https://www.opennet.me/openforum/vsluhforumID3/1995.html Следующие правила блокируют прохождение пакетов, данные в которых содержат подстроку virus.exe<br>и ведут лог пакетов с строкой secret внутри:<br>iptables -A INPUT -m string --string "secret" -j LOG --log-level info --log-prefix "SECRET"<br>iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "virus.exe"<br># Block Code Red<br>iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"<br># Block Nimda<br>iptables -I INPUT -j DROP -p tcp -m string --string "root.exe"<br>iptables -I INPUT -j DROP -p tcp -m string --string "default.ida"<br><br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/231.shtml<br><br> https://www.opennet.me/openforum/vsluhforumID3/1995.html#10 Mon, 25 Mar 2019 11:17:30 GMT Заметил процесс ksoftirqd стал жрать ЦПУ<br> https://www.opennet.me/openforum/vsluhforumID3/1995.html#9 Mon, 25 Mar 2019 10:15:36 GMT С такими правилами указал однин запрет, у меня утром на работе интернет стал зависать. После удаления строчки блокировки vk.com интернет заработал нормально<br> https://www.opennet.me/openforum/vsluhforumID3/1995.html#8 Sun, 08 Feb 2015 05:42:07 GMT Для CentOS 6 подошел такой вариант фильтра:<br>iptables -A INPUT -p tcp --dport 80 -m string --string "MJ12bot" --algo kmp -j DROP <br>заблокировать бота MJ12bot<br> https://www.opennet.me/openforum/vsluhforumID3/1995.html#7 Sun, 24 Sep 2006 16:25:55 GMT Перечень алгоритмов, поддерживаемых функцией поиска подстрок, реализованных ядре, можно получить так :<br>(находясь в корне исходников ядра)<br>ls lib &#124; sed -nr 's/^ts_([^\.]+)\.c$/\1/p'<br><br>Описания алгоритмов:<br>fsm: A naive finite state machine text search approach<br>bm: Boyer-Moore text search implementation<br>kmp: Knuth-Morris-Pratt text search implementation https://www.opennet.me/openforum/vsluhforumID3/1995.html#6 Sun, 24 Sep 2006 16:05:00 GMT Работает так:<br>iptables -I INPUT -p tcp --sport 80 --dport 1024: -m string --algo kmp --string linux -j DROP<br>Только что проверял - OpenNet с этим правилом действительно не грузится :) https://www.opennet.me/openforum/vsluhforumID3/1995.html#5 Sun, 24 Sep 2006 16:03:53 GMT Работает так:<br>iptables -I INPUT -p tcp --sport 80 --dport 1024: -m string --algo kmp --string linux -j DROP https://www.opennet.me/openforum/vsluhforumID3/1995.html#4 Sun, 24 Sep 2006 16:02:21 GMT Вы не поверите, но algo - это и в самом деле алгоритм! Например, kmp - это алгоритм Кнута-Мориса-Пратта, bm - наверное, Бойера-Мура. Только непонятно, каким образом об этом должен узнать пользователь?<br>Я эти ценные сведения почерпнул из lib/textsearch.c, но это же догадаться ещё надо туда залезть! https://www.opennet.me/openforum/vsluhforumID3/1995.html#3 Sun, 24 Sep 2006 15:45:32 GMT У меня тот же вопрос. Что это ещё за algo такое??? https://www.opennet.me/openforum/vsluhforumID3/1995.html#2 Thu, 19 Jan 2006 16:23:29 GMT У меня iptables 1.3.4 и kernel-2.6.14. Приведенные правила не срабатывают. Iptables требует определить опцию --algo (алгоритм), но какой алгоритм я не знаю? В файле libipt_string.c определено несколько опций для STRING match: --from Offset to start searching from;<br>--to Offset to stop serching;<br>--algo Algorithm;<br>--string [!] string строка в пакете;<br>--hex-string [!] string строка в шестнадцатиричном виде. Может кто знает, что задать в опции algo?