iptables – блокировка по разным признакам

Запрет на скачивание больших файлов

модуль: connbytes

iptables -A FORWARD -m connbytes --connbytes 100000 -j REJECT

примечание: теперь все TCP сессии более 100 Кбайт будут «обрезаны», необходимо добавить исключения для протоколов типа ssh, обычные «долгоживущие» чаты и т.п.

Запрет по содержимому заголовка пакета

модуль: string

iptables -A FORWARD -m string --string "X-Kazaa-" -j REJECT

Запрет по MAC-адресу

модуль: mac

iptables -A FORWARD -m mac --mac-source "00:11:22:33:44:55" -j REJECT

Запрет по времени

модуль: time

iptables -A FORWARD -m time --datestart 2007-01-01T17:00 --datestop 2007-01-01T23:59:59 -j REJECT