Блокування небажаних url за допомогою iptables, stepanoff home network

Блокування небажаних url за допомогою iptables, stepanoff home network

Далі власне приклади блокування з невеликим поясненням. Реалізовано все на основі patch-o-matic, доповнення до iptables від Netfilter. Використовуємо модуль string для досягнення мети.

Перший приклад, маємо машинку-шлюз для локальної мережі, там створюємо правило для блокування наприклад ресурсу vkontakte.ru виглядати це буде так


iptables -A FORWARD -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP

Всі запити користувачів використовують дану машину як шлюз зазнають невдачі при спробі відкрити сайт безпосередньо або через проксі, так само не буде працювати ресурс і через веб проксі.


iptables -A INPUT -m string --string "vkontakte.ru" --algo kmp --to 65535 -j DROP

А яким чином можна зробити окремий файл зі списком заборонених урлов, а айпітаблес брало б дані з нього?

було б непогано….

HOSTS = `/ bin / grep -v '#' / etc / temporary_access / denied_hosts`
for i in $ HOSTS; do
iptables -t filter -A FORWARD -m string -string «$ i» -algo kmp -to 65535 -p tcp -dport 80 -j DROP
done

Непогане рішення, eric.

Таке питання: як зробити так, щоб пакети не Дропана, а перенаправлялись на інший сайт.
iptables -t nat -A PREROUTING -m string -string «noname.ru» -algo kmp -to 65535 -p tcp -dport 80 -j DNAT -to-destination 213.180.204.8 не допомагає, а
iptables -t nat -A PREROUTING -d noname.ru -p tcp -dport 80 -j DNAT -to-destination 213.180.204.8 не врятує, якщо народ полізе через проксі

«Користувачі не зможуть окрить сторінки зі згадуванням заблокованих ресурсів»

З якоїсь причини пошукові системи відповідають на запит, наприклад, «torrents.r» текстом, що містить torrents.ru. На сервері писав
iptables -A FORWARD -m string -string «torrents.ru» -algo kmp -to 65535 -j DROP

Stepanoff, допоможи, плз. Народ повинен працювати, а не сидіти в контакті. Вони - команда.

Вирізати всім кому особливо не потрібен інтернет все сайти СКВИДов, залишити тільки потрібні. Кому треба весь, або багато, порізати айпітейблес. Не думаю що по роботі можуть стати в нагоді сайти зі згадуванням торрентс.ру. Відкриватися вони не будуть, це іноді псує картину від використання даних правил. Насправді, простіше навпаки нічого не закривати, а просто пустити весь трафік через сквид, і вважати хто скільки часу проводить на сайтах не мають відношення до роботи, потім переводимо час в гроші з зарплати, віднімаємо. Через пару місяців ніхто не захоче сидіти там якщо наприклад за годину на сайті вконтакте доведеться віддати 500-1000 рублів. Я працював в одній конторі, там все було відкрито, але гіг трафіку не по роботі коштував 100 $, і всі сайти які ти відвідував бачить твій начальник, і в кінці місяця він просто запитає тебе, а що ти робив на тому то сайті? Знаючи це нікуди лізти не хотілося. А чим більше ти будеш намагатися закрити ці сайти тим більше люди зроблять спроб потрапити на них.

[...] D-Link Packet Content ACL, модуль string для iptables, iptables L7-Filter, перші версії Cisco [...]

Leave a Reply

You must be logged in to post a comment.