Как запретить выполнять запросы к определенному сайту на сервере?

Question

[FEDKOTV]

Есть веб-сервер на Debian в AWS.
Необходимо запретить любые запросы к api.telegram.org .
Как реализовать данную задачу? подсобите пожалуйста

Answer 1

[Лев Забудкин]

route add -host 149.154.167.220 reject

Comments

[FEDKOTV]

Подскажите пожалуйста, возможно ли сделать так, чтобы сервер мог выполнять запросы только к api.telegram.org ? Для этого достаточно будет запретить весь исходящий трафик сервера и разрешить запросы к одному IP ? Или не всё так просто?

[Лев Забудкин]

FEDKOTV, можно,
скажем так:
#удаляем маршрут по умолчанию
route del default
route add -host 149.154.167.220 gw IP_шлюза

IP_шлюза это как правило ип шлюза провайдера, чтобы понятнее было, в той же винде это шлюз.
После этого, никуда далее 149.154.167.220 никто не выйдет.
Ну или правилами iptables.
но то что Выше, там даже iptables не поможет.
А вот iptables:
iptables -P FORWARD DROP ----это мы сказали, что если у компа мы указаны как шлюз, то идите лесом, мы вас не принимаем
iptables -A FORWARD -s ИП_АДРЕС_ИЛИ_СЕТЬ -j ACCEPT ----------- вот это будет через себя пересылать

ну и в конце:
iptables -t nat -A POSTROUTING -o тут_интерфейс_выхода_в_инет -j MASQUERADE

либо тупо:
iptables -t nat -A POSTROUTING -j MASQUERADE

---
Главное чтобы на машинке было прописано
echo 1 > /proc/sys/net/ipv4/ip_forward
или соотвествующая запись в sysctl.conf.

Ну и на компах шлюз нашей машинки.

[FEDKOTV]

Лев Забудкин, премного вам благодарен! Упростили жизнь)) Всех благ!))

[Лев Забудкин]

FEDKOTV, всегда пожалуйста, обращайтесь, жаль тут нет ЛК.

Answer 2

[Рональд Макдональд]

Заблокируйте запросы на этот домен в iptables, инструкций полно.

Comments

[FEDKOTV]

а в iptables можно указать домен?

[Рональд Макдональд]

FEDKOTV, лучше через ipset. В iptables можно, да.

Answer 3

[Роман Молчанов]

В /etc/hosts прописать этот домен на локалхост, например.

Answer 4

[FeNUMe]

Попробуйте:

Дропаем все входящие с урла
iptables -A INPUT -s api.telegram.org -j DROP
Дропаем все исходящие на урл
iptables -A OUTPUT -d api.telegram.org -j DROP

Если не работает, то попробовать так https://linuxsecurity101.com/2018/12/01/tips-and-t...

Comments

[Довольный Айтишникъ]

Вы уверены что с именами оно работает? Насколько помню там только ip адреса

[FeNUMe]

Когда-то работало. Но прошло уже много лет, возможно убрали эту возможность, прямо сейчас проверить не могу.

[Vitaly Karasik]

Довольный Жизнью, не работает "из коробки", нужен плагин DNS

Answer 5

[Иван Шумов]

Все как всегда, ничего не меняется)

Answer 6

[Амир Авербах]

в AWS нет стандартных средств для запрета исходящего EC2 трафика на базе имени хоста. Security Groups в принципе не могут запрещать трафик (только разрешать), NACls работают на уровне TCP.
кроме упомянутых выше iptables у вас есть несколько других вариантов:
1. использовать forward proxy и фильтровать трафик непосредственно на нем (
2. AWS WAF (не уверен на 100%, но в теории фильтрование там есть), но для этого понадобится AWS ELB