Re: [Lug-bg] iptables blocklist
- Subject: Re: [Lug-bg] iptables blocklist
- From: Georgi Alexandrov <georgi.alexandrov@xxxxxxxxx>
- Date: Tue, 04 Sep 2007 10:43:50 +0300
Bozhidar Maramski wrote:
> Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен
> Избивай си го или си го набивай на друго място
Мерси за поздравите, много си учтив. Наистина е по-добре да се занимаваш
с двигатели с вътрешно горене. Малко обяснения:
<snip>
>>> Наистина е така:
Кое наистина е така?
>>>
>>> -h' or 'iptables --help' for more information.
>>> iptables v1.3.6: host/network `myfirstorgasm.org' not found
>>> Try `iptables -h' or 'iptables --help' for more information.
>>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found
>>> Try `iptables -h' or 'iptables --help' for more information.
>>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found
>>> Try `iptables -h' or 'iptables --help' for more information.
>>> iptables v1.3.6: host/network `zooskool.com' not found
>>> Try `iptables -h' or 'iptables --help' for more information.
>>> iptables v1.3.6: host/network `zooskool.com' not found
Това не можеш ли да си го преведеш? Това което се опитваш да направиш с
iptables по принцип работи на layer 3, а не както си мислиш ти. Т.е.
iptables ще направи проверка за 'A' ресурсните записи за zooskool.com и
според правилото което си извикал ако намери такива (а те ще
представляват ip адреси) те ще се предадат на netfilter кода в кърнела.
Ако не намери ще ти върне горното съобщение за грешка защото нищо повече
не може да направи. Няма смисъл да обясняваме колко unreliable е това
решение.
Пример (като за децата в училище):
pn@dell:~$ dig +short yahoo.com
66.94.234.13
216.109.112.135
pn@dell:~$ sudo iptables -A FORWARD -d yahoo.com -p tcp --dport 80 -j DROP
pn@dell:~$ sudo iptables -t filter -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 66.94.234.13 tcp dpt:80
DROP tcp -- 0.0.0.0/0 216.109.112.135 tcp dpt:80
pn@dell:~$ sudo iptables -A FORWARD -d nonexistant-domain-name.com -p
tcp --dport 80 -j DROP
iptables v1.3.6: host/network `nonexistant-domain-name.com' not found
Try `iptables -h' or 'iptables --help' for more information.
pn@dell:~$
>>>
>>> Та как да вкарам /etc/blacklist файла в iproute ?
<snip>
pn@dell:~$ for i in `dig +short $(cat /tmp/blacklist)`; do sudo ip r a
prohibit $i; done
pn@dell:~$ ip r | grep prohibit
prohibit 17.254.3.183
prohibit 64.4.32.7
prohibit 64.4.33.7
prohibit 207.46.30.34
pn@dell:~$
Съвсем друг е въпроса, че тези работи дето ги пишем по-нагоре са пълна
глупост. Това което се опитваш да направиш не се прави с layer3 филтър а
с proxy и/или content filter (както вече ти го казаха). Било то squid,
squid+dansguardian, squid+squidguard и т.н. Решения много.
--
regards,
Georgi Alexandrov
key server - pgp.mit.edu :: key id - 0x37B4B3EE
Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE
Attachment:
signature.asc
Description: OpenPGP digital signature
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|