Новые ответы

IPFW - https фильтрация при изменяющемся IP сайта,

httpal, 24-Июн-12, 08:36 [смотреть все]

Добрый день!
    Не сочтите за труд, помогите, пожалуйста, советом.
    Фильтрую https сайты с помощью ipfw на freebsd.
    - Блокирую все:
    ipfw add 00060 deny tcp from any to any https
    - и исключения, например:
    ipfw add 00003 allow tcp from any to www.ispa.sibirtelecom.ru 443
    или
    ipfw add 00004 allow tcp from any to esk.sbrf.ru 443
    все работает гут!
    Но, например, signin.ebay.com постоянно меняет IP и правило:
    ipfw add 00006 allow tcp from any to signin.ebay.com 443
    работает только несколько минут.
    Подскажите, пожалуйста, как сделать так, чтоб была реакция на меняющиеся IP.
          Заранее благодарен.
          С уважением, Сергей

Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, user, 09:40 , 24-Июн-12 (1)
Whois query for 66.135.211.223...
Results returned from whois.arin.net:
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66.135.211.223?showDetails...
#
NetRange: 66.135.192.0 - 66.135.223.255
CIDR: 66.135.192.0/19
Укажите всю их подсеть.
Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, Pahanivo, 11:27 , 25-Июн-12 (2)
укажите 0.0.0.0/0 и пофег ))))
Ответить | Сообщить модератору
IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:14 , 25-Июн-12 (3)
Спасибо, за советы))
Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...

Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 17:22 , 25-Июн-12 (4)
> Спасибо, за советы))
> Подсеть - это выход, но ведь есть же способ через ipfw в
> real-time преобразовывать доменное имя в ip.
Укажите источник вашего знания о том, что "ведь есть же способ..." ?
Технически, в realtime это не делается.
> Еще несколько таких же сайтов
> есть, хотелось бы научиться...
Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:30 , 25-Июн-12 (5)
Способ - что-нибудь, связанное с динамическими правилами...
http://skeletor.org.ua/?p=1230
>Технически, в realtime это не делается
А как тогда?

Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 18:19 , 25-Июн-12 (6)
> Способ - что-нибудь, связанное с динамическими правилами...
> http://skeletor.org.ua/?p=1230
это маленько не то.
>>Технически, в realtime это не делается
> А как тогда?
ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра.
И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес.
Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время.
Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю

Ответить | Сообщить модератору

IPFW - https фильтрация при изменяющемся IP сайта, httpal, 18:58 , 25-Июн-12 (7)
Спасибо, буду пробовать))
Ответить | Сообщить модератору
IPFW - https фильтрация при изменяющемся IP сайта, Pahanivo, 19:12 , 25-Июн-12 (8)
> если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443
ipfw deny udp from $lan to not me 53
Ответить | Сообщить модератору