Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » [iptables] blokowanie konkretnej strony www konkretnemu IP
#1 2010-12-15 12:39:17
urbinek - 
Dzban Naczelny
[iptables] blokowanie konkretnej strony www konkretnemu IP
witam, potrzebuję regułkę do przerutowania zapytań wykonanych przez adres 192.168.1.15/24 ze strony www.allegro.pl na 192.168.1.100:81
dla całej sieci potrafię to przekierować (IP:port -> IP:port) ale nie wiem jak to zrobić dla konkretnego adresu i domeny
A w wolnym czasie, robię noże :)
Offline
#2 2010-12-15 12:53:19
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: [iptables] blokowanie konkretnej strony www konkretnemu IP
Np tak:
Kod:
iptables -I OUTPUT -s 127.0.1.1 -d yahoo.com -j DROP
Adresy IP yahoo:
Kod:
dig yahoo.com .... ;; ANSWER SECTION: yahoo.com. 162 IN A 209.191.122.70 yahoo.com. 162 IN A 67.195.160.76 yahoo.com. 162 IN A 69.147.125.65 yahoo.com. 162 IN A 72.30.2.43 yahoo.com. 162 IN A 98.137.149.56
Iptables zaksięgował to tak:
Kod:
0 0 DROP all -- * * 127.0.1.1 98.137.149.56
0 0 DROP all -- * * 127.0.1.1 72.30.2.43
0 0 DROP all -- * * 127.0.1.1 69.147.125.65
0 0 DROP all -- * * 127.0.1.1 67.195.160.76
0 0 DROP all -- * * 127.0.1.1 209.191.122.70A do przeroutowania użyi PREROUTING z DNAT
czyli coś w stylu:
Kod:
iptables -t nat -I PREROUTING -s 192.168.1.15/24 -d allegro.pl -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:81
Sznurek:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables/akcje
SOA#1
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2010-12-15 13:01:48)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2010-12-15 17:00:54
djjanek - Użytkownik
#4 2010-12-15 19:28:40
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: [iptables] blokowanie konkretnej strony www konkretnemu IP
Primo - allegro czy np nasza-klasa diabelnie rzadko zmieniają adresy IP (rozgłoszenie zmiany DNS trwa kilka godzin, nawet do trzech dni włącznie).
Secundo: skrypt może z crona np co godzinę usuwać i ponownie ładować regułę, technicznie nie ma z tym problemu, choć raczej nie ma to sensu.
Tercio:
Kod:
#!/bin/bash ping -c1 allegro.pl &>/dev/null && exec akcja || echo 'zapora działa'
- gdzie akcja, to restart firewalla lub przeładowanie (usunięcie i ponowne dodanie reguły blokującej allegro)
Można odpalać z crona co np 5 minut.
Proste jak konstrukcja miotły. ;)
Pozdrawiam
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » [iptables] blokowanie konkretnej strony www konkretnemu IP