[решено] Блокировка выхода на сайт с определенного IP [Версия для КПК]

Показать полную графическую версию : [решено] Блокировка выхода на сайт с определенного IP

Vygov

02-10-2008, 11:51

Локальная сеть, контроллер домена 2003 Server, шлюз на FreeBSD 4.10. В качестве файрволла используется ipfw.

Требуется запретить выход на некоторые сайты с определенных серых адресов сети. Через айпишники получается легко, достаточно прописать правило в ipfw.rules. А как сделать, чтобы блокировка шла и по имени сайта?
В etc/hosts добавлял строчку: 127.0.0.1 site1.com. Все равно, сайт загружается. В host.conf стоит сначала hosts, потом bind. Проблему нужно решить стандартными средствами Фри.

Orfan

02-10-2008, 12:23

а блокировать сайт по имени ты собираешься средствами ipfw?

Vygov

02-10-2008, 12:59

Средствами ipfw не получается. Пробую через hosts.

bozordzh

02-10-2008, 13:50

Проблему нужно решить стандартными средствами Фри. »
deny tcp from me to www.rambler.ru - например
лучше делайте прозрачный прокси с режиком (http://rejik.ru/index140.html) очень удобно, или squidguard - тоже клёвая софтинка, (майнтейнера сквидгварда в портах в жопу казнить нада, такой херни понаделал, 3 часа исправлять нада, хотя может и исправил уже)
пысы: у режика базы говносайтов регулярно обовляются, можно не париться самой вбивать, а просто готовые рулесеты сливать и обновлять (можно и руками, что нужно вбивать)

пысы: писала шпаргалку у себя в жж (http://nb-t.livejournal.com/) как это настроить.

Vygov

07-10-2008, 09:51

deny tcp from me to www.rambler.ru - например »

Угу, только перед этим внести сайт в hosts.

лучше делайте прозрачный прокси с режиком очень удобно »

Настроил сквид+режик, действительно, очень удобно, респект за хороший совет.
Еще один ньюанс до снятия вопроса - возможно ли пустить всех пользователей автоматом через сквид, вместо того, чтобы прописывать на каждой машине прокси в браузере?

Dm1try

07-10-2008, 11:22

Можно - transparent proxy.

Vygov

08-10-2008, 10:15

Спасибо. Вопрос решен: rejik+squid(transparent proxy).

wp2

08-10-2008, 14:32

Угу, только перед этим внести сайт в hosts. »
зачем? вроде DNS должен работать в правилах.

Vygov

08-10-2008, 16:03

Не работает. Если требуемый сайт не внести в hosts, ipfw выдает ошибку hostname "такой-то" unknown. Возможно дело в версии Фри?

Dm1try

08-10-2008, 16:17

Настройте кэширующий DNS сервер и заставьте обращаться к DNS-провайдера.
Либо просто укажите DNS-провайдера в reolv.conf.
НО это ИМХО не решит проблемы с сайтами, у которых несколько IP ;)
Почему, потому что rejik - разбирает не заголовки пришедших к нему пактов, а HTTP запрос направляемый к proxy-серверу.

Vygov

08-10-2008, 16:25

Либо просто укажите DNS-провайдера в reolv.conf. »

В resolf.conf DNS провайдера указан.