Blokowanie stron na serwerze

qbsiu · Post autor: **qbsiu** » 07 czerwca 2008, 10:28

Witam!
Wczoraj postawiłem serwer na Debianie w szkole... (okolo 100-200kompów - ciężko mi jest dokładnie powiedzieć). Popatrzyłem na ruch sieciowy i w 90% to były jakieś gry-online (flash...), fotki, youtube, itp... Reszte stanowiły - poczta, google i zwykłe strony.
Niby wszystko okej, ale to jest tylko neostrada 6mb... Czasami chodzi jak krew z nosa... Już i ograniczyłem przepływ pakietów do 100-150 (na pracownie do 800) jednak i tak sieć jest zamulona. Gdy tylko poblokowałem przez iptables stronki internet gwałtownie przyspieszył :-). Teraz moje pytanie jak zrobić, by użytkownik wchodząc na np. fotka.pl dostał informację, że ta strona jest zablokowana?
Czytałem coś o squidzie, ale to odpada.
Z góry dziękuję i pozdrawiam!
Aha... Oczywiście moje blokowanie przez iptables odpada... Nie wiem czy tak powinno być, czy nie, ale wchodząc np. na serwis, który ma reklamy chociażby fotki - to już nie odpali. I nawet jeśli zablokuję stronkę przez iptables to użytkownik wchodzący non-stop odświeża stronę - bo nie dostaje odpowiedzi od serwisu, a tak jak otrzyma informację, że strona jest zablokowana, da sobie spokój! :-) (taka już natura ludzka).

tomii · Post autor: **tomii** » 07 czerwca 2008, 10:37

można poprzez zainstalowanie dodatkowego serwera http(zstronna informacyjna) i przekierowania uzytkownika na ten serwer.

qbsiu · Post autor: **qbsiu** » 07 czerwca 2008, 10:53

tomii pisze:można poprzez zainstalowanie dodatkowego serwera http(zstronna informacyjna) i przekierowania uzytkownika na ten serwer.

Mógłbyś powiedzieć dokładniej jak? Jakąś regułką?
Aktualnie blokuje strony iptablesem:

Kod: Zaznacz cały

iptables -A INPUT -i eth0 -s ogame.pl -j DROP

kayo · Post autor: **kayo** » 07 czerwca 2008, 13:16

qbsiu pisze: Czytałem coś o squidzie, ale to odpada.

Dlaczego nie chcesz postawic squida? znaczaco ci poprawi ruch sieciowy a i latwiej bedziesz mogl blokowac strony np przy pomocy squidguarda.

tomii · Post autor: **tomii** » 07 czerwca 2008, 13:17

moze to pomoże link

Post autor: **Yampress** » 07 czerwca 2008, 13:38

kayo pisze:Dlaczego nie chcesz postawic squida? znaczaco ci poprawi ruch sieciowy a i latwiej bedziesz mogl blokowac strony np przy pomocy squidguarda.

squida da sie przejsc

zadna rewelacja blokujaca.

Czocher · Post autor: **Czocher** » 07 czerwca 2008, 15:24

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -d [adres IP blokowanej strony] -s [adres serwera strony]/[skrót maski serwera strony np. 24 dla 255.255.255.0] -p tcp --dport 80 -j DNAT --to [adres serwera strony]

1. Instalujesz jakiś lekki serwer http na serwie (np. httpd lub lighttpd)
2. Dołączasz powyższą regułkę do firewalla zmieniając informacje w nawiasach kwadratowych na odpowiadające twojej sytuacji.
3. Tworzysz stronę informacyjną w "/var/www/index.html".

qbsiu · Post autor: **qbsiu** » 07 czerwca 2008, 15:42

Czocher, dzięki wielkie! O to mi dokładnie chodziło :-) Próbowałem coś takiego napisać, ale ciągle nie działało :-)
Jeszcze jedno pytanie opłaca się dawać regułki z connlimit?
na starym serwerze, który się sypał ktoś porobił około 200 linijek z takimi wpisami:

Kod: Zaznacz cały

iptables -t filter -I FORWARD -p tcp -s 192.168.0.2 -m connlimit --connlimit-above 100 -j DROP

Szukałem troszkę na google, ale za dużo nie widziałem o tym connlimicie... Może ktoś z tego korzysta i wyjaśni co i jak :-)
Na chwile obecną nie mam dostępu do manuala :/

Post autor: **Yampress** » 07 czerwca 2008, 19:01

connlimit - iptables connlimit matchAuthor: Gerd Knorr <kraxel@bytesex.org>
Status: ItWorksForMe[tm]

This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).

Examples:

# allow 2 telnet connections per client host
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around:
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 \
--connlimit-mask 24 -j REJECT

kayo · Post autor: **kayo** » 07 czerwca 2008, 22:04

Czocher pisze:
Kod: Zaznacz cały
iptables -t nat -A PREROUTING -d [adres IP blokowanej strony] -s [adres serwera strony]/[skrót maski serwera strony np. 24 dla 255.255.255.0] -p tcp --dport 80 -j DNAT --to [adres serwera strony]
1. Instalujesz jakiś lekki serwer http na serwie (np. httpd lub lighttpd)
2. Dołączasz powyższą regułkę do firewalla zmieniając informacje w nawiasach kwadratowych na odpowiadające twojej sytuacji.
3. Tworzysz stronę informacyjną w "/var/www/index.html".

Tyle ze ten sposob dziala za dobrze w przypadku serwerow wirtualnych... blokujesz rowniez te strony ktore sa na tym samym serwerze mimo ze nie sa one niechciane

Yampress pisze:squida da sie przejsc
zadna rewelacja blokujaca.

kazdy sposob da sie obejsc... kwestia czasu i nakladu srodkow

Blokowanie stron na serwerze

Blokowanie stron na serwerze

Re: Blokowanie stron na serwerze