--------------------------------------------------
From: "Kamas Muhammad" <ka...@ckm.co.id>
Sent: Tuesday, June 12, 2012 5:03 PM
To: <tanya-jawab@linux.or.id>
Subject: Re: [tanya-jawab] bingung dengan rules blok facebook
On 06/12/2012 08:32 AM, Joko Prasetya wrote:
masih belum bisa, dengan urutan
-A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10
-A FORWARD -m string -j REJECT --string "facebook"
saya coba dengan
-A FORWARD -m string -j ACCEPT --string "facebook" -s 192.168.1.10
-A FORWARD -m string -j REJECT --string "facebook" ! -s 192.168.1.10
juga gak mau
Sebenarnya saya tidak seberapa ngerti tentang modul string itu, atau
apakah anda
sudah memastikan bahwa blocking dengan cara itu berhasil. Kebetulan saya
menulis
seperti di email terdahulu dengan penekanan pada urutan rule untuk suatu
aturan
yang anda definisikan. Kalau rule *blocking* anda sudah benar-benar
berhasil,
maka dengan konsep urutan seperti yang saya tuliskan kemarin seharusnya
berhasil.
Kalau anda bertanya kenapa kok belum sukses, saya curiga pada ini (maaf
kemarin
tidak baca urutan iptables selengkapnya):
*nat
-A PREROUTING -i eth1 -p tcp -m tcp -m multiport --dports
80,3128,8080,8081 -j
REDIRECT --to-ports 3128
Dengan blocking di chain FORWARD, besar kemungkinan rule itu sama sekali
tidak
berfungsi karena paket datanya sudah dievaluasi di chain PREROUTING dan
di-redirect ke port 3128. Paket data yang kemudian keluar ke facebook
rasanya
bakal ada di chain OUTPUT, bukan FORWARD.
terima kasih telah di respon kembali yang menjadikan diskusi ini
semakin menarik,
ok...
facebook bisa di akses dengan dua mode, mode http / port 80 dan mode
https / port 443
untuk blok facebook pada port http (80) memang berada pada proxy
server dalam hal ini adalah squid dengan menggunakan acl, dan
sejauh ini tidak ada masalah.
sedangkan blok facebook ada port https berapa pada iptables pada chain
INPUT dan FORWARD dengan menggunakan string seperti disebutkan di
atas dan sejauh ini gak ada masalah dengan bloking tersebut. yang
menjadi masalah adalah meloloskan ip tertentu pada iptables atas blok
di atas, untuk meloloskan ip tertuntu pada squid gak ada masalah.
salam
JP
Pilihan anda akhirnya rasanya ada 2:
1. Tetap berkutat dengan iptables string, tapi dimainkan di nat PREROUTING
dengan konsep urutan yang sama *sebelum* proses redirect ke 3128.
2. Blok pakai http proxy yang anda pakai, bermain-main acl src dan mungkin
dst_domain (kalau memang menggunakan squid), saya tidak hapal juga :)
Saya lebih suka main-main pakai squid. Kalau anda cuma search "facebook"
menggunakan modul string iptables, boleh jadi kalimat "di kantorku
facebook
diblok" dalam chat dengan teman anda bakal terblok juga :)
--
KM
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis