ipfw блокировка хостов с несколькоми IP

kima · Непрочитанное сообщение **kima** » 2009-01-22 14:35:21

Добрый день!
Недавно перешел на Правильную Ось, по этому сильно не ругайте!
На файерволе нада заблокировать сайты типа вконтакта и одноклассников, а они используют несколько айпишников, банить все смысла не имеет! Есть ли какое ниб решение на базе ТОЛЬКО ipfw, без использования проксей и других приложений?
Заранее спасибо за помощь!

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hizel · Непрочитанное сообщение **hizel** » 2009-01-22 14:40:29

у вкантактеров и однокласников выделены подсети и свои AS по ним и банить, наверняка где то есть списочег для офисного планктона

RusBiT · Непрочитанное сообщение **RusBiT** » 2009-01-22 17:01:24

Через dig можно узнать IP

Код: Выделить всё

dig vkontakte.ru +short

Через host

Код: Выделить всё

host vkontakte.ru | grep has | cut -d ' ' -f 4

Ну а потом все это дело в таблицу файрвола

hizel · Непрочитанное сообщение **hizel** » 2009-01-22 17:16:43

это не все ихнии сети

да и в vkadre не забыть

hizel · Непрочитанное сообщение **hizel** » 2009-01-22 17:19:31

http://www.robtex.com/as/as47541.html
вау какие клёвые я картинки нашол !

hizel · Непрочитанное сообщение **hizel** » 2009-01-22 17:29:11

о мать моя женщина , смотрю как моя AS вылезает в мир, прусь

RusBiT · Непрочитанное сообщение **RusBiT** » 2009-01-22 17:45:31

hizel писал(а):это не все ихнии сети
да и в vkadre не забыть

Если в крон добавить правила , блокировать же будут?

kima · Непрочитанное сообщение **kima** » 2009-01-23 9:49:18

Спасибо за ответы и советы! Обязательно попробую!
Вчера посмотрел как ребята реализовали эту тему на кошке! Был удивлен) Создали группу, запихнули туда все айпишники вконтакта, найдя их через пинг и тупо все заблокировали! Впринципе работает! Не стал мудорствовать и сделал тоже самое! Добился желаемого результата! Единственная проблема с которой я столкнулся было то что, при создании правила блокировки , в котором сидело 15 айпи адресов, оно отказывалось работать! Пришлось разбивать на несколько! Выглядит примерно так: ( пишу по памяти!)

Код: Выделить всё

vkontakte="93.186.224....,...,...,...# и таких 15 штук#"
${ipfw} add 600 deny tcp from ${vkontakte} to any in via ${wanif}
#вот так это правило не отрабатывало
#пришлось делать так
vkontakte1="...,...,...,...,..." #по 5 айпи адресов
vkontakte2="...,...,...,...,..."
vkontakte3="...,...,...,...,..."
vkontakte4="...,...,...,...,..."

${ipfw} add 600 deny tcp from ${vkontakte1} to any in via ${wanif} 
${ipfw} add 601 deny tcp from ${vkontakte2} to any in via ${wanif} 
${ipfw} add 602 deny tcp from ${vkontakte3} to any in via ${wanif} 
${ipfw} add 603 deny tcp from ${vkontakte4} to any in via ${wanif} 
# а так отрабатывает

Может что нить посоветуете? Был бы признателен!

gofman · Непрочитанное сообщение **gofman** » 2009-01-23 9:59:38

Код: Выделить всё
vkontakte="93.186.224....,...,...,...# и таких 15 штук#"

Код: Выделить всё

vkontakte="93.186.224.0/21"

kima · Непрочитанное сообщение **kima** » 2009-01-23 10:11:36

Cпасибо! Так много проще!

И тут же еще вопрос!

Код: Выделить всё
vkontakte="93.186.224.0/21"

Как узнать по какой маске блокировать?)

hizel · Непрочитанное сообщение **hizel** » 2009-01-23 10:25:16

Код: Выделить всё

whois 93.186.224.1

kima · Непрочитанное сообщение **kima** » 2009-01-23 10:48:40

Огромное спасибо, всем, кто принимал участие!

Редко где можно встретить людей, которые не отправляют "ффпоиск" и не учат читать матчасть!

Проблема решена, опыт применен! На все вопросы ответы найдены!

Тему можно закрывать!

ПыС Я тут на долго останусь!))

schizoid · Непрочитанное сообщение **schizoid** » 2009-01-27 9:59:17

у мну так:

fwd 192.168.0.150,90 log logamount 1000 tcp from any to table(8) via rl0

# ipfw table 8 list

Код: Выделить всё

93.186.224.0/24 0
93.186.225.0/24 0
93.186.226.0/24 0
93.186.227.0/24 0
195.222.166.0/24 0
195.222.187.0/24 0
195.239.7.0/24 0
212.119.208.0/24 0
212.119.216.0/24 0

где http://192.168.0.150:90 страничка с текстом:

А ну работать живо! Я все вижу!

Сайт заблокирован администрацией.

воть

з.ы.: это сети одноклассников и вконтакте

kima · Непрочитанное сообщение **kima** » 2009-01-28 9:43:34

Спасибо! Интересный пример!

Как раз щас занимаюсь поднятием и настройкой апача и профтпд! Обязательно попробую!
Самое забавное что прямой бан вконтакта и одноклассников особо не решает проблему с посещением этих сайтов сотрудниками! Анонимайзеры еще никто не отменял((( Тут уж нада сидеть и вылавливать все хосты!

А это жуть как муторно!

mymymy · Непрочитанное сообщение **mymymy** » 2009-02-05 7:19:46

вылавливаем, заставляют. мне кажется, я можу справочник уже написать по веб прокси

WideAreaNetwork

а разве нельзя по хосту, читал вроде как должно работать, что то типа

Код: Выделить всё

${f} table 100 add www.vk.com
${f} table 100 add vk.com
${f} table 100 add ok.ru
${f} table 100 add www.ok.ru

${f} add deny ip from any to "table(100)"
${f} add deny ip from "table(100)" to any

Alex Keda

пробовать надо
там IP адресов в одном имени много, х.з. как это будет воспринято - добавятся все, первый, последний....
мне кажется, что тока первый добавится

WideAreaNetwork

Alex Keda писал(а): ↑
2018-11-29 17:26:40
что тока первый добавится

ну тогда наверное как вариант файл со списком сайтов и ipfw будет его загружать время от времени, тогда и IP будет меняться

forum.lissyara.su