知道这个想法和斑竹的说法有冲突吗？

恰恰相反。
更详细具体的规则通常要放前面。记住规则是顺序匹配的，并且一经匹配后续规则不再匹配。
第一条规则把所有的都DROP了，后面的应用匹配不到。

QUOTE:原帖由 genious588 于 2008-1-17 13:53 发表
这个道理我也知道，但是想一想我们做iptables的时候不也可以先把连先drop掉，然后精确匹配做打开操作吗？！！
if (你说的是 iptables -P INPUT DROP 这句话吗？)

{

    if (你不了解 -P、-A、-I 的具体功能吧？)

        建议你看看基础点的文档

}

else

    谁是这么做的你告诉我
复制代码

QUOTE:原帖由 ssffzz1 于 2008-1-17 16:08 发表
恰恰相反。
更详细具体的规则通常要放前面。记住规则是顺序匹配的，并且一经匹配后续规则不再匹配。
第一条规则把所有的都DROP了，后面的应用匹配不到。



谢谢！请看看我前面写的
   iptables -I  URL -p tcp -m iprange --src-range 192.168.0.12-192.168.0.188 -m time --timestart 07:12 --timestop 17:56 --days Sun,Mon,Tue,Wed,Thu,Fri,Sat -m string --string "www.163.com" -j ACCE
我就是-I啊！它应该不匹配下面的了！但是-A的数据还有增加！

QUOTE:原帖由 platinum 于 2008-1-17 22:05 发表


if (你说的是 iptables -P INPUT DROP 这句话吗？)
{
    if (你不了解 -P、-A、-I 的具体功能吧？)
        建议你看看基础点的文档
}
else
    谁是这么做的你告诉我




首先，谢谢斑竹，我知道肯定是我弄错了，但是不知道什么原因，你说的iptables -P INPUT DROP，对我就是把默认策略全drop
请看：
$IPTABLES -P INPUT  DROP                                            
$IPTABLES -P FORWARD  DROP                                          
$IPTABLES -P OUTPUT  ACCEPT  

我自己定义了很多连，想在INPUT里操作就操作，想在FORWARD操作就操作，并且都好用！