我正在使用CentOS 5.8(最终),内核2.6.18-308.8.2,iptables v1.3.5
我想要阻止一个HTTP POST / GET请求到外部匹配POST / GET有效载荷中的一个string(定义为ABCxyz)。 我尝试通过向iptables添加以下规则来阻止传出的HTTP GET请求
iptables -I OUTPUT -p tcp --dport 443 -m string --string 'GET / HTTP/1.1' --algo bm -j DROP 我不知道为什么当我运行curl命令时,它仍然有效:
curl https://website.com
它应该像我的想象一样受阻
你有什么想法吗?
HTTPS请求使用驻留在证书中的服务器公钥进行encryption。 encryption数据只能用只有证书所有者才能访问的私钥解密。 即使这样,如果你有私钥,你仍然必须让iptables使用它来解密stream量,然后检查它。 iptables不是你想要实现的正确工具,你应该看一下HTTPS代理。 请记住,在某些司法pipe辖区这是非法的。