V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
rabbutbit
V2EX  ›  OpenWrt

openWRT 如何实现通过识别协议的方式主动 drop 包?

  •  
  •   rabbutbit · 277 天前 · 1221 次点击
    这是一个创建于 277 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近编译了一个新的 wrt 做旁路由,预期功能都已基本实现,就差这一个:

    识别 in 和 out 方向的 ssh 和 rdp(win 远程)协议数据包,然后 drop 或者 reject

    粗略看了可选装的 app 们似乎没有具备这个功能,但总感觉是自己没发现存在这么个东西。找遍 google 问遍 gpt3.5 都没得到合适的答案,基本上都是基本的 iptables 阻断单个端口,遂想问下网友们有没有了解这个的。


    环境:

    • openwrt_x86_v23.11
    • 足够的计算资源&良好的网络条件
    7 条回复    2024-03-25 15:36:38 +08:00
    acrisliu
        1
    acrisliu  
       277 天前 via Android   ❤️ 1
    看看这个能满足不?
    https://github.com/apernet/OpenGFW
    mohumohu
        2
    mohumohu  
       276 天前
    只能抓包然后用-m string --hex-string 模块匹配了吧
    Donaldo
        3
    Donaldo  
       276 天前
    直接用有 DPI 能力的防火墙吧,op 干这个不合适
    billlee
        4
    billlee  
       276 天前
    要可靠实现这个有 TCP 流重组能力,这已经不是内核自带的 netfilter 能做到的了
    flynaj
        5
    flynaj  
       276 天前 via Android
    PrinceofInj
        6
    PrinceofInj  
       276 天前
    你似乎需要的是 L7 防火墙。iptables 貌似可以做。
    kery
        7
    kery  
       251 天前
    不通过端口的话那就需要 DPI 了,给 iptables 写个扩展啥的应该能实现。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2576 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:41 · PVG 18:41 · LAX 02:41 · JFK 05:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.