Я на простом прокси Linux. Я хотел бы добавить правила iptable, чтобы отбрасывать все запросы для определенного домена. Я решил, что запускаю команду dig, чтобы получить IP-адреса для домена, а затем добавляю правило iptable для каждого из них. Однако кажется, что привязка более чем к одному IP-адресу не работает. Итак, похоже, мне нужно добавить такие диапазоны IP ...
iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j DROP
Кажется, это работает. Однако оказалось, что анализировать вывод dig и правильно создавать соответствующие правила iptable довольно проблематично. Есть ли способ лучше?
Вы можете указать имена хостов в iptables команды, которые будут разрешены во время добавления правила. Также поддерживаются имена хостов, которые разрешаются в несколько IP-адресов, хотя они генерируют несколько правил.
% sudo iptables --append FORWARD --protocol tcp --destination www.google.com --dport 443 --jump DROP
% sudo iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 74.125.224.147 tcp dpt:443
DROP tcp -- 0.0.0.0/0 74.125.224.145 tcp dpt:443
DROP tcp -- 0.0.0.0/0 74.125.224.148 tcp dpt:443
DROP tcp -- 0.0.0.0/0 74.125.224.144 tcp dpt:443
DROP tcp -- 0.0.0.0/0 74.125.224.146 tcp dpt:443