IPFW - https фильтрация при изменяющемся IP сайта, httpal, 24-Июн-12, 08:36 [смотреть все]Добрый день! Не сочтите за труд, помогите, пожалуйста, советом. Фильтрую https сайты с помощью ipfw на freebsd. - Блокирую все: ipfw add 00060 deny tcp from any to any https - и исключения, например: ipfw add 00003 allow tcp from any to www.ispa.sibirtelecom.ru 443 или ipfw add 00004 allow tcp from any to esk.sbrf.ru 443 все работает гут! Но, например, signin.ebay.com постоянно меняет IP и правило: ipfw add 00006 allow tcp from any to signin.ebay.com 443 работает только несколько минут. Подскажите, пожалуйста, как сделать так, чтоб была реакция на меняющиеся IP. Заранее благодарен. С уважением, Сергей
|
- IPFW - https фильтрация при изменяющемся IP сайта, user, 09:40 , 24-Июн-12 (1)
- IPFW - https фильтрация при изменяющемся IP сайта, Pahanivo, 11:27 , 25-Июн-12 (2)
укажите 0.0.0.0/0 и пофег )))) - IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:14 , 25-Июн-12 (3)
Спасибо, за советы)) Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...
- IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 17:22 , 25-Июн-12 (4)
> Спасибо, за советы)) > Подсеть - это выход, но ведь есть же способ через ipfw в > real-time преобразовывать доменное имя в ip.Укажите источник вашего знания о том, что "ведь есть же способ..." ? Технически, в realtime это не делается. > Еще несколько таких же сайтов > есть, хотелось бы научиться...
- IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:30 , 25-Июн-12 (5)
- IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 18:19 , 25-Июн-12 (6)
> Способ - что-нибудь, связанное с динамическими правилами... > http://skeletor.org.ua/?p=1230 это маленько не то. >>Технически, в realtime это не делается > А как тогда? ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра. И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес. Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время. Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю
|