我正在尝试配置一个防火墙,根据内容阻止或更改数据包的目的地,具体而言 - 对某些主机上某些页面的HTTP请求(是的,这是另一个“很棒的防火墙”)。 我没有阻塞问题,它很简单:
iptables -A FORWARD -m string --string "Host: www.host.com" --algo bm -j DROP
问题在于更改目标地址。它只能在nat表中的PREROUTING链中使用。但是像
这样的规则iptables -t nat -A PREROUTING -m string --string "Host: www.host.com" --algo bm -j DNAT --to-destination 1.2.3.4
永远不会触发。 我试图在mangle表中的PREROUTING链中标记数据包,并在nat / PREROUTING中检查标记。数据包已标记但从未在nat / PREROUTING中捕获。
我做错了什么(当然除了这一切)?