利用iptables防火墙，可以禁止服务器访问某个网站，或文件等，可以屏蔽奈飞（ipv6网址，），可以屏蔽油管。

目的：解决既不想关闭ipv6功能，又能让Netflix禁用ipv6（Netflix优先使用ipv6的，所以设置ipv4优先不能解决v6不解锁奈飞的情况）

原理：一般iptables自带的都有string模块，这个模块的作用就是匹配字符串，匹配到泛域名的URL，然后就把数据包抛弃，就实现了屏蔽泛域名的功能。ipv6的ip6tables命令于v4基本相同。

方法

以下规则是屏蔽以xx.com为主的所有一级、二级、三级等域名。

#添加屏蔽规则
iptables -A OUTPUT -m string --string "xx.com" --algo bm --to 65535 -j DROP

#删除屏蔽规则，上面添加的代码是甚么样，那末删除的代码就是把-I改成-D 
iptables -D OUTPUT -m string --string "xx.com" --algo bm --to 65535 -j DROP

命令详解：

-A
#添加iptables规则；
-D
#删除iptables规则（把添加防火墙规则时期码中的-A改成-D便可删除添加的规则）；
-m string
#指定模块；
--string "xx.com"
#指定要匹配的字符串(域名、关键词等)；
--algo bm
#指定匹配字符串模式/算法（还有一种更复杂的算法：kmp）；
--to 65535
#指定端口，这里代表所有端口（1⑹5535）；
-j DROP
#指匹配到数据包后处理方式，这里是抛弃数据包。

这个模块的作用就是匹配字符串，这个字符串可以是URL、普通文本、文件后缀（后二者时，如果目标网站启用了GZIP类紧缩算法，就会没法过滤匹配，毕竟都紧缩了）。

比如：.zip，就会把包括.zip的数据库抛弃，这样就会没法下载.zip类型的文件了！

本文转载自：https://www.moerats.com/archives/524/

iptables命令学习网址：https://hezhiqiang.gitbook.io/linux/ming-ling/iptables

桂}哥}网}络www.gUIgege.cn

TikTok千粉号购买平台：https://tiktokusername.com/