iptables , долго кеширует страницы

i-diot	# 10 лет, 5 месяцев назад
Темы: 24 Сообщения: 130 Участник с: 04 сентября 2011	Использую iptables , для блокировки всего входящего http трафика,кроме определенных сайтов Сам скрипт http://paste.pocoo.org/show/565663/ iptables -L http://fpaste.org/3ABV/ Стр. открываются с трудом ,какую еще цепочку стоить добавить в моем случае ps: проверяю все, где и запущен iptables , с днс проблем нет, без запущеного iptables ,все работает прекрасно

# 10 лет, 5 месяцев назад

Сообщения: 130

Участник с: 04 сентября 2011

Использую iptables , для блокировки всего входящего http трафика,кроме определенных сайтов
Сам скрипт
http://paste.pocoo.org/show/565663/

iptables -L

http://fpaste.org/3ABV/

Стр. открываются с трудом ,какую еще цепочку стоить добавить в моем случае

ps: проверяю все, где и запущен iptables , с днс проблем нет, без запущеного iptables ,все работает прекрасно

sleepycat	# 10 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	может я ослеп,но я не вижу 53 порта. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

может я ослеп,но я не вижу 53 порта.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

grayich	# 10 лет, 5 месяцев назад
Темы: 216 Сообщения: 1984 Участник с: 08 января 2009	больше интересует вопрос, зачем фаервол десктопу?

sysmouse	# 10 лет, 5 месяцев назад (отредактировано 10 лет, 5 месяцев назад)
Темы: 7 Сообщения: 577 Участник с: 17 июня 2008	Да где и зачем вы такие скрипты берёте? Ну неужели так сложно уделить пол-часа времени и прочитать хотя бы начало документации по iptables? для блокировки всего входящего http трафика,кроме определенных сайтов Мне непонятен смысл данного действия. Зачем блокировать доступ к своему 80 порту для всех, кроме определенных доменов? Ну допустим даже это необходимо. -A INPUT -p tcp --sport 80 -j DROP Как думаешь, как часто к тебе с 80 порта подключаются? В общем, в том что есть даже разбираться не хочется. Задай конкретную задачу, что тебе надо сделать.

sysmouse

# 10 лет, 5 месяцев назад (отредактировано 10 лет, 5 месяцев назад)

Темы: 7

Сообщения: 577

Участник с: 17 июня 2008

Да где и зачем вы такие скрипты берёте? Ну неужели так сложно уделить пол-часа времени и прочитать хотя бы начало документации по iptables?

для блокировки всего входящего http трафика,кроме определенных сайтов

Мне непонятен смысл данного действия. Зачем блокировать доступ к своему 80 порту для всех, кроме определенных доменов?
Ну допустим даже это необходимо.

-A INPUT -p tcp --sport 80 -j DROP

Как думаешь, как часто к тебе с 80 порта подключаются?

В общем, в том что есть даже разбираться не хочется. Задай конкретную задачу, что тебе надо сделать.

killer1804	# 10 лет, 5 месяцев назад
Темы: 54 Сообщения: 515 Участник с: 13 марта 2007	Не глядел правила, но могу с ходу сказать в чем причина - причина в рекламных баннерах на страницах, до самих страниц доступ есть, до баннеров на странице доступа нет, на закрытие tcp-сессии до каждого баннера нужно время, и кстати - баннеры прогружаются в первую очередь. ЗЫ: И правила для сброса tcp- сесии DROP даже не REJECT, понимаю что ерничать не хорошо, но никак не могу удержаться, сорри :))

killer1804

# 10 лет, 5 месяцев назад

Темы: 54

Сообщения: 515

Участник с: 13 марта 2007

Не глядел правила, но могу с ходу сказать в чем причина - причина в рекламных баннерах на страницах, до самих страниц доступ есть, до баннеров на странице доступа нет, на закрытие tcp-сессии до каждого баннера нужно время, и кстати - баннеры прогружаются в первую очередь.

ЗЫ: И правила для сброса tcp- сесии DROP даже не REJECT, понимаю что ерничать не хорошо, но никак не могу удержаться, сорри :))

i-diot	# 10 лет, 5 месяцев назад
Темы: 24 Сообщения: 130 Участник с: 04 сентября 2011	sysmouse Да где и зачем вы такие скрипты берёте? Ну неужели так сложно уделить пол-часа времени и прочитать хотя бы начало документации по iptables? для блокировки всего входящего http трафика,кроме определенных сайтов Мне непонятен смысл данного действия. Зачем блокировать доступ к своему 80 порту для всех, кроме определенных доменов? Ну допустим даже это необходимо. -A INPUT -p tcp --sport 80 -j DROP Как думаешь, как часто к тебе с 80 порта подключаются? В общем, в том что есть даже разбираться не хочется. Задай конкретную задачу, что тебе надо сделать. Блокировать весь контент , кроме определенных сайтов,указанных в листе, это для школы нужно,, поэтому тестирую на своей машине, squid не получится, ибо сервера нет пока

i-diot

# 10 лет, 5 месяцев назад

Темы: 24

Сообщения: 130

Участник с: 04 сентября 2011

sysmouse
Да где и зачем вы такие скрипты берёте? Ну неужели так сложно уделить пол-часа времени и прочитать хотя бы начало документации по iptables?

