Проблемы с модулем string компонента iptables

[baytuch]

Добрый день. Возникла проблема с фильтрацией пакетов по содержимому. Стояла задача ограничить подключения по 53 порту по критерию «доменное имя». Обнаружил довольно подозрительную активность на машине. После недолгого гугления нашел решение, но, как выяснилось, применить цепочку не удается из-за ошибки.

Код: Выделить всё

iptables: Invalid argument. Run `dmesg' for more information.

Вроде сам модуль присутствует:

Код: Выделить всё

# cat /proc/net/ip_tables_matches
string
string
owner
limit
owner
hashlimit
hashlimit
recent
length
ttl
tcpmss
multiport
multiport
tos
tos
dscp
state
icmp
udplite
udp
tcp

Доменное имя: doleta.gov
Применяемая цепочка:

Код: Выделить всё

iptables -I INPUT 1 -p udp --dport 53 -m string --algo kmp --hex-string "|06 64 6f 6c 65 74 61 03 67 6f 76 00|" -j REJECT

Тобишь, отбрасывать udp/ip пакеты, в который содержится упоминание об это зоне.

У меня уже этой ерунды на 25 мег. накрутило
* http://savepic.ru/6011346.png

Код: Выделить всё

# ls -l  messages
-rw-r--r-- 1 root root 27064895 Сен 27 01:39 messages

Пока просто ограничил количество запросов за единицу времени, добавив несколько приоритетных цепочек, но это больше костыль, чем решение...

* * * * * * *

Жесть, за час отсеяло 16Мб пакетов:

[baytuch]

Теперь все работает
Большое спасибо специалистам хостинга за решение моей проблемы