On 06/12/2012 08:32 AM, Joko Prasetya wrote: > masih belum bisa, dengan urutan > -A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10 > -A FORWARD -m string -j REJECT --string "facebook" > > saya coba dengan > > -A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10 > -A FORWARD -m string -j REJECT --string "facebook" ! -s 192.168.1.10 > > juga gak mau >
Sebenarnya saya tidak seberapa ngerti tentang modul string itu, atau apakah anda sudah memastikan bahwa blocking dengan cara itu berhasil. Kebetulan saya menulis seperti di email terdahulu dengan penekanan pada urutan rule untuk suatu aturan yang anda definisikan. Kalau rule *blocking* anda sudah benar-benar berhasil, maka dengan konsep urutan seperti yang saya tuliskan kemarin seharusnya berhasil. Kalau anda bertanya kenapa kok belum sukses, saya curiga pada ini (maaf kemarin tidak baca urutan iptables selengkapnya): *nat -A PREROUTING -i eth1 -p tcp -m tcp -m multiport --dports 80,3128,8080,8081 -j REDIRECT --to-ports 3128 Dengan blocking di chain FORWARD, besar kemungkinan rule itu sama sekali tidak berfungsi karena paket datanya sudah dievaluasi di chain PREROUTING dan di-redirect ke port 3128. Paket data yang kemudian keluar ke facebook rasanya bakal ada di chain OUTPUT, bukan FORWARD. Pilihan anda akhirnya rasanya ada 2: 1. Tetap berkutat dengan iptables string, tapi dimainkan di nat PREROUTING dengan konsep urutan yang sama *sebelum* proses redirect ke 3128. 2. Blok pakai http proxy yang anda pakai, bermain-main acl src dan mungkin dst_domain (kalau memang menggunakan squid), saya tidak hapal juga :) Saya lebih suka main-main pakai squid. Kalau anda cuma search "facebook" menggunakan modul string iptables, boleh jadi kalimat "di kantorku facebook diblok" dalam chat dengan teman anda bakal terblok juga :) -- KM -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [email protected] Arsip dan info milis selengkapnya di http://linux.or.id/milis