для блокировки всего входящего http трафика,кроме определенных сайтов
Мне непонятен смысл данного действия. Зачем блокировать доступ к своему 80 порту для всех, кроме определенных доменов?
Ну допустим даже это необходимо.
-A INPUT -p tcp --sport 80 -j DROP
Как думаешь, как часто к тебе с 80 порта подключаются?

В общем, в том что есть даже разбираться не хочется. Задай конкретную задачу, что тебе надо сделать.

Блокировать весь контент , кроме определенных сайтов,указанных в листе, это для школы нужно,, поэтому тестирую на своей машине, squid не получится, ибо сервера нет пока

Natrio	# 10 лет, 5 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Подробнее. Вы настраиваете фаерволл на каждой юзерской машине или на гейте? Как целиком это всё устроено?

i-diot	# 10 лет, 5 месяцев назад
Темы: 24 Сообщения: 130 Участник с: 04 сентября 2011	Сначало на 1 машине все настрою(хотя уже все настроено,остался вот этот момент), а потом образом раскидаю на другие. Виндовая машина у них, которая инет раздает ,подлючена к wi-fi точки доступа , которая раздает уже инет на компы , в последующем поставить уже squid

i-diot

# 10 лет, 5 месяцев назад

Темы: 24

Сообщения: 130

Участник с: 04 сентября 2011

Сначало на 1 машине все настрою(хотя уже все настроено,остался вот этот момент), а потом образом раскидаю на другие.

Виндовая машина у них, которая инет раздает ,подлючена к wi-fi точки доступа , которая раздает уже инет на компы , в последующем поставить уже squid

Natrio	# 10 лет, 5 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Понятно. А теперь немного теории. Входящие соединения – это те, что инициируются снаружи. Когда браузер обращается к веб-серверу, он изнутри инициирует ИСХОДЯЩЕЕ соединение. Если вы хотите заблокировать доступ к определённым сайтам, вам нужно блокировать не входящий, а исходящий траффик, то есть запросы к этим хостам, а не их ответы, которые без запросов и так никогда не появятся, никогда не пройдут через NAT на шлюзе, а браузер никогда не примет запросы сам, потому что он клиент, а не сервер. Как правило, фаерволл блокирует именно входящие соединения, а исходящие пропускает, включая ответы на запросы. Если надо заблокировать доступ изнутри, это делают на шлюзе, а не на клиентских машинах – иначе простая перенастройка клиентской машины позволит убрать или обойти любые созданные на ней же рогатки. Чтобы заблокировать какие-либо соединения на шлюзе, это надо делать в цепочке FORWARD. Чтобы заблокировать исходящие на клиентской машине, это делают в цепочке OUTPUT. Входящие – в цепочке INPUT.

Natrio

# 10 лет, 5 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Понятно. А теперь немного теории.

Входящие соединения – это те, что инициируются снаружи. Когда браузер обращается к веб-серверу, он изнутри инициирует ИСХОДЯЩЕЕ соединение. Если вы хотите заблокировать доступ к определённым сайтам, вам нужно блокировать не входящий, а исходящий траффик, то есть запросы к этим хостам, а не их ответы, которые без запросов и так никогда не появятся, никогда не пройдут через NAT на шлюзе, а браузер никогда не примет запросы сам, потому что он клиент, а не сервер.

Как правило, фаерволл блокирует именно входящие соединения, а исходящие пропускает, включая ответы на запросы. Если надо заблокировать доступ изнутри, это делают на шлюзе, а не на клиентских машинах – иначе простая перенастройка клиентской машины позволит убрать или обойти любые созданные на ней же рогатки.

Чтобы заблокировать какие-либо соединения на шлюзе, это надо делать в цепочке FORWARD.
Чтобы заблокировать исходящие на клиентской машине, это делают в цепочке OUTPUT.
Входящие – в цепочке INPUT.

sleepycat	# 10 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	согласен с адептами и пользователями, почитайте теории по фаеру, затем у вас я думая классическая схема “запрещаем все по умолчанию и пишем что можно”. grayich больше интересует вопрос, зачем фаервол десктопу? ну на всякий пожарный вешаю ufw, просто лень знакомится с iptables. Понятно что это для блокировки входа, но не для “ общей политики”. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

согласен с адептами и пользователями, почитайте теории по фаеру, затем у вас я думая классическая схема “запрещаем все по умолчанию и пишем что можно”.

grayich
больше интересует вопрос, зачем фаервол десктопу?

ну на всякий пожарный вешаю ufw, просто лень знакомится с iptables. Понятно что это для блокировки входа, но не для “ общей политики”.