module-http-whitelist

#1. 创建自定义链

# IP 白名单
iptables -N whitelist_network

# HTTP 头
iptables -N http_header

# 域名白名单
iptables -N whitelist_host

#2. 匹配 IP 白名单匹配

# 访问 TCP 协议 80 端口的包进入 whitelist_network 链
iptables -A INPUT -p tcp --dport 80 -j whitelist_network

# 放行指定网络的包，不做任何过滤
iptables -I whitelist_network -p tcp -s 8.8.8.8/24 -j ACCEPT

# 包进入 http_header 链
iptables -A whitelist_network -p tcp -j http_header

#3. 匹配 HTTP 包

# 匹配包内容里面的 "Host:" 字符串，并进入 whitelist_host 链
iptables -I http_header -p tcp -m string --string "Host:" --algo bm -j whitelist_host

# 不是 HTTP 包，直接放行
iptables -A http_header -p tcp -j ACCEPT

#4. 匹配域名白名单匹配

# 匹配 HTTP 头中 "Host: " 之后的字符串，比如 "Host: abc.com"
iptables -I whitelist_host -p tcp -m string --string "abc.com" --algo bm -j ACCEPT
iptables -I whitelist_host -p tcp -m string --string "www.abc.com" --algo bm -j ACCEPT
iptables -I whitelist_host -p tcp -m string --string "123.456.798.test.abc.com" --algo bm -j ACCEPT
iptables -I whitelist_host -p tcp -m string --string "123.com" --algo bm -j ACCEPT
iptables -I whitelist_host -p tcp -m string --string ".123.com" --algo bm -j ACCEPT

# 不在域名白名单中的域名，无法访问 80 端口
iptables -A whitelist_host -p tcp -j DROP

$ sudo mkdir /etc/http_whitelist
$ sudo touch /etc/http_whitelist/host  /etc/http_whitelist/network

abc.com
www.abc.com
123.456.798.test.abc.com
123.com
*.123.com

0.0.0.0/0
1.1.1.1/1
2.2.2.0/24
8.8.8.8
8.8.4.4

$ git clone https://github.com/fifilyu/module-http-whitelist.git
$ cd module-http-whitelist
$ make

加载模块后，会有如下日志：

卸载模块后，会有如下日志：