iptables

Frågor och diskussion kring Linuxkärnan med moduler.

Post Reply
KalleA
Posts: 424
Joined: 4 September 2003, 00:00
Location: stockholm

iptables

Post by KalleA » 25 January 2008, 00:18

Hej
Jag skulle vilja veta hur man blockerar utgående trafik med iptables till en viss adress låt oss säga www.aftonbladet.se.
iptables -A OUTPUT -d ip -j DROP
Men det funkar inte... och vet att aftonbladet kanske har fler ip'n.
Kör när NAT firewall eth0=ext, eth1=internt.
Vet du hur man kan skriva någon bra regel.


Tacksam för hjälp.

kratz
Posts: 1121
Joined: 9 May 2005, 17:21
Location: ~/Högsby
Contact:

Post by kratz » 25 January 2008, 08:14

iptables -I OUTPUT --destination ip -j DROP

Det fungerar.

Med största sannolikhet så är domänen bara bunden till en ip.
Välkommen till http://archlinux.se !

KalleA
Posts: 424
Joined: 4 September 2003, 00:00
Location: stockholm

Post by KalleA » 25 January 2008, 10:03

Nej det fungerar icke. tog aftonbladets 192.71.238.76.

Sorry att jag råka posta i fel tråd, skulle kanske varit nätverk/säkerhet ;)

erik_persson
Posts: 1474
Joined: 29 August 2002, 15:19

Post by erik_persson » 25 January 2008, 14:12

Det ska fungera med
iptables -I OUTPUT -d www.aftonbladet.se -j DROP
precis som ni har skrivit...

Det stänger dock bara den utgående trafiken från just DEN DATORN SOM iptables KÖRS PÅ.
Kör du med forwarding, som tex masquerading, så måste du hindra
trafik även i forward-kedjan, ex
iptables -I FORWARD -d www.aftonbladet.se -j DROP

Då stänger du ner all trafik som går genom datorn och som är destinerad till aftonbladet. Det är alltså detta du ska använda för att filtrera trafiken genom en router.

Om du använder en proxy utanför filteret kan det också generera problemet.

Du kan också funder på att använda REJECT istället för DROP. DROP kastar bara paketet och processen som försöker få kontakt kommer sålunda att vänta tills förbindelsen hos honom timeat ut, medan REJECT skickar tillbaka en onåbarhetssignal. Med REJECT blir det därmed inte denna väntetid. DROP är sålunda bra när man vill vara elak - dvs förhindra trafik till portar från utomstående som inte har där att göra (och man därmed vill att deras process skall vänta på timeout så att det tar tid innan den kan försöka med något nytt otyg), medan REJECT kan vara bättre om man vill förhindra sig själv att göra saker.

/erik

User avatar
fagerjan
Posts: 889
Joined: 21 December 2004, 18:05
Location: Dalsbruk, Finland
Contact:

Post by fagerjan » 25 January 2008, 19:42

Reglerna:

Code: Select all

iptables -I OUTPUT -d 192.71.238.0/23 -j REJECT
iptables -I FORWARD -d 192.71.238.0/23 -j REJECT
gör Aftonbladet onåbart.
Fagerjan

KalleA
Posts: 424
Joined: 4 September 2003, 00:00
Location: stockholm

Post by KalleA » 26 January 2008, 19:11

Nice det fungerade fint :)
Testade med facebook dock och det funkade icke, kör dom flera ips kanske...

User avatar
fagerjan
Posts: 889
Joined: 21 December 2004, 18:05
Location: Dalsbruk, Finland
Contact:

Post by fagerjan » 26 January 2008, 21:12

Stämmer att de har flera IP-nummer. Men det utgör inget hinder för att blockera dem. Istället för ett IP-nummer lägger du in nätets IP-nummer/mask.
facebook.com. har nätena: 204.15.20.0/22 69.63.176.0/20
Blockera de här nätena så bör det fungera.

Code: Select all

iptables -I FORWARD -d  204.15.20.0/22 -j REJECT
iptables -I FORWARD -d  69.63.176.0/20 -j REJECT
Fagerjan

Post Reply