Задать вопрос
@nallion

Iptables mark + iproute2, как заблокировать домен?

Собственно вопросик небольшой)
Поднял я интернет-шлюз, lartc, все как надо.
Маркирую пакеты юзера

iptables -t mangle -A PREROUTING -s 10.0.0.6/32 ! -d 192.168.7.0/24 -j MARK --set-xmark 0x1/0xffffffff
И отправляю на нужный шлюз через ip rule

Нужно чтоб юзер, который сидит на этом правиле, не мог получить доступ к сайту скажем ya.ru
пробую так
iptables -t mangle -A PREROUTING -m mark --mark 1 -m string --string "ya.ru" --algo kmp -j DROP
а оно не работает, что ооооочень странно!
Подскажите, коллеги, как быть в этой ситуации?
  • Вопрос задан
  • 470 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
@MechanID
Админ хостинг провайдера
Эээ... дроп пакетов я уже вставлял бы в -t nat FORWARD а не тамже в mangle + учтите что так вы словите пачку фалс позитивов - например юзер будет открывать сайт где есть ссылки на ya.ru и пакеты тоже будут попадать под правило и дропатся.
имхо оч странное решение задачи.

Доступ к сайтам лучше резать на прокси или локальным днсом отдавать ип заглушки а сторонние днсы запретить/зафаерволить
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы