se mi strasne libi, jak predchozi prispevku maji velkou informacni hodnotu. Proc normalne neodpovite na dotaz ? Nebo vam medi, ze si muzete neco placnout ? :(

Ale k veci.

1. samo ze jde iptables -A INPUT -s IP -j DROP IP je treba 10.20.30.40 - od teto chvile sem nevleze odtud nic. Pokud zadame jmenny nazev, stejne se nam prelozi na IP. Tak je lepsi si to zjistit.

2.Jestlize mame povoleny NAT , SQUID nam nic neresi. Jednoduse receno. Pokud nejaky uzivatel bude pristupovat na jinem portu nez na QUIDU (standart 3128,8080) je to jedno. Museli by jsme by jsme to zakazat.

8.5.2005 14:07 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

nechapem, preco by squid nic neriesil. Proste ho treba nahodit ako transparent proxy (na nete neuveritelna hromada navodov) a nastavit iptables -A PREROUTING --dport 80 -j DNAT --to-destination ip_kde_bezi_squid:8080 A toto uz urcite len tak nejaky uzivatel neobide.

8.5.2005 14:07 jm
Rozbalit Rozbalit vše Re: iptables a blokovani domen

se mi strasne libi, jak predchozi prispevku maji velkou informacni hodnotu. Proc normalne neodpovite na dotaz ? Nebo vam medi, ze si muzete neco placnout ? :( IP je treba 10.20.30.40 - od teto chvile sem nevleze odtud nic. Pokud zadame jmenny nazev, stejne se nam prelozi na IP. Tak je lepsi si to zjistit.

Aha... 10.20.30.40 je domena - tak to jooo! Uz je nam to vsem jasne, jeste zes nam poradil, byli bychom bez tebe uplne v loji! A az se ta IP adresa zmeni, tak co? A co kdyz na te stejne IP adrese visi jeste tisic jinych domen? He?

8.5.2005 14:29 George | skóre: 18 | blog: haluz | Usobrno
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ses debil ne ? nebudu tu vysvetlovat domeny. Ale asi , pokud budou hrat, budou se pripojovat na urcity server. A O TO JDE !

taky proc by hry mely chodit jen prez 8080/80/3128 a HTTP protokol ??!!

klidanko si muze kdokoliv protunelovat prez jakykoliv port veskerou komunikaci. (je k tomu jeste neco za potrebi .. nebudu napovidat)

8.5.2005 14:32 jm
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Zato ty jses inteligent, domeno! :-P

8.5.2005 14:32 Michal Kubeček
Rozbalit Rozbalit vše Re: iptables a blokovani domen

1. Nenadávete ostatním. Obzvláště ne v případě, že poskytují správnější informace než vy.

2. Pořád ignorujete skutečnost, že na tom "herním" serveru může běžet i mnoho dalších služeb. Dokonce i takové, které jsou potřebné k práci.

3. Původní dotaz se ptal na blokování domén, vaše odpověď s ním tedy nemá prakticky nic společného.

8.5.2005 19:42 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ano, mate pravdu,ptal jsem se na neco a je tu hromada odpovedi okolo.

rekl bych ze nekteri radeji hledaji duvod jak se tematu vyhnout a odpocuji ke ktavinam.

8.5.2005 14:41 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Zadavatel otazky zrejme nechce zablokovat hry typu CS a podobne, ale online flash hry. A na tie sa da pristupovat priamo len cez HTTP. Ak chcete tunelovat, musie mat pristup na nejaky spriateleny host/server niekde mimo firewallu. Musite sam uznat, za zakazovanie konkretnej IP adresy je nezmysel, lebo je obrovska hromada stranok, ktore bezia na tej istej IP a tak sa kludne moze stat, ze zakazete nejaku vyznamnu stranku. Ak nic ine zamestnanci k praci nepotrebuju, tak treba povolit len port 80/443 presmerovany na squid, pripadne 25 na lokalny SMTP server a POP3/IMAP tiez na konkretny host a nic viac. Cez to sa Vam uz nedostane ani velmi skuseny uzivatel (ak samozrejme nehackne server). Ak viete este o nejakej moznosti, pretunelovat sa cez toto, tak by ma to fakt zaujimalo (samozrejme na squide bude zakazane forwardovat nejake ine protokoly). Na squide sa este da nastavit blokovanie reklam, flashu a vsetkych ostatnych hluposti, ktore urcite zamestnanci k praci nepotrebuju a firma tym este aj usetri za pripojenie.

