[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ipfilter i blokowanie www przez nazwę dns serwera



On Mon, 6 Feb 2006, Rafał Dąbrowa wrote:
[...] Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT.
Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza
postać :
sprawdzam pingiem IP serwera WWW.money.pl (dostaje: 193.109.91.76) i
powstaje mi reguła : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d
193.109.91.76 -j DENY.
Podawanie IP nie za bardzo mnie urządza, wolałbym podać www.money.pl :
$IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d www.money.pl -j DENY.
Co należy zmienić w konfiguracji jądra, aby można było filtrować podając
nazwę dns a nie IP ? [...]

Nie wiem jakie wymagania chcesz spełnić, ale bez względu na to jak będziesz rozwiązywał nazwę, powinieneś się liczyć z tym, że z jednym adresem ip może być związanych wiele nazw domenowych i chcąc zablokować jedną zablokujesz w powyższy sposób dostęp do wszystkich.

Z drugiej strony jedna nazwa domenowa może być rozwiązywana na wiele adresów ip...

Lepiej poszukaj takiego modułu do iptables, który rozumie warstwę HTTP w szczególności pozwala blokować w oparciu o nagłówek "Host"...

Jeśli było to dla Ciebie jasne, a wymaganiem jest blokowanie IP to sorry za trucie...

Pozdrawiam,
Marek
--
           "Pewnego dnia zostanie szuflada i klisza i cisza na pewno cisza
                                                               zamiast ja"
                                                            Raz, Dwa, Trzy

Reply to: