forum.opennet.ru - "IPFW - https фильтрация при изменяющемся IP сайта" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPFW - https фильтрация при изменяющемся IP сайта"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPFW - https фильтрация при изменяющемся IP сайта"	+/–
Сообщение от httpal (ok) on 24-Июн-12, 08:36
Добрый день! Не сочтите за труд, помогите, пожалуйста, советом. Фильтрую https сайты с помощью ipfw на freebsd. - Блокирую все: ipfw add 00060 deny tcp from any to any https - и исключения, например: ipfw add 00003 allow tcp from any to www.ispa.sibirtelecom.ru 443 или ipfw add 00004 allow tcp from any to esk.sbrf.ru 443 все работает гут! Но, например, signin.ebay.com постоянно меняет IP и правило: ipfw add 00006 allow tcp from any to signin.ebay.com 443 работает только несколько минут. Подскажите, пожалуйста, как сделать так, чтоб была реакция на меняющиеся IP. Заранее благодарен. С уважением, Сергей
Ответить \| Правка \| Cообщить модератору

Оглавление

IPFW - https фильтрация при изменяющемся IP сайта, user, 09:40 , 24-Июн-12, (1)

IPFW - https фильтрация при изменяющемся IP сайта, Pahanivo, 11:27 , 25-Июн-12, (2)
IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:14 , 25-Июн-12, (3)

IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 17:22 , 25-Июн-12, (4)

IPFW - https фильтрация при изменяющемся IP сайта, httpal, 17:30 , 25-Июн-12, (5)

IPFW - https фильтрация при изменяющемся IP сайта, PavelR, 18:19 , 25-Июн-12, (6)

IPFW - https фильтрация при изменяющемся IP сайта, httpal, 18:58 , 25-Июн-12, (7)
IPFW - https фильтрация при изменяющемся IP сайта, Pahanivo, 19:12 , 25-Июн-12, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от user (??) on 24-Июн-12, 09:40

Whois query for 66.135.211.223...
Results returned from whois.arin.net:
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66.135.211.223?showDetails...
#
NetRange: 66.135.192.0 - 66.135.223.255
CIDR: 66.135.192.0/19
Укажите всю их подсеть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от Pahanivo (ok) on 25-Июн-12, 11:27

укажите 0.0.0.0/0 и пофег ))))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от httpal (ok) on 25-Июн-12, 17:14

Спасибо, за советы))
Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от PavelR (ok) on 25-Июн-12, 17:22

> Спасибо, за советы))
> Подсеть - это выход, но ведь есть же способ через ipfw в
> real-time преобразовывать доменное имя в ip.
Укажите источник вашего знания о том, что "ведь есть же способ..." ?
Технически, в realtime это не делается.
> Еще несколько таких же сайтов
> есть, хотелось бы научиться...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от httpal (ok) on 25-Июн-12, 17:30

Способ - что-нибудь, связанное с динамическими правилами...
http://skeletor.org.ua/?p=1230
>Технически, в realtime это не делается
А как тогда?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от PavelR (ok) on 25-Июн-12, 18:19

> Способ - что-нибудь, связанное с динамическими правилами...
> http://skeletor.org.ua/?p=1230
это маленько не то.
>>Технически, в realtime это не делается
> А как тогда?
ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра.
И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес.
Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время.
Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от httpal (ok) on 25-Июн-12, 18:58

Спасибо, буду пробовать))

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPFW - https фильтрация при изменяющемся IP сайта" +/–

Сообщение от Pahanivo (ok) on 25-Июн-12, 19:12

> если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443
ipfw deny udp from $lan to not me 53

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
Сообщение от user (??) on 24-Июн-12, 09:40
Whois query for 66.135.211.223... Results returned from whois.arin.net: # # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=66.135.211.223?showDetails... # NetRange: 66.135.192.0 - 66.135.223.255 CIDR: 66.135.192.0/19 Укажите всю их подсеть.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от Pahanivo (ok) on 25-Июн-12, 11:27
	укажите 0.0.0.0/0 и пофег ))))
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от httpal (ok) on 25-Июн-12, 17:14
	Спасибо, за советы)) Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от PavelR (ok) on 25-Июн-12, 17:22
	> Спасибо, за советы)) > Подсеть - это выход, но ведь есть же способ через ipfw в > real-time преобразовывать доменное имя в ip. Укажите источник вашего знания о том, что "ведь есть же способ..." ? Технически, в realtime это не делается. > Еще несколько таких же сайтов > есть, хотелось бы научиться...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от httpal (ok) on 25-Июн-12, 17:30
	Способ - что-нибудь, связанное с динамическими правилами... http://skeletor.org.ua/?p=1230 >Технически, в realtime это не делается А как тогда?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от PavelR (ok) on 25-Июн-12, 18:19
	> Способ - что-нибудь, связанное с динамическими правилами... > http://skeletor.org.ua/?p=1230 это маленько не то. >>Технически, в realtime это не делается > А как тогда? ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра. И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес. Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время. Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от httpal (ok) on 25-Июн-12, 18:58
	Спасибо, буду пробовать))
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "IPFW - https фильтрация при изменяющемся IP сайта"	+/–
	Сообщение от Pahanivo (ok) on 25-Июн-12, 19:12
	> если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 ipfw deny udp from $lan to not me 53
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору