URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92890
[ Назад ]

Исходное сообщение
"iptables запрет части сайтов средствами фаерволла"

Отправлено core , 17-Янв-12 14:03 
Доброе время суток
есть скрипт, который банит некоторые сайты(вконтакте одноклассники итд) делал по статье
И вроди бы все работает, но
если пытаешься открыть какойто сайт на котором есть баннер одного из забаненных сайтов(например вконтакте) то этот сайт не открывается.

Собственно сам скрипт:
#!/bin/bash
set +x
lan="192.168.1.0/24"
lan2="192.168.0.0/24"
inet="eth1"
BLACKLIST="/root/blacklist.url"
if [ -z "`iptables -n -L | grep -i "chain check_ip"`" ]; then iptables -N check_ip; fi
if [ -f $BLACKLIST ];
then
iptables -F check_ip;
iptables -I FORWARD 1 -s $lan -o $inet -j check_ip
iptables -I FORWARD 2 -s $lan2 -o $inet -j check_ip
iptables -A check_ip -s 192.168.1.98 -o eth1 -j ACCEPT
cat $BLACKLIST | while read line
do
echo -e "${line}"
iptables -A check_ip -d "${line}" -j DROP
done
iptables -A check_ip -j RETURN
fi


Содержание

Сообщения в этом обсуждении
"iptables запрет части сайтов средствами фаерволла"
Отправлено reader , 17-Янв-12 14:28 
>[оверквотинг удален]
> iptables -I FORWARD 1 -s $lan -o $inet -j check_ip
> iptables -I FORWARD 2 -s $lan2 -o $inet -j check_ip
> iptables -A check_ip -s 192.168.1.98 -o eth1 -j ACCEPT
> cat $BLACKLIST | while read line
> do
> echo -e "${line}"
> iptables -A check_ip -d "${line}" -j DROP
> done
> iptables -A check_ip -j RETURN
> fi

а если REJECT , а не DROP


"iptables запрет части сайтов средствами фаерволла"
Отправлено core , 17-Янв-12 14:30 
>[оверквотинг удален]
>> iptables -I FORWARD 2 -s $lan2 -o $inet -j check_ip
>> iptables -A check_ip -s 192.168.1.98 -o eth1 -j ACCEPT
>> cat $BLACKLIST | while read line
>> do
>> echo -e "${line}"
>> iptables -A check_ip -d "${line}" -j DROP
>> done
>> iptables -A check_ip -j RETURN
>> fi
> а если REJECT , а не DROP

Эффект аналогичен.


"iptables запрет части сайтов средствами фаерволла"
Отправлено anonymous , 17-Янв-12 16:10 
>[оверквотинг удален]
> iptables -I FORWARD 1 -s $lan -o $inet -j check_ip
> iptables -I FORWARD 2 -s $lan2 -o $inet -j check_ip
> iptables -A check_ip -s 192.168.1.98 -o eth1 -j ACCEPT
> cat $BLACKLIST | while read line
> do
> echo -e "${line}"
> iptables -A check_ip -d "${line}" -j DROP
> done
> iptables -A check_ip -j RETURN
> fi

А если squid, squidGuard и блэклист?) Прозрачная прокся с заворотом http-траффика на нее.
Вы гвозди микроскопом забиваете, имхо.


"iptables запрет части сайтов средствами фаерволла"
Отправлено кегна , 17-Янв-12 18:55 
> А если squid, squidGuard и блэклист?) Прозрачная прокся с заворотом http-траффика на
> нее.
> Вы гвозди микроскопом забиваете, имхо.

Согласен с вами. Именно микроскопом)) И именно гвозди)

Я ещё где то видел что банят iptables-ом по информации из whois по поводу сетей этих товарищей (контакты/однокласники)

Но лучше велосипед не изобретать ;-)


"iptables запрет части сайтов средствами фаерволла"
Отправлено anonymous , 17-Янв-12 23:09 
>> А если squid, squidGuard и блэклист?) Прозрачная прокся с заворотом http-траффика на
>> нее.
>> Вы гвозди микроскопом забиваете, имхо.
> Согласен с вами. Именно микроскопом)) И именно гвозди)
> Я ещё где то видел что банят iptables-ом по информации из whois
> по поводу сетей этих товарищей (контакты/однокласники)
> Но лучше велосипед не изобретать ;-)

Часто лень и кажется излишним ставить squid и  squidGuard из-за бана пару десятков ip.


"iptables запрет части сайтов средствами фаерволла"
Отправлено core , 18-Янв-12 17:37 
>[оверквотинг удален]
>> cat $BLACKLIST | while read line
>> do
>> echo -e "${line}"
>> iptables -A check_ip -d "${line}" -j DROP
>> done
>> iptables -A check_ip -j RETURN
>> fi
> А если squid, squidGuard и блэклист?) Прозрачная прокся с заворотом http-траффика на
> нее.
> Вы гвозди микроскопом забиваете, имхо.

C сквидом както не сложилось, в силу того что во первых есть специфические пробросы одной внутренней сети в другую, во вторых есть по которое не работает через прокси, даже если его настраиваю как прозрачный прокси.


"iptables запрет части сайтов средствами фаерволла"
Отправлено Andrey Mitrofanov , 19-Янв-12 09:31 
>>> iptables -A check_ip -j RETURN
>> А если squid, squidGuard и блэклист?) Прозрачная прокся с заворотом http-траффика на
>> нее.
>> Вы гвозди микроскопом забиваете, имхо.

Кста, https://opensource.conformal.com/wiki/adsuck -- аналогично из раздела Необычное. Для тех :) , у кого --

> C сквидом както не сложилось, в силу того что