[+] Blokowanie adresów www - nasza klasa

[raczkowski1]

Witam
Mam zadanie zablokować dostęp do naszej klasy, przez jakiś czas działała regułka shorewalla, niestety ostatnio przestało działać.
Każdy w sieci może wejść na tą stronę, a regułkę mam taką:

Kod: Zaznacz cały

#nasza klasa
REJECT    loc           net:195.93.178.5        all
#allegro.pl
REJECT    loc:192.168.100/24    net:193.23.48.134       all
#fotka.pl
REJECT    loc           net:77.79.219.2 all

Na allegro i fotka działa blokada, ale na naszą klasę można wejść.

Z góry dzięki za pomoc.
Pozdrawiam

[tydell]

Kod: Zaznacz cały

C:\WINDOWS>ping nasza-klasa.pl

Badanie nasza-klasa.pl [195.93.178.6] z użyciem 32 bajtów danych:

Odpowiedź z 195.93.178.6: bajtów=32 czas=970ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=1011ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=995ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=965ms TTL=50

jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)

[LiTE]

Nie można podawać regułek normalnie domenami?

[raczkowski1]

Kod: Zaznacz cały

C:\WINDOWS>ping nasza-klasa.pl

Badanie nasza-klasa.pl [195.93.178.6] z użyciem 32 bajtów danych:

Odpowiedź z 195.93.178.6: bajtów=32 czas=970ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=1011ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=995ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=965ms TTL=50

jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)

ok ale ja mam tak:

Kod: Zaznacz cały

C:\Documents and Settings\Admin>ping nasza-klasa.pl

Badanie nasza-klasa.pl [195.93.178.5] z użyciem 32 bajtów danych:

Odpowiedź z 195.93.178.5: bajtów=32 czas=275ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=346ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=406ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=541ms TTL=58

ale sprawdzę twoje informacje.

Nie można podawać regułek normalnie domenami?

Przez iptables da się no ale nie mam kiedy przekonfigurować serwer.

Pozdrawiam

[ Dodano: 2008-10-09, 11:25 ]

jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)

Dzięki wielkie działą

Pozdrawiam

[mesiu84]

pytałem swego czasu o podobną rzecz, zrób tak:

Kod: Zaznacz cały

route add -host nasza-klasa.pl reject

to załatwi sprawę, jeszcze tylko jakiś skrypcik co by ci po restarcie serwera się nie wykasowały ustawienia, żeby usunąć regułę dajesz:

Kod: Zaznacz cały

route del -host nasza-klasa.pl reject

[raczkowski1]

Dziękuję, tylko pytanie czy jak tak samo dam dla aukcje.onet.pl to czy puści slowniki.onet.pl. Bo te domeny mają to samo IP.

Pozdrawiam

[tydell]

W tym przypadku zacznij blokować za pomocą nazw domen, nie za pomocą IP.

W tamtym przypadku nasza-klasa.pl nie działała Ci, bo dana domena może znajdować się na kilku serwerach (po to aby był do niej dostęp gdyby jedyny serwer wysiadł, działa wtedy drugi).
Stąd nasza-klasa.pl ma np. dwa adresy IP, czyli 195.93.178.5 oraz 195.93.178.6, a być może będą jeszcze jakieś, kto wie.
Więc aby skutecznie przyblokować Naszą Klasę zostaw oba wpisy w regułce.
Tak samo jak na dwóch komputerach w tej samej sieci szuka się tego samego w googlach, na każdym komputerze mogą być trochę odmienne wyniki wyszukiwania, zależy z którym serwerem obsługującym google Cię połączy.

Tak więc czasami wystarcza blokowanie po IP, a czasami domenami tak jak podał mesiu84.

[TooMeeK]

Jak zablokować chomikuj.pl?
Próbowałem:

Kod: Zaznacz cały

${iptables} -A INPUT -s chomikuj.pl -j DROP
${iptables} -A INPUT --source chomikuj.pl -p tcp -j DROP
${iptables} -A FORWARD --source chomikuj.pl -p tcp -j DROP
${iptables} -A FORWARD -s 192.168.0.0/24 -d chomikuj.pl -p tcp -j DROP
route add -host chomikuj.pl reject

Nie działa. Mam co prawda:

Kod: Zaznacz cały

serwer:/home/tomcio# nmap -v chomikuj.pl

Starting Nmap 4.62 ( [url]http://nmap.org[/url] ) at 2009-09-23 11:25 CEST
Initiating Ping Scan at 11:25
Scanning 208.43.223.10 [2 ports]
sendto in send_ip_packet: sendto(5, packet, 40, 0, 208.43.223.10, 16) => Network is unreachable
Offending packet: TCP serwer_IP:33334 > 208.43.223.10:80 A ttl=56 id=41488 iplen=40  seq=776690658 win=1024 ack=1768326155
Sleeping 15 seconds then retrying

chomikuj:/home/tomcio# ping chomikuj.pl
connect: Network is unreachable

Po stronie klienta jest:

Kod: Zaznacz cały

Badanie chomikuj.pl [208.43.223.10] z użyciem 32 bajtów danych:

Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.

Ale po stronie klienta dalej mogę wejść na ten serwis! Nie mam Squida. Historia wyczyszczona w przeglądarce. Pomysły?

[kayo]

http://debian.linux.pl/viewtopic.php?t=16592

[TooMeeK]

Kod: Zaznacz cały

${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 216.239.59.104 --dport 80 -j DNAT --to 208.43.223.10:80

gdzie:

Kod: Zaznacz cały

216.239.59.104 = [url]www.google.pl[/url]
208.43.223.10 = chomikuj.pl

Nie działa.

EDIT:
Eh, gdzie sie człowiek śpieszy, tam się licho cieszy..

Kod: Zaznacz cały

${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 208.43.223.10 --dport 80 -j DNAT --to 216.239.59.104:80

Działa.

[ Dodano: 2009-09-24, 11:15 ]
A tutaj cały kod:

Kod: Zaznacz cały

echo "Blokada roznych serwisow WWW"
#Lista serwisow oddzielona spacjami
LISTA_SERWISOW="193.17.41.95 208.43.223.10"
#193.17.41.95 = wrzuta.pl
#208.43.223.10 = chomikuj.pl
if [ -n "$LISTA_SERWISOW" ]; then
for WWW in ${LISTA_SERWISOW}; do
        ${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ${WWW} --dport 80 -j DNAT --to 216.239.59.104:80
        done
        fi