iptables能实现对tcp payload中的特定内容进行过滤吗？

ilrainyday

orphen猜的很准哦，学校用的是web认证是一个叫“深澜软件 ”公司的东西（www.srun.com）。的确用的是squid+NAT的方式，没有做DNS的代理，因为我们被要求填入具体的DNS的地址。再具体的我也不知道了，毕竟我也不是网络中心的人。

你的意思我与baidu.com的3次握手的包也是经过了redirection，并由代理服务器转发的？我一直没有注意到这一点(squid我只是略有所知)。看了一下TTL，的确相差甚远，正常的应该是54.不过我觉得应该不能说是“伪造”，只能说是"转发(forward)".

按照我对squid的理解，我觉得可能是这样：

   host <--------> NAT BOX <----------->ROXY <-------->  INTERNET

在outbound方向，所有dport=80的traffic都被NAT（似乎用的是iptables) forward到了proxy。在inbound方向，所有的traffic应该都是由proxy再forward，这里应该是修改了TTL。

后来我把那个伪造的redirection的包给过滤掉了，还是没用。web代理应该是发了一个双向的FIN。

不妥之处，orphen多指点指点~~

orphen

其实我感觉就是做了一个7层代理服务。
将所有发往80的包REDIRECT到代理端口，就是透明代理。
也就是说，并不是这个代理软件在中间对于你和baidu.com的数据包进行了操作。
而是你根本没有与baidu.com进行了直接的连接。
也就是说，你发送的URL被发送到了代理服务，然后代理服务于baidu.com进行连接，发送/接受http报文，再将报文发送到你。
而在这个代理过程中，必然对你有一个认证机制，如果没有通过认证的话，应该就是会发送那个Redireting包，使你跳转到192.168.3.1的页面进行认证。
所以你DROP掉那个包的话，应该也没什么用，仅仅是阻止了到192.168.3.1的跳转。

orphen

我觉得你应该做以下几个方面的测试：
1.确认是否仅对于WWW服务进行了代理，什么样的数据包不需要进行代理就允许通过。
2.认证系统的认证机制，IP？账号？MAC？还是其他什么？
3.同一账号（如果是以账号认证的话），是否可以重复认证。
4.每一次认证的有效期是多久？
5.192.168.3.1还开启了什么服务？

通过以上信息的确认，可以明确下一步的突破方向。

PS.我只是提出建议，责任自负:p

wutuo

很精彩，受益了！

yuanbo203

帮顶一下,很不错

SCys

一次Hack網絡活動.
一次生動的講課.
繼續關注.
---
如果是通過這樣說,是否找出非代理點和生存周期才是突破點嗎?
---