Re: ipfilter i blokowanie www przez nazwę dns serwera
On Mon, 6 Feb 2006, Rafał Dąbrowa wrote:
[...] Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT.
Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza
postać :
sprawdzam pingiem IP serwera WWW.money.pl (dostaje: 193.109.91.76) i
powstaje mi reguła : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d
193.109.91.76 -j DENY.
Podawanie IP nie za bardzo mnie urządza, wolałbym podać www.money.pl :
$IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d www.money.pl -j DENY.
Co należy zmienić w konfiguracji jądra, aby można było filtrować podając
nazwę dns a nie IP ? [...]
Nie wiem jakie wymagania chcesz spełnić, ale bez względu na to jak
będziesz rozwiązywał nazwę, powinieneś się liczyć z tym, że z jednym
adresem ip może być związanych wiele nazw domenowych i chcąc zablokować
jedną zablokujesz w powyższy sposób dostęp do wszystkich.
Z drugiej strony jedna nazwa domenowa może być rozwiązywana na wiele
adresów ip...
Lepiej poszukaj takiego modułu do iptables, który rozumie warstwę HTTP w
szczególności pozwala blokować w oparciu o nagłówek "Host"...
Jeśli było to dla Ciebie jasne, a wymaganiem jest blokowanie IP to sorry
za trucie...
Pozdrawiam,
Marek
--
"Pewnego dnia zostanie szuflada i klisza i cisza na pewno cisza
zamiast ja"
Raz, Dwa, Trzy
Reply to: