V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xseal
V2EX  ›  问与答

请问如何用 Routeros 的 L7 匹配 gfw 返回的假 ip?

  •  
  •   xseal · 2014-07-26 23:02:40 +08:00 · 1648 次点击
    这是一个创建于 3772 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如ip:59.24.3.173 用L7表达:\x3B\x18\x03\xAD

    在ros的防火墙里 input forward prerouting都试过,没有包被匹配.其他条件,目标端口53,udp协议我觉得不会弄错.伸手求个范例!

    我只是个体育工作者啊!快被正则逼疯了.

    谢谢.
    6 条回复    2014-07-27 20:08:35 +08:00
    tjmao
        1
    tjmao  
       2014-07-26 23:57:37 +08:00 via iPhone
    不应该是源端口53吗?
    xseal
        2
    xseal  
    OP
       2014-07-27 00:25:00 +08:00
    @tjmao

    谢谢,改成源端口后有数据包被匹配了.但是连正确的返回的都没了

    C:\Users\Solomon>nslookup youtube.com
    服务器: google-public-dns-a.google.com
    Address: 8.8.8.8

    DNS request timed out.
    timeout was 2 seconds.
    DNS request timed out.
    timeout was 2 seconds.
    DNS request timed out.
    timeout was 2 seconds.
    DNS request timed out.
    timeout was 2 seconds.
    *** 请求 google-public-dns-a.google.com 超时

    在开启规则的情况下我又查询了baidu发现baidu可以正确返回.
    tjmao
        3
    tjmao  
       2014-07-27 00:32:19 +08:00 via iPhone
    多试几次。查不到的可能是丢包丢掉了,也可能是上游设备在劫持查询。我自己用iptables写的规则,含26条DROP,经测试,完全正常。
    kurtrossel
        4
    kurtrossel  
       2014-07-27 00:41:25 +08:00   ❤️ 1
    眼含热泪,以后终于可以拍着胸脯对别人说,我的程序是体育老师教的了
    xseal
        5
    xseal  
    OP
       2014-07-27 01:05:18 +08:00
    @tjmao 首先谢谢巨巨,请问有没有可能是返回包的其他部分也含有要过滤得字符串呢。我看到用iptables的教程是指定从60-180字节开始匹配,而不是匹配整个包。
    luahou
        6
    luahou  
       2014-07-27 20:08:35 +08:00
    不能直接匹配源地址ip?难道正值表达式比较快速?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2080 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.