8.5.2005 18:18 Michal Kubeček
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Co se týká flashových her, tak tam je podobné opatření úplně bezpředmětné. Flashovou hru si uživatel může stáhnout doma a do práce si ji přinést třeba na flash disku (pouhá shoda jmen :-) ).

8.5.2005 20:27 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

To je pravda, ale myslim, ze proti tomu sa neda branit akymkolvek nastavenim na servri. Povodne asi islo aj o to, aby sa nezatazovalo pasmo. Mozno treba zaviest nejaky remote admin na kazom kompe a potom nahodne vyberat stanice a ak na niektorom bude bezat hra, toho zamestnanca ihned prepustit. Alebo do kazdej miestnosti dat SBSkara, ktory bude sledovat zamestnancov. Proste, neexistuje idealne riesenie :)

9.5.2005 20:29 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Mozno treba zaviest nejaky remote admin na kazom kompe a potom nahodne vyberat stanice a ak na niektorom bude bezat hra, toho zamestnanca ihned prepustit.

Jako řadovému zaměstnanci by mi to nikdo nemohl udělat. Jako admin bych to to zase nemohl udělat já. Je to hnusné a už jen z toho nápadu mi je na zvracení.

-- Nezdar není hanbou, hanbou je strach z pokusu.

9.5.2005 21:39 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Ved jasne. Ja som to myslel cynicky. Podla mna si zamestnanci mozu robit co chcu, ak neobtazuju ostatnych a plnia si svoje ulohy. Som proti takymto restrikciam.

8.5.2005 19:40 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

no myslite dobre. jenze oni hraji webove hry. bouser mit museji k praci. hry jakoz to SW jsem osefoval, nemaji prava na instalace a maji povoleny jen sw ke spousteni co potrebuji.

8.5.2005 14:17 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Předchozí příspěvky aspoň neobsahovaly dezinformace...

8.5.2005 17:46 martinek
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ja bych skusil modul STRING z patch o matic. kdyz zadas iptables -A INPUT -i eth0 -p TCP --dport 80 -m string --string "neco" \ -j DROP, tak kdyz misto neco napises counter strike, nebo jakykoliv slovo tak to ten paket zahodí a zablokuje stránku.

8.5.2005 18:16 Michal Kubeček
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Vzorová ukázka, jak to nedělat.

1. Vzorek nemusí být v jednom paketu, může vyjít na rozhraní dvou paketů a pak ho nezachytíte.

2. Vzorek se může vyskytnout i v komunikaci, která nemá s tou hrou moc společného. Uvědomte si, že kdybyste něco takového nasadil, tak ten váš příspěvek neodešlete a s drobnou modifikací (která by dávala víc smysl) byste si ho ani nepřečetl. Nemluvě o tom, že se ten název může vyskytovat třeba v reklamě na stránce…

8.5.2005 20:02 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

iptables -A INPUT -s 82.208.36.17 -j DROP 82.208.36.17
tohle mi zrovna nejde
dobre, stací mi blokování IP adres.

8.5.2005 20:28 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Lebo ak je to na routri, tak treba dat toto pravidlo do FORWARD, nie do INPUT.

9.5.2005 14:06 George | skóre: 18 | blog: haluz | Usobrno
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ja tam neodentroval ani neudelal carku, omlouvam se.

iptables -A INPUT -s IP -j DROP tady uz nic

iptables -A INPUT -s 82.208.36.17 -j DROP

9.5.2005 18:27 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Bouzel, at vyzkousim na iptables jakoukoliv variantu:
iptables -A INPUT -s 82.208.36.17 -j DROP
iptables -A OUTPUT -s 82.208.36.17 -j DROP
iptables -A OUTPUT -s mnemonic.cz -j DROP
iptables -A FORWARD -s mnemonic.cz -j DROP
iptables -A FORWARD -s 82.208.36.17 -j DROP

tak to porad na mnemonic.cz pousti.

9.5.2005 18:38 billgates | skóre: 27
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Staci: iptables -A FORWARD -d 82.208.36.17 -j DROP -s znaci zdrojovu adresu a -d cielovu

9.5.2005 18:39 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Jaký máš pravidla předtím? Nepovoluješ tam už ESTABLISHED a RELATED? Nebylo by spíš lepší blokovat odchozí provoz (-d namísto -s)?

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

9.5.2005 19:54 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

$IPTABLES -A FORWARD -d 82.208.36.17 -j DROP # mnemonic.cz - hry nebeha :(

9.5.2005 18:46 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Účinek nějakého pravidla pochopitelně závisí na těch předchozích, když ten paket přijme nějaké pravidlo předtím (typicky ESTABILISHED a RELATED pakety), tak už se ostatní ke slovu nedostanou. Je potřeba a) dát to pravidlo na strávné místo a b) spíš testovat pakety odcházející z vnitřní sítě do internetu -- man iptables.

