อนุญาตเว็บไซต์เดียวที่ใช้ iptables ในเราเตอร์ linux [ซ้ำกัน]

คำถามนี้มีคำตอบอยู่ที่นี่แล้ว:

วิธีการบล็อกเว็บไซต์ด้วย iptables 6 คำตอบ

ฉันมีเซิร์ฟเวอร์ Linux ที่ฉันใช้เป็นเราเตอร์สำหรับเครือข่ายภายในของฉัน ฉันต้องปิดกั้นเว็บไซต์ทั้งหมดยกเว้นหนึ่งหรือสองแห่งโดยใช้ iptables

ฉันจะตั้งค่านี้ได้อย่างไร

— pamchi
แหล่งที่มา

พร็อกซีจะดีกว่า ... ?

— Kinnectus

ลองกับนโยบายที่ปฏิเสธและ iptables นี้ - เอาท์พุท -p tcp -m สตริง - string "allow-site.com" --algo kmp -j ยอมรับและเป็น @BigChris sayd ลองกับพร็อกซี่

— Francisco Tapia

บรรทัดนี้อาจทำเช่นเดียวกันหากคุณทำด้วย IP iptables -A OUTPUT -p tcp -d 5.6.7.8 -j ACCEPT และไม่ว่าคุณจะไปโดย IP หรือโดเมนหรือทั้งสองอย่าง เพิ่มไปที่ iptables -P INPUT -j DROP และ iptables -P OUTPUT -j DROP และ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ฉันอาจจะพลาดอะไรบางอย่างไปเพราะฉันไม่ได้ใช้ iptables มากนัก

— barlop

บทความนี้ อาจช่วยชี้คุณไปในทิศทางที่ถูกต้อง

— Trav

พร็อกซีไม่ใช่ตัวเลือกเนื่องจากปัญหาเกี่ยวกับการเข้ารหัส ssl ในโหมดโปร่งใส ฉันจำเป็นต้องใช้พอร์ต 80 และ 443 เพราะเป็นแอพพลิเคชั่นที่ต้องใช้อินเทอร์เน็ต

— pamchi

นี่มันคือ:

iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -d somewebsite.com --dport 80 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP

วิธีนี้จะอนุญาต DNS และการเข้าถึงโดเมนที่ระบุ หากคุณต้องการกำจัดรายการ DNS (--dport 53) สิ่งที่คุณต้องทำคือเพิ่มรายการสำหรับเว็บไซต์ไปยังไฟล์ / etc / hosts ของคุณ ฉันเกือบยอมแพ้ต่อสิ่งนี้จนกระทั่งฉันเห็นความคิดเห็นที่ผิด ๆ

เพียงอนุญาตไซต์เพิ่มเติมเพียงทำซ้ำบรรทัดไซต์และปรับตามนั้น ทำให้พวกเขาทั้งหมดเหนือ DROPs

คุณอาจพบคำตอบที่เกี่ยวข้องกับ iptables ก่อนหน้าของฉันซึ่งมีประโยชน์ในการทำงานของคุณ ต้องการกฎ iptables เพื่อยอมรับทราฟฟิกที่เข้ามาทั้งหมด

สนุก

— Alex Atkinson
แหล่งที่มา

ฉันไม่มีความเชี่ยวชาญ แต่จะทำอย่างไรเมื่อ DNS เป็น TCP -p tcp --dport 53 แล้ว DHCP ล่ะ?

— barlop

จากนั้นเพิ่มกฎที่จำเป็น คำตอบนี้ให้วิธีการของคำถามรวมถึงตัวอย่าง DNS สามารถเพิ่มอะไรก็ได้ตามความจำเป็น

— Alex Atkinson

หากคุณทิ้ง DHCP ไว้คอมพิวเตอร์อาจไม่ได้รับการเชื่อมต่อเครือข่าย และหากคุณไม่ได้ทำ DNS อย่างถูกต้องบางครั้ง DNS จะไม่ทำงานดังนั้นแม้ตัวอย่าง DNS ของคุณจะไม่ถูกต้อง

— barlop

คุณเขียน "อนุญาตไซต์เพิ่มเติมเพียงทำซ้ำบรรทัดไซต์และปรับเปลี่ยนให้อยู่เหนือ DROPs" & lt; - การลดลงเพียงอย่างเดียวคือนโยบาย .. ทำไมคุณถึงพูดว่ามันสำคัญที่จะต้องใช้นโยบายครั้งสุดท้ายแทนที่จะเป็นครั้งแรก หากคุณวางนโยบายก่อนจะไม่ทำให้กฎไม่ได้รับการยอมรับ

— barlop

ไซเบอร์นาร์ดมีความคิดเห็นนี้ซึ่งอาจมีความหมายสำหรับคำตอบของคุณ "บางครั้ง DNS ใช้ TCP ดังนั้นบางครั้ง DNS จะทำงานได้ในบางครั้งมันจะใช้งานไม่ได้นอกจากนี้คุณไม่ได้รับอนุญาตให้เข้าถึง IP พร็อกซีของเขาผ่านทาง TCP นอกจากนี้ IP ของเกตเวย์ไม่อยู่ในรายการดังนั้นจะถูกบล็อกหากเป็นการรับส่งข้อมูล TCP "

— barlop