openWRT 如何实现通过识别协议的方式主动 drop 包?

2024-02-28 17:38:21 +08:00
 rabbutbit

最近编译了一个新的 wrt 做旁路由,预期功能都已基本实现,就差这一个:

识别 in 和 out 方向的 ssh 和 rdp(win 远程)协议数据包,然后 drop 或者 reject

粗略看了可选装的 app 们似乎没有具备这个功能,但总感觉是自己没发现存在这么个东西。找遍 google 问遍 gpt3.5 都没得到合适的答案,基本上都是基本的 iptables 阻断单个端口,遂想问下网友们有没有了解这个的。

环境:

1604 次点击
所在节点    OpenWrt
7 条回复
acrisliu
2024-02-28 17:43:23 +08:00
看看这个能满足不?
https://github.com/apernet/OpenGFW
mohumohu
2024-02-28 20:27:51 +08:00
只能抓包然后用-m string --hex-string 模块匹配了吧
Donaldo
2024-02-28 20:41:10 +08:00
直接用有 DPI 能力的防火墙吧,op 干这个不合适
billlee
2024-02-28 21:05:24 +08:00
要可靠实现这个有 TCP 流重组能力,这已经不是内核自带的 netfilter 能做到的了
flynaj
2024-02-29 08:04:43 +08:00
https://github.com/destan19/OpenAppFilter
需要第三方软件
PrinceofInj
2024-02-29 12:01:41 +08:00
你似乎需要的是 L7 防火墙。iptables 貌似可以做。
kery
2024-03-25 15:36:38 +08:00
不通过端口的话那就需要 DPI 了,给 iptables 写个扩展啥的应该能实现。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1019212

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX