Strona 1 z 2
[+] Blokowanie adresów www - nasza klasa
: 08 października 2008, 15:53
autor: raczkowski1
Witam
Mam zadanie zablokować dostęp do naszej klasy, przez jakiś czas działała regułka shorewalla, niestety ostatnio przestało działać.
Każdy w sieci może wejść na tą stronę, a regułkę mam taką:
Kod: Zaznacz cały
#nasza klasa
REJECT loc net:195.93.178.5 all
#allegro.pl
REJECT loc:192.168.100/24 net:193.23.48.134 all
#fotka.pl
REJECT loc net:77.79.219.2 all
Na allegro i fotka działa blokada, ale na naszą klasę można wejść.
Z góry dzięki za pomoc.
Pozdrawiam
: 09 października 2008, 09:12
autor: tydell
Kod: Zaznacz cały
C:\WINDOWS>ping nasza-klasa.pl
Badanie nasza-klasa.pl [195.93.178.6] z użyciem 32 bajtów danych:
Odpowiedź z 195.93.178.6: bajtów=32 czas=970ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=1011ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=995ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=965ms TTL=50
jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)
: 09 października 2008, 09:48
autor: LiTE
Nie można podawać regułek normalnie domenami?
: 09 października 2008, 10:21
autor: raczkowski1
tydell pisze:Kod: Zaznacz cały
C:\WINDOWS>ping nasza-klasa.pl
Badanie nasza-klasa.pl [195.93.178.6] z użyciem 32 bajtów danych:
Odpowiedź z 195.93.178.6: bajtów=32 czas=970ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=1011ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=995ms TTL=50
Odpowiedź z 195.93.178.6: bajtów=32 czas=965ms TTL=50
jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)
ok ale ja mam tak:
Kod: Zaznacz cały
C:\Documents and Settings\Admin>ping nasza-klasa.pl
Badanie nasza-klasa.pl [195.93.178.5] z użyciem 32 bajtów danych:
Odpowiedź z 195.93.178.5: bajtów=32 czas=275ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=346ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=406ms TTL=58
Odpowiedź z 195.93.178.5: bajtów=32 czas=541ms TTL=58
ale sprawdzę twoje informacje.
Nie można podawać regułek normalnie domenami?
Przez iptables da się no ale nie mam kiedy przekonfigurować serwer.
Pozdrawiam
[ Dodano: 2008-10-09, 11:25 ]
tydell pisze:
jak widzisz zmienił się adres IP serwisu nasza-klasa stąd Twoja regułka nie działa chwilowo
dodaj adres 195.93.178.6 do regułki i będzie ok (teraz masz 195.93.178.5)
Dzięki wielkie działą
Pozdrawiam
: 10 października 2008, 01:02
autor: mesiu84
pytałem swego czasu o podobną rzecz, zrób tak:
to załatwi sprawę, jeszcze tylko jakiś skrypcik co by ci po restarcie serwera się nie wykasowały ustawienia, żeby usunąć regułę dajesz:
: 10 października 2008, 10:29
autor: raczkowski1
Dziękuję, tylko pytanie czy jak tak samo dam dla aukcje.onet.pl to czy puści slowniki.onet.pl. Bo te domeny mają to samo IP.
Pozdrawiam
: 12 października 2008, 19:58
autor: tydell
W tym przypadku zacznij blokować za pomocą nazw domen, nie za pomocą IP.
W tamtym przypadku nasza-klasa.pl nie działała Ci, bo dana domena może znajdować się na kilku serwerach (po to aby był do niej dostęp gdyby jedyny serwer wysiadł, działa wtedy drugi).
Stąd nasza-klasa.pl ma np. dwa adresy IP, czyli 195.93.178.5 oraz 195.93.178.6, a być może będą jeszcze jakieś, kto wie.
Więc aby skutecznie przyblokować Naszą Klasę zostaw oba wpisy w regułce.
Tak samo jak na dwóch komputerach w tej samej sieci szuka się tego samego w googlach, na każdym komputerze mogą być trochę odmienne wyniki wyszukiwania, zależy z którym serwerem obsługującym google Cię połączy.
Tak więc czasami wystarcza blokowanie po IP, a czasami domenami tak jak podał mesiu84.
: 23 września 2009, 11:27
autor: TooMeeK
Jak zablokować
chomikuj.pl?
Próbowałem:
Kod: Zaznacz cały
${iptables} -A INPUT -s chomikuj.pl -j DROP
${iptables} -A INPUT --source chomikuj.pl -p tcp -j DROP
${iptables} -A FORWARD --source chomikuj.pl -p tcp -j DROP
${iptables} -A FORWARD -s 192.168.0.0/24 -d chomikuj.pl -p tcp -j DROP
route add -host chomikuj.pl reject
Nie działa. Mam co prawda:
Kod: Zaznacz cały
serwer:/home/tomcio# nmap -v chomikuj.pl
Starting Nmap 4.62 ( [url]http://nmap.org[/url] ) at 2009-09-23 11:25 CEST
Initiating Ping Scan at 11:25
Scanning 208.43.223.10 [2 ports]
sendto in send_ip_packet: sendto(5, packet, 40, 0, 208.43.223.10, 16) => Network is unreachable
Offending packet: TCP serwer_IP:33334 > 208.43.223.10:80 A ttl=56 id=41488 iplen=40 seq=776690658 win=1024 ack=1768326155
Sleeping 15 seconds then retrying
chomikuj:/home/tomcio# ping chomikuj.pl
connect: Network is unreachable
Po stronie klienta jest:
Kod: Zaznacz cały
Badanie chomikuj.pl [208.43.223.10] z użyciem 32 bajtów danych:
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Odpowiedź z 192.168.0.1: Host docelowy jest nieosiągalny.
Ale po stronie klienta dalej mogę wejść na ten serwis! Nie mam Squida. Historia wyczyszczona w przeglądarce. Pomysły?
: 23 września 2009, 12:22
autor: kayo
: 24 września 2009, 10:55
autor: TooMeeK
Kod: Zaznacz cały
${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 216.239.59.104 --dport 80 -j DNAT --to 208.43.223.10:80
gdzie:
Kod: Zaznacz cały
216.239.59.104 = [url]www.google.pl[/url]
208.43.223.10 = chomikuj.pl
Nie działa.
EDIT:
Eh, gdzie sie człowiek śpieszy, tam się licho cieszy..
Kod: Zaznacz cały
${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d 208.43.223.10 --dport 80 -j DNAT --to 216.239.59.104:80
Działa.
[ Dodano: 2009-09-24, 11:15 ]
A tutaj cały kod:
Kod: Zaznacz cały
echo "Blokada roznych serwisow WWW"
#Lista serwisow oddzielona spacjami
LISTA_SERWISOW="193.17.41.95 208.43.223.10"
#193.17.41.95 = wrzuta.pl
#208.43.223.10 = chomikuj.pl
if [ -n "$LISTA_SERWISOW" ]; then
for WWW in ${LISTA_SERWISOW}; do
${iptables} -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 -d ${WWW} --dport 80 -j DNAT --to 216.239.59.104:80
done
fi