centos Firewall 禁止某个域名下载超过10M的文件

1. 安装 iptables

在 CentOS 中，我们可以通过命令安装 iptables：

yum install iptables

2. 创建新的规则文件

我们可以在 /etc/sysconfig/iptables 中创建一个新的规则文件。

vim /etc/sysconfig/iptables

在文件中添加以下规则：

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

# 允许所有的本地连接
-A INPUT -i lo -j ACCEPT

# 允许已经建立的连接，以及反向连接
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 允许 SSH 连接
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

# 允许 HTTP 连接
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

# 允许 HTTPS 连接
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

# 禁止下载超过10M的文件
-A OUTPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m length --length 0:10485760 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m length --length 10485761: -j DROP

# 默认禁止所有其他连接
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j DROP

COMMIT

这个规则文件中包括了允许本地连接、已经建立的连接、SSH 连接、HTTP 连接和 HTTPS 连接，以及禁止下载超过10M的文件。

3. 重启 iptables

保存并关闭文件后，我们需要重启 iptables 以使新规则生效。

systemctl restart iptables

现在，你的 CentOS 防火墙已经禁止了某个域名下载超过10M的文件