Ale několik lidí se vám tu už snažilo vysvětlit, že řešit tohle paketovým filterem opravdu není nejlepší nápad...

9.5.2005 19:57 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

mam tam jen
$IPTABLES -A INPUT -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
a za tim mam az
$IPTABLES -A FORWARD -d 82.208.36.17 -j DROP # mnemonic.cz - hry
firewall jsem nesestavoval sam,takze nevim proc je tam prvni radek co jsem zde psal.

9.5.2005 20:43 jm
Rozbalit Rozbalit vše Re: iptables a blokovani domen

firewall jsem nesestavoval sam,takze nevim proc je tam prvni radek co jsem zde psal.

Hmm, dobry, no. Nejlepsi bude, az to kvuli vasemu "filtrovani" her nekdo hackne, to se smichy neudrzim... :-D

9.5.2005 21:42 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

at si hrajou doma a ne v praci kdyz zatezujou firemni linku.

9.5.2005 23:35 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Dobře tak znova:

Rozumnější je domluva než nějaké (neúčinné) blokování, to stejně jenom bude motivovat k jeho obcházení.
Pokud už blokovat http, tak pomocí proxy.
Pokud už chceš blokovat firewallem, tak si o něm přečti nějakou dokumentaci (třeba články na rootu).

Je to fakt tak nepochopitelný?

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

9.5.2005 21:43 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

neresim zde jak je to spolecensky vhodne ci ne,ale otazku jak to udelat.to pulka prispivajicich uzivatelu nechape.

9.5.2005 21:48 jm
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Asi jste neco nepochopil - nechapu, proc se vrtate ve firewallu, kteremu nerozumite ani za mak a jeste si asi od deseti dalsich lidi nejste ochoten nechat vysvetlit, ze paketovy filtr je naprosto nevhodny pro podobne ucely.

Ach jo.

9.5.2005 22:09 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ale otazku jak to udelat.

Takhle právě ne, to se vám půlka lidí snaží vysvětlit. Rozumnější (technicky) je řešit to přes ten squid, (Google).

9.5.2005 22:15 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

squida jsme nainstaloval, jenze kdyz prez nej chci na net tak mam krasnou stranku :

ERROR

The requested URL could not be retrieved

While trying to retrieve the URL: http://www.seznam.cz/

The following error was encountered:

Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

9.5.2005 22:22 jm
Rozbalit Rozbalit vše Re: iptables a blokovani domen

No, to si ho taky musite umet nastavit aneb PEBKAC. A propos, vy tam nemate nejakeho spravce site, nebo vas s podobnym pozadavkem snad poslal do (_|_) ? :-D

9.5.2005 22:26 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

ne spravce tu nemame.
o tom jak to nastavit se radim v tomto foru

9.5.2005 22:36 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Ale to je chyba. Asi je na čase si najít nějakého správce, předpokládám, že bude stačit i nějaký student na pár hodin měsíčně aby pomohl podobné blbiny řešit.

-- Nezdar není hanbou, hanbou je strach z pokusu.

9.5.2005 22:39 Jeason | skóre: 16 | Plzeň
Rozbalit Rozbalit vše Re: iptables a blokovani domen

tak presne tyhle blbinky se chci naucit ja.

9.5.2005 22:44 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Tak začni tím, že si přečteš stare.cz/otazky a hned po tom si přečti nějaké howto případně manuál ke squidovi.

-- Nezdar není hanbou, hanbou je strach z pokusu.

9.5.2005 23:16 George | skóre: 18 | blog: haluz | Usobrno
Rozbalit Rozbalit vše Re: iptables a blokovani domen

pravidla se aplikuji postupne, je potreba to prehodit v poradi.

iptables -F #vymazat

a zadat znovu ve spravnem poradi. Urcite se nekde spousti script. jinak je tam defaultne

iptables -L #list pravidel

Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination

10.5.2005 08:37 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: iptables a blokovani domen

Ja bych s dovoleni doporucil jiz ponekolikate jako zaklad k rozchozeni clanek: http://www.abclinuxu.cz/clanky/show/34642

Jo, neni to buhvi co bezpecneho, o tom je i ta diskuse, ale pokud firewall pana Urbanka vypada tak, jak pise ze vypada, tak si myslim, ze to hraje v celku nedulezitou roli :-)

))

Taky si udělám nějakou studii.

Dotaz: iptables a blokovani domen

Odpovědi

ERROR

The requested URL could not be retrieved