>>> 此贴的回复 >> l7-filter 的匹配不是很准的,他能匹配到一部分,但不能匹配全部 因此按照这个逻辑来讲 iptables -t filter -A FORWARD -s 192.168.0.100 -m layer7 -l7proto qq -j ACCEPT iptables -t filter -A FORWARD -m layer7 -l7proto qq -j DROP 是错误的
>>> 此贴的回复 >> iptables -t filter -A FORWARD -s 192.168.0.100 -m layer7 -l7proto qq -j ACCEPT iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter -A FORWARD -m layer7 -l7proto qq -j DROP
这样试试? 这样也许可以将返回的与 qq 相关的数据包也一起保护起来,不至于全局阻断的时候被牵连