ipfilter i blokowanie www przez nazwę dns serwera
Witam ! Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT. Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza postać : sprawdzam pingiem IP serwera WWW.money.pl (dostaje: 193.109.91.76) i powstaje mi reguła : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d 193.109.91.76 -j DENY. Podawanie IP nie za bardzo mnie urządza, wolałbym podać www.money.pl : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d www.money.pl -j DENY. Co należy zmienić w konfiguracji jądra, aby można było filtrować podając nazwę dns a nie IP ? Pozdrawiam Rafal
Re: ipfilter i blokowanie www przez nazwę dns serwera
On Mon, 6 Feb 2006, Rafał Dąbrowa wrote: [...] Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT. Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza postać : sprawdzam pingiem IP serwera WWW.money.pl (dostaje: 193.109.91.76) i powstaje mi reguła : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d 193.109.91.76 -j DENY. Podawanie IP nie za bardzo mnie urządza, wolałbym podać www.money.pl : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d www.money.pl -j DENY. Co należy zmienić w konfiguracji jądra, aby można było filtrować podając nazwę dns a nie IP ? [...] Nie wiem jakie wymagania chcesz spełnić, ale bez względu na to jak będziesz rozwiązywał nazwę, powinieneś się liczyć z tym, że z jednym adresem ip może być związanych wiele nazw domenowych i chcąc zablokować jedną zablokujesz w powyższy sposób dostęp do wszystkich. Z drugiej strony jedna nazwa domenowa może być rozwiązywana na wiele adresów ip... Lepiej poszukaj takiego modułu do iptables, który rozumie warstwę HTTP w szczególności pozwala blokować w oparciu o nagłówek Host... Jeśli było to dla Ciebie jasne, a wymaganiem jest blokowanie IP to sorry za trucie... Pozdrawiam, Marek -- Pewnego dnia zostanie szuflada i klisza i cisza na pewno cisza zamiast ja Raz, Dwa, Trzy
Re: ipfilter i blokowanie www przez nazwę dns serwera
Rafał Dąbrowa napisał(a): Podawanie IP nie za bardzo mnie urządza, wolałbym podać www.money.pl : $IPTABLES -I FORWARD -p tcp -s 10.0.0.10 -d www.money.pl -j DENY. Co należy zmienić w konfiguracji jądra, aby można było filtrować podając nazwę dns a nie IP ? Nie można. I ma to sens. Gdybyś podał nazwę, dla każdego pakietu, który przechodzi przez tę regułę musiałoby się odbywać rozwiązywanie odwrotne nazwy. A to bardzo głupi pomysł. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ipfilter i blokowanie www przez nazwę dns serwera
witam :) Dnia 06-02-2006, pon o godzinie 17:17 +0100, Marek Wyrzykowski napisał(a): Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT. Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza Jeśli dobrze zrozumiałem słowo strona, to zapewne chodzi Tobie o zablokowanie dostępu do serwera www. W takim przypadku zamiast bawić się w zgadywanie adresów IP, proponuje użyć filtrowania na wyższym poziomie (ciekawy zwrot :-) ), czyli squida. jest jeszcze opcja ze sprawdzaniem zawartosci pakietu przez ipfilter po ciagach znakow. mozesz np. starac sie filtorwac ruch dns'owy w ten sposob. ale jest to dosyc 'uciazliwa' funkcja w tym wypadku. blokujesz po prostu pakiety z okreslona zawartoscia. mysle ze rzeczywisice cos a'la squid bedzie tutaj lepszy a moj pomysl tak rzucam zebys mial w czym wybierac ;) pozdrawiam isdes -- Kliknij po wiecej! http://link.interia.pl/f18ed -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ipfilter i blokowanie www przez nazwę dns serwera
Dnia 06-02-2006, pon o godzinie 20:51 +0100, Marek Barczyk napisał(a): On Mon, Feb 06, 2006 at 12:20:41PM +0100, Rafał Dąbrowa wrote: Witam ! Mam skonfigurowanego firewalla w oparciu o ipfilter i SNAT. Chcę zablokować dostęp do konkretnej strony np. www.money.pl. Najprostsza postać : Można też spróbować firewalla 'firestarter' w trybie o zgrozo :-) graficznym dodajesz regułę deny connection to host w zakładce policy i tyle. -- -Robert Pankowecki vel rupert- http://www.robert.c-f-h.com gg:1716969 || skype:kryptofiles || [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]