Re: [tanya-jawab] bingung dengan rules blok facebook

Wed, 13 Jun 2012 00:10:36 -0700 


--------------------------------------------------
From: "Kamas Muhammad" <ka...@ckm.co.id>
Sent: Tuesday, June 12, 2012 5:03 PM
To: <tanya-jawab@linux.or.id>
Subject: Re: [tanya-jawab] bingung  dengan  rules  blok facebook


On 06/12/2012 08:32 AM, Joko Prasetya wrote:


masih   belum bisa, dengan   urutan
-A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10
-A FORWARD -m string -j REJECT --string "facebook"

saya  coba  dengan

-A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10
-A FORWARD -m string -j REJECT --string "facebook" ! -s 192.168.1.10

juga  gak mau





Sebenarnya saya tidak seberapa ngerti tentang modul string itu, atau 
apakah anda
sudah memastikan bahwa blocking dengan cara itu berhasil. Kebetulan saya 
menulis
seperti di email terdahulu dengan penekanan pada urutan rule untuk suatu 
aturan
yang anda definisikan. Kalau rule *blocking* anda sudah benar-benar 
berhasil,
maka dengan konsep urutan seperti yang saya tuliskan kemarin seharusnya 
berhasil.



Kalau anda bertanya kenapa kok belum sukses, saya curiga pada ini (maaf 
kemarin

tidak baca urutan iptables selengkapnya):

*nat

-A PREROUTING -i eth1 -p tcp -m tcp -m multiport --dports 
80,3128,8080,8081 -j

REDIRECT --to-ports 3128


Dengan blocking di chain FORWARD, besar kemungkinan rule itu sama sekali 
tidak

berfungsi karena paket datanya sudah dievaluasi di chain PREROUTING dan

di-redirect ke port 3128. Paket data yang kemudian keluar ke facebook 
rasanya

bakal ada di chain OUTPUT, bukan FORWARD.



terima kasih  telah  di respon kembali  yang  menjadikan  diskusi  ini 
semakin menarik,

ok...

facebook   bisa  di akses  dengan  dua mode, mode http / port 80  dan  mode 
https /  port 443
untuk blok  facebook pada  port  http (80)  memang  berada  pada  proxy 
server  dalam  hal ini  adalah   squid dengan menggunakan   acl,  dan 
sejauh ini   tidak  ada  masalah.
sedangkan  blok facebook ada  port https berapa  pada  iptables pada chain 
INPUT dan  FORWARD  dengan  menggunakan  string   seperti  disebutkan  di 
atas  dan sejauh ini   gak  ada masalah  dengan  bloking   tersebut.  yang 
menjadi  masalah adalah   meloloskan  ip tertentu pada   iptables atas blok 
di atas,  untuk meloloskan  ip tertuntu  pada  squid  gak ada masalah.



salam
JP



Pilihan anda akhirnya rasanya ada 2:
1. Tetap berkutat dengan iptables string, tapi dimainkan di nat PREROUTING
dengan konsep urutan yang sama *sebelum* proses redirect ke 3128.
2. Blok pakai http proxy yang anda pakai, bermain-main acl src dan mungkin
dst_domain (kalau memang menggunakan squid), saya tidak hapal juga :)

Saya lebih suka main-main pakai squid. Kalau anda cuma search "facebook"

menggunakan modul string iptables, boleh jadi kalimat "di kantorku 
facebook

diblok" dalam chat dengan teman anda bakal terblok juga :)






--
KM




--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis



--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis
























					Kirim email ke