https://www.opennet.dev/openforum/vsluhforumID1/93506.html Добрый день!<br> Не сочтите за труд, помогите, пожалуйста, советом.<br><br> Фильтрую https сайты с помощью ipfw на freebsd.<br> - Блокирую все:<br> ipfw add 00060 deny tcp from any to any https<br><br> - и исключения, например:<br> ipfw add 00003 allow tcp from any to www.ispa.sibirtelecom.ru 443<br> или<br> ipfw add 00004 allow tcp from any to esk.sbrf.ru 443<br> все работает гут!<br><br> Но, например, signin.ebay.com постоянно меняет IP и правило:<br> ipfw add 00006 allow tcp from any to signin.ebay.com 443<br> работает только несколько минут.<br><br> Подскажите, пожалуйста, как сделать так, чтоб была реакция на меняющиеся IP.<br><br> Заранее благодарен.<br> С уважением, Сергей<br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#8 Mon, 25 Jun 2012 15:12:08 GMT &gt; если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 <br><br>ipfw deny udp from $lan to not me 53<br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#7 Mon, 25 Jun 2012 14:58:05 GMT Спасибо, буду пробовать))<br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#6 Mon, 25 Jun 2012 14:19:40 GMT &gt; Способ - что-нибудь, связанное с динамическими правилами...<br>&gt; http://skeletor.org.ua/?p=1230 <br><br>это маленько не то.<br><br>&gt;&gt;Технически, в realtime это не делается <br>&gt; А как тогда?<br><br>ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра.<br>И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес. <br><br>Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время.<br><br>Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#5 Mon, 25 Jun 2012 13:30:41 GMT Способ - что-нибудь, связанное с динамическими правилами...<br>http://skeletor.org.ua/?p=1230<br><br>&gt;Технически, в realtime это не делается <br><br>А как тогда?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#4 Mon, 25 Jun 2012 13:22:26 GMT &gt; Спасибо, за советы)) <br>&gt; Подсеть - это выход, но ведь есть же способ через ipfw в <br>&gt; real-time преобразовывать доменное имя в ip.<br><br>Укажите источник вашего знания о том, что "ведь есть же способ..." ?<br><br>Технически, в realtime это не делается.<br><br>&gt; Еще несколько таких же сайтов <br>&gt; есть, хотелось бы научиться... https://www.opennet.dev/openforum/vsluhforumID1/93506.html#3 Mon, 25 Jun 2012 13:14:32 GMT Спасибо, за советы))<br>Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#2 Mon, 25 Jun 2012 07:27:43 GMT укажите 0.0.0.0/0 и пофег ))))<br><br> https://www.opennet.dev/openforum/vsluhforumID1/93506.html#1 Sun, 24 Jun 2012 05:40:41 GMT Whois query for 66.135.211.223...<br><br>Results returned from whois.arin.net:<br><br>#<br># The following results may also be obtained via:<br># http://whois.arin.net/rest/nets;q=66.135.211.223?showDetails=true&showARIN=false&ext=netref2<br>#<br><br>NetRange: 66.135.192.0 - 66.135.223.255<br>CIDR: 66.135.192.0/19<br><br>Укажите всю их подсеть.<br>