Re: [Lug-bg] iptables blocklist
- Subject: Re: [Lug-bg] iptables blocklist
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Tue, 4 Sep 2007 12:47:47 +0300
On Tue, Sep 04, 2007 at 10:43:50AM +0300, Georgi Alexandrov wrote:
> Bozhidar Maramski wrote:
> > Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен
> > Избивай си го или си го набивай на друго място
>
> Мерси за поздравите, много си учтив. Наистина е по-добре да се занимаваш
> с двигатели с вътрешно горене. Малко обяснения:
>
> <snip>
> >>> Наистина е така:
>
> Кое наистина е така?
>
> >>>
> >>> -h' or 'iptables --help' for more information.
> >>> iptables v1.3.6: host/network `myfirstorgasm.org' not found
> >>> Try `iptables -h' or 'iptables --help' for more information.
> >>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found
> >>> Try `iptables -h' or 'iptables --help' for more information.
> >>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found
> >>> Try `iptables -h' or 'iptables --help' for more information.
> >>> iptables v1.3.6: host/network `zooskool.com' not found
> >>> Try `iptables -h' or 'iptables --help' for more information.
> >>> iptables v1.3.6: host/network `zooskool.com' not found
>
> Това не можеш ли да си го преведеш? Това което се опитваш да направиш с
> iptables по принцип работи на layer 3, а не както си мислиш ти. Т.е.
> iptables ще направи проверка за 'A' ресурсните записи за zooskool.com и
> според правилото което си извикал ако намери такива (а те ще
> представляват ip адреси) те ще се предадат на netfilter кода в кърнела.
> Ако не намери ще ти върне горното съобщение за грешка защото нищо повече
> не може да направи. Няма смисъл да обясняваме колко unreliable е това
> решение.
>
> Пример (като за децата в училище):
>
> pn@dell:~$ dig +short yahoo.com
> 66.94.234.13
> 216.109.112.135
> pn@dell:~$ sudo iptables -A FORWARD -d yahoo.com -p tcp --dport 80 -j DROP
> pn@dell:~$ sudo iptables -t filter -nL FORWARD
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> DROP tcp -- 0.0.0.0/0 66.94.234.13 tcp dpt:80
> DROP tcp -- 0.0.0.0/0 216.109.112.135 tcp dpt:80
> pn@dell:~$ sudo iptables -A FORWARD -d nonexistant-domain-name.com -p
> tcp --dport 80 -j DROP
> iptables v1.3.6: host/network `nonexistant-domain-name.com' not found
> Try `iptables -h' or 'iptables --help' for more information.
> pn@dell:~$
>
>
> >>>
> >>> Та как да вкарам /etc/blacklist файла в iproute ?
> <snip>
>
> pn@dell:~$ for i in `dig +short $(cat /tmp/blacklist)`; do sudo ip r a
> prohibit $i; done
Само като идея - хората и xargs са измислили :)
xargs dig +short < /tmp/blacklist | sudo xargs -n 1 ip route add prohibit
> pn@dell:~$ ip r | grep prohibit
> prohibit 17.254.3.183
> prohibit 64.4.32.7
> prohibit 64.4.33.7
> prohibit 207.46.30.34
> pn@dell:~$
>
>
> Съвсем друг е въпроса, че тези работи дето ги пишем по-нагоре са пълна
> глупост. Това което се опитваш да направиш не се прави с layer3 филтър а
> с proxy и/или content filter (както вече ти го казаха). Било то squid,
> squid+dansguardian, squid+squidguard и т.н. Решения много.
Виж, тук съм съгласен - макар че за content филтрите ще трябва човек да
се сблъска с новаторската идея, че Интернет не е само WWW и да мисли как
да филтрира и другите използвани протоколи... но все пак филтриране на
база blacklisting на IP адресите *само на конкретните имена на хостове* е
малко безсмислено, най-малкото заради това, че така може и да успееш да
блокираш трафик до zooskool.com, ама какво правиш с new.zooskool.com
например? :)
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxx roam@xxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
Nostalgia ain't what it used to be.
Attachment:
pgpV0GHJgctKk.pgp
Description: PGP signature
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|