iptables: блокування за рядком

[noddeat]

Отже, треба відхиляти всі GET і POST запити, які містять в назві або значеннях змінних певний рядок «badword».

Роблю це отак:

Код: [Вибрати]

iptables -I INPUT -m string --string "badword" --algo bm -j DROP
Проблема: на одних сторінках воно спрацьовує, а на інших ні, і я не можу зрозуміти, чому: в обох випадках стандартна форма, де я в textarea вписую цей badword. Хтось робив взагалі такі штуки, може порадити, як це правильно вписати? І ще цікавить, як порадити з кирилицею (badword = "погане слово")?

[cadca]

Код: [Вибрати]

echo -n "badword" | recode cr..base64?
Для кирилиці можна було б спробувати

Код: [Вибрати]

echo -n "badword" | perl -MURI::Escape -e 'print uri_escape(<>," \x7f-\xff");'

[noddeat]

а навіщо його в base64 перекодовувати?  

Ні, то нічого не дає. Воно в простому вигляді працює. Працює, коли badword є частиною url-а (запит GET), але чомусь не працює в деяких (але не всіх) запитах POST.

[cadca]

Код: [Вибрати]

$ echo -n "погане слово" | perl -MURI::Escape -e 'print uri_escape(<>,"^A-Za-z0-9/");'|sed "s/\%20/\+/g"
%EF%EE%E3%E0%ED%E5+%F1%EB%EE%E2%EE

[noddeat]

ну, це тільки для GET-запитів працює. А POST не працює

[Capitan iptables]

iptables -I INPUT -m string --algo kmp --string vkontakte -j DROP

Юзвері звіріють від такого.

[noddeat]

iptables -I INPUT -m string --algo kmp --string vkontakte -j DROP

Юзвері звіріють від такого.

хехехе  в мене дещо інша задача: зробити так, щоб користувачі сайту не могли відправити допис на форумі з матюками чи іншими словами. На ЛОУ це mod_security робить, але хочу спробувати саме через iptables — так веселіше + ліньки ставити mod_security

[cadca]

Off-topic:

iptables -I INPUT -m string --algo kmp --string vkontakte -j DROP

Юзвері звіріють від такого.

Аж ніяк. Обходиться зразу ж. А от після цього звіріють:

Код: [Вибрати]

$ cat bad_sites.conf    
proxy                              
anonymiser                          
odnoklas+niki                      
Lm9kbm9rbGFz                        
vkontakte                          
dmtvbnRha3Rl                        
vk\.com\/                          
dmsuY29tL                          
L3ZrLmNvb                          
some-domain-01                      
\/st\.cmd                          
login\.some--s1                    
httpssJHudh82                      
my\.mail\.ru                        
love\.                              
mamba\.ru                          
bWFtYmEucnU

По суті справи - може не обходитись суто iptables, а спробувати завернути http-трафік на прозорий проксі і вже там випробовувати нерви юзверів?

[noddeat]

уже розібрався: все працює, крім кирилиці

можна вважати проблему вирішеною, буду шукати інші способи.