用IPTables实现字符串模式匹配

　　转化的iptables规则：

　　1、iptables -A SnortRules -p udp -s $EXTERNAL_NET -d $HOME_NET --dport 518 -m

　　string --string " è" -j LOG --log-prefix "SID313 " # "EXPLOIT ntalkd x86

　　linux overflow" bugtraq,210 classtype:

　　attempted-admin sid:313

　　2、iptables -A SnortRules -p tcp -s $EXTERNAL_NET -d $HOME_NET --dport 53 -m

　　string --string "«Í .a" -j LOG --log-prefix "

　　SID303 " # "EXPLOIT named tsig infoleak" cve,CAN-2000-0010 bugtraq,2302

　　arachnids,482 classtype:attempted-admin sid:303

　　3、iptables -A SnortRules -p udp -s $EXTERNAL_NET -d $HOME_NET --dport 635 -m

　　string --string "^° ‰ þȉF ° ‰F" -j LOG --log-prefix " cve-CVE-1999-0002

　　" # "EXPLOIT x86 linux mountd overflow" classtype:attempted-admin sid:315

　　显而易见，上面的转化使用了针对漏洞所使用的缓冲区溢出字符串作为捕获攻击的方式，有些规则不便于转化主要是因为在桢的控制方面snort比iptables要强大一点。

　　总之，iptables的字符串模式匹配功能能够被用来保护那些开放了易受攻击的而一般的包过滤又无法保护的网络服务（如WWW服务，mail服务， DNS服务，FTP服务等）的组织的网络（如果将它布置在组织的网关上）和单个的主机（使iptables成为主机的一部分），另外，iptables的字符串模式匹配功能还能够帮助实现强制安全策略，即通过关键字来阻止访问非法的内容。