- Linux
- Системне адміністрування
- Iptables
На роботі надійшла завдання заблокувати кілька сайтів vk, fb, youtube, ітд. і якщо чесно, я думав що з цими завданнями цілком може впоратися iptables але так як я працюю трохи в іншій області з мережевим адмініструванням я стикаюся дуже мало.
Що є на даний момент
Ubuntu server 12.04
eth0 - зовнішній інтерфейс
inet addr: 94.159.48.42
eth1 - внутрішній інтерфейс
inet addr: 192.168.0.250
На серевер налаштований кидок ІНТЕА і ще пари портів + невеликий фаєрвол.
Що я пробував:
блок
#iptables -A FORWARD -m string --string "vk.com" --algo kmp --to 65535 -j DROP
Розблокування для mac
#iptables -A FORWARD -m mac --mac-source b8: 8d: 12: 0f: 32: 90 -m string --string "vk.com" --algo kmp --to 65535 -j ACCEPT
Тут все неплохохо, але! Якщо відкрити сайт на якому тусуєтеся віджет контакту - він буде тупити а може і не відкриється.
Якщо обійти DNS і стукати по кешу DNS то доступ є.
Для вирішення проблеми Блоч пул ip vk
#iptables -A FORWARD -s 95.142.200.0/21 -j DROP
.
так це розблокуємо для mac
#iptables -A FORWARD -m mac --mac-source b8: 8d: 12: 0f: 32: 90 -s 95.142.200.0/21 -j ACCEPT
.
Якщо виконати ті ж фокуси з youtube то він веде себе взагалі дуже дивно :)
Найголовнішим мінусом такого підходу є факт того що сторонні сайти з віджетами заблокованих сайтів туплять.
Я вже третій день перелопачую свої правила iptables але ніяк не можу добитися потрібного:
- Заблокувати кілька сайтів (бажано по домену) для болше маси машин в мережі.
- Організувати доступ до цих сайтів для деяких машин по mac.
- Чи не порушити роботу сторонніх сайтів.
Зневірившись вже поглядаю в сорон squid, але вичитав що там теж не все так гладко.
Якщо чесно, мені здається що це можна вирішити прокинув, аля всі запити по доменах звернути на мій же сервер, а там віддати або 404 або порожній лист, але з цією частиною iptables я взагалі мало знаком - так що не зміг правильно стоставіть правило.
Прошу від спільноти допомоги! Всім дякую за увагу і ваші відповіді!