On Tue, Sep 04, 2007 at 10:43:50AM +0300, Georgi Alexandrov wrote: > Bozhidar Maramski wrote: > > Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен > > Избивай си го или си го набивай на друго място > > Мерси за поздравите, много си учтив. Наистина е по-добре да се занимаваш > с двигатели с вътрешно горене. Малко обяснения: > > <snip> > >>> Наистина е така: > > Кое наистина е така? > > >>> > >>> -h' or 'iptables --help' for more information. > >>> iptables v1.3.6: host/network `myfirstorgasm.org' not found > >>> Try `iptables -h' or 'iptables --help' for more information. > >>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found > >>> Try `iptables -h' or 'iptables --help' for more information. > >>> iptables v1.3.6: host/network `estella.warren.video.online.fr' not found > >>> Try `iptables -h' or 'iptables --help' for more information. > >>> iptables v1.3.6: host/network `zooskool.com' not found > >>> Try `iptables -h' or 'iptables --help' for more information. > >>> iptables v1.3.6: host/network `zooskool.com' not found > > Това не можеш ли да си го преведеш? Това което се опитваш да направиш с > iptables по принцип работи на layer 3, а не както си мислиш ти. Т.е. > iptables ще направи проверка за 'A' ресурсните записи за zooskool.com и > според правилото което си извикал ако намери такива (а те ще > представляват ip адреси) те ще се предадат на netfilter кода в кърнела. > Ако не намери ще ти върне горното съобщение за грешка защото нищо повече > не може да направи. Няма смисъл да обясняваме колко unreliable е това > решение. > > Пример (като за децата в училище): > > [EMAIL PROTECTED]:~$ dig +short yahoo.com > 66.94.234.13 > 216.109.112.135 > [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d yahoo.com -p tcp --dport 80 > -j DROP > [EMAIL PROTECTED]:~$ sudo iptables -t filter -nL FORWARD > Chain FORWARD (policy ACCEPT) > target prot opt source destination > DROP tcp -- 0.0.0.0/0 66.94.234.13 tcp dpt:80 > DROP tcp -- 0.0.0.0/0 216.109.112.135 tcp dpt:80 > [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d nonexistant-domain-name.com > -p > tcp --dport 80 -j DROP > iptables v1.3.6: host/network `nonexistant-domain-name.com' not found > Try `iptables -h' or 'iptables --help' for more information. > [EMAIL PROTECTED]:~$ > > > >>> > >>> Та как да вкарам /etc/blacklist файла в iproute ? > <snip> > > [EMAIL PROTECTED]:~$ for i in `dig +short $(cat /tmp/blacklist)`; do sudo ip > r a > prohibit $i; done
Само като идея - хората и xargs са измислили :) xargs dig +short < /tmp/blacklist | sudo xargs -n 1 ip route add prohibit > [EMAIL PROTECTED]:~$ ip r | grep prohibit > prohibit 17.254.3.183 > prohibit 64.4.32.7 > prohibit 64.4.33.7 > prohibit 207.46.30.34 > [EMAIL PROTECTED]:~$ > > > Съвсем друг е въпроса, че тези работи дето ги пишем по-нагоре са пълна > глупост. Това което се опитваш да направиш не се прави с layer3 филтър а > с proxy и/или content filter (както вече ти го казаха). Било то squid, > squid+dansguardian, squid+squidguard и т.н. Решения много. Виж, тук съм съгласен - макар че за content филтрите ще трябва човек да се сблъска с новаторската идея, че Интернет не е само WWW и да мисли как да филтрира и другите използвани протоколи... но все пак филтриране на база blacklisting на IP адресите *само на конкретните имена на хостове* е малко безсмислено, най-малкото заради това, че така може и да успееш да блокираш трафик до zooskool.com, ама какво правиш с new.zooskool.com например? :) Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 Nostalgia ain't what it used to be.
pgpdlwee5ZNFY.pgp
Description: PGP signature
_______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
