Вы здесь: Home *Linux* Все статьи iptables — блокирование трафика.
Все ленты — последние статьи
Главная
ИТ — специалист
Программы

iptables — блокирование трафика.

http://youtu.be/ukg8g6Pc8NA


Блок. по ip

iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.222.187.0/24 -j DROP


        

173.194.70.93, 173.194.70.136, 173.194.70.190, 173.194.70.91
iptables -A FORWARD -p tcp -s 173.194.70.93 -d 195.222.187.0/24 -j DROP
Блок. ютуб…но не страничка главная

       

    ****************


Использую на шлюзе Traffpro. Блокировка сайтов в нем работает без нареканий, но вот с одноклассниками дела обстоят сложнее. Блокировать множество его доменов просто не возможно физически, и время от времени появляются все новые. По данным DNS одноклассники занимают целые подсети, что делает невозможной блокировку по ip в системе traffpro так как их уж слишком много. Остается только использовать для блокировки iptables. Для этого думаю возможно использовать два варианта:

1. Подсети, занимаемые одноклассниками
Код: [Выделить]

81.177.140.0/24
81.177.141.0/24
81.177.142.0/24
81.176.227.0/24
217.106.230.190/32
195.222.187.0/24
212.119.208.0/24
212.119.209.0/24
195.239.7.0/24
192.222.166.0/24
212.119.216.0/24
195.239.157.0/24
213.221.32.0/24
212.119.195.0/24
195.239.51.0/24
62.105.149.0/24
62.105.140.0/24
212.44.139.0/24
195.218.140.0/24
213.221.7.0/24
195.218.169.0/24

2. Способ блокировки №1.
Код: [Выделить]

iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.141.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.142.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.176.227.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 217.106.230.190/32 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.222.187.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.208.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.209.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 192.222.166.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.216.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.157.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 213.221.32.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.195.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.51.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 62.105.149.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 62.105.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.44.139.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.218.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 213.221.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.218.169.0/24 -j DROP


3. Способ №2 (Перенаправление на локальную страницу с предупреждением)

Код: [Выделить]

iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.142.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.176.227.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 217.106.230.190/32 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.208.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.209.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.7.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 192.222.166.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.216.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.157.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.32.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.195.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.51.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.149.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.44.139.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.7.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.169.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html

Или может быть для перенаправления сделать так:
Код: [Выделить]

iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.142.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.176.227.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 217.106.230.190/32 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.208.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.209.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 192.222.166.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.216.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.157.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.195.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.51.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.149.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.44.139.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.169.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80

Но в этом случае откроется страница Apache по умолчанию.

Так вот собственно вопрос: Какой из способов будет наиболее предпочтительнее (а быть может и ошибся где) и желательно менее ресурсоемким для шлюза?
К сожалению ничего другого для блокирования этого монстра, как блокировка целых подсетей пока в голову не приходит.
P.S. Squid не предлагать.

 *********************


Могу озвучить свой вариант — прозрачный SQUID, на который заворачиваются ВСЕ попытки коннекта наружу на порты 80, 8080, 3128 и т.д.. плюс заворот со SQUID на HAVP с ClamAV. Средствами SQUID и параллельно HAVP запрещены все! адреса, в которых есть odnoklassniki. Полтора года — полет без малейших нареканий ;)

 *************

Код: [Выделить]

iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -s odnoklassniki.ru -i eth0 -j DROP

Все работало, никаких одноклассников. Но у меня не было никаких биллингов, никаких прокси. Обычный NAT


**************


iptables -t filter -I INPUT -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP -v
iptables -t filter -I FORWARD -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP -v


************
  блокируем IP в iptables

как заблокировать определённый ip в ip tables? так:

iptables -A INPUT -s 127.0.0.1 -j DROP

127.0.0.1 естественно меняем на ip который надо залочить.


 *****************************
torrent — торрент
Позитив, Юмор
Информационная безопасность. Хакер
Новости
android, смартфоны
Видео материал

All Rights Reserved © 2014–
Krayny.ru Россия, г. Краснодар (Russia, Krasnodar)