使用iptables过滤运营商劫持
通过检查TCP标识位和TTL iptables -A input_rule -p tcp -m tcp --tcp-flags FIN,PSH,ACK FIN,PSH,ACK -m u32 --u32 "5&0xff=60:63" -j DROP iptables -A input_rule -p tcp -m tcp --tcp-flags FIN,PSH,ACK FIN,PSH,ACK -m u32 --u32 "5&0xff=124:127" -j DROP iptables -A input_rule -p tcp -m tcp --tcp-flags...标签: iptables
解决openwrt的iptables不走filter表
最近用iptables过滤运营商的302劫持时发现在filter表添加的过滤规则对回应包无效,经搜索,发现是openwrt为提高性能,默认将net.netfilter.nf_conntrack_skip_filter内核参数设置为了1,导致回应包不走filter表。 解决措施:修改/etc/sysctl.conf,将net.netfilter.nf_conntrack_skip_filter的值修改为0,运行sysctl -p重新加载配置文件后规则生效标签: iptables
标签
分类
