http://youtu.be/ukg8g6Pc8NA
Блок. по ip
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.222.187.0/24 -j DROP
173.194.70.93, 173.194.70.136, 173.194.70.190, 173.194.70.91
iptables -A FORWARD -p tcp -s 173.194.70.93 -d 195.222.187.0/24 -j DROP
Блок. ютуб…но не страничка главная
****************
Использую на шлюзе Traffpro. Блокировка сайтов в нем работает без нареканий, но вот с одноклассниками дела обстоят сложнее. Блокировать множество его доменов просто не возможно физически, и время от времени появляются все новые. По данным DNS одноклассники занимают целые подсети, что делает невозможной блокировку по ip в системе traffpro так как их уж слишком много. Остается только использовать для блокировки iptables. Для этого думаю возможно использовать два варианта:
1. Подсети, занимаемые одноклассниками
Код: [Выделить]
81.177.140.0/24
81.177.141.0/24
81.177.142.0/24
81.176.227.0/24
217.106.230.190/32
195.222.187.0/24
212.119.208.0/24
212.119.209.0/24
195.239.7.0/24
192.222.166.0/24
212.119.216.0/24
195.239.157.0/24
213.221.32.0/24
212.119.195.0/24
195.239.51.0/24
62.105.149.0/24
62.105.140.0/24
212.44.139.0/24
195.218.140.0/24
213.221.7.0/24
195.218.169.0/24
2. Способ блокировки №1.
Код: [Выделить]
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.141.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.177.142.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 81.176.227.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 217.106.230.190/32 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.222.187.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.208.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.209.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 192.222.166.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.216.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.157.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 213.221.32.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.119.195.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.239.51.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 62.105.149.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 62.105.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 212.44.139.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.218.140.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 213.221.7.0/24 -j DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 195.218.169.0/24 -j DROP
3. Способ №2 (Перенаправление на локальную страницу с предупреждением)
Код: [Выделить]
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.142.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.176.227.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 217.106.230.190/32 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.208.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.209.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.7.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 192.222.166.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.216.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.157.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.32.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.195.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.51.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.149.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.44.139.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.140.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.7.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.169.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/errore.html
Или может быть для перенаправления сделать так:
Код: [Выделить]
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.142.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.176.227.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 217.106.230.190/32 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.208.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.209.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 81.177.141.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 192.222.166.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.216.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.157.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.119.195.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.239.51.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.149.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 62.105.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 212.44.139.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.140.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 213.221.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
iptables -t nat -A PREROUTING --src 192.168.0.0/24 --dst 195.218.169.0/24 -p tcp --dport 80 -j REDIRECT --to-port 80
Но в этом случае откроется страница Apache по умолчанию.
Так вот собственно вопрос: Какой из способов будет наиболее предпочтительнее (а быть может и ошибся где) и желательно менее ресурсоемким для шлюза?
К сожалению ничего другого для блокирования этого монстра, как блокировка целых подсетей пока в голову не приходит.
P.S. Squid не предлагать.
*********************
Могу озвучить свой вариант — прозрачный SQUID, на который заворачиваются ВСЕ попытки коннекта наружу на порты 80, 8080, 3128 и т.д.. плюс заворот со SQUID на HAVP с ClamAV. Средствами SQUID и параллельно HAVP запрещены все! адреса, в которых есть odnoklassniki. Полтора года — полет без малейших нареканий ;)
*************
Код: [Выделить]
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -s odnoklassniki.ru -i eth0 -j DROP
Все работало, никаких одноклассников. Но у меня не было никаких биллингов, никаких прокси. Обычный NAT
**************
iptables -t filter -I INPUT -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP -v
iptables -t filter -I FORWARD -m string --string "odnoklassniki.ru" --algo kmp --to 65535 -j DROP -v
************
блокируем IP в iptables
как заблокировать определённый ip в ip tables? так:
iptables -A INPUT -s 127.0.0.1 -j DROP
127.0.0.1 естественно меняем на ip который надо залочить.
*****************************