iptables. Как запретить доступ к ip/домену по всем типам соединения?

[jobfox]

Блокировать все.
разрешено http.

Нужно правило для блокировки определенных ip/доменов/ **частей доменов**

Поделитесь правилом, подскажите, пример правила. Пожалуйста, помогите.

[Nigga]

Код: Выделить всё

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A OUTPUT -p tcp -m tcp -o интерфейс_в_Инет --sport 1024:65535 --dport 80 -j ACCEPT

http://www.opennet.ru/docs/RUS/iptables/

[skor]

Блокировать все.
разрешено http.

Нужно правило для блокировки определенных ip/доменов/ **частей доменов**

Поделитесь правилом, подскажите, пример правила. Пожалуйста, помогите.

Части доменов - это как? Если что-то типа ftp.domain.com разрешить, а www.domain.com запретить (при том что и ftp и www указывают на один и тот же адрес) врядли получится (если домен вдруг внезапно сменит адрес, то ранее написанные правила пойдут лесом).
Если у вас только HTTP то ставьте сквид (+ прозрачное проксирование при желании) и в самом сквиде нарезайте как угодно, хоть по словам, хоть по буквам, хоть по фазе луны.

[DSS]

Части доменов - это как? Если что-то типа ftp.domain.com разрешить, а www.domain.com запретить (при том что и ftp и www указывают на один и тот же адрес) врядли получится (если домен вдруг внезапно сменит адрес, то ранее написанные правила пойдут лесом).

Вообще-то iptables поддерживает указание хостов именами.
Делать так не рекомендуется (самая банальная причина - на момент старта iptables недоступен DNS), но, тем не менее, возможно.
Другой вопрос, что указать что-нибудь вроде dom*.com нельзя.

[Ленивая Бестолочь]

i	Уведомление от модератора
	переезжаем в "администрирование для начинающих"

[skor]

Вообще-то iptables поддерживает указание хостов именами.

Поддерживает, не спорю, вот только имя в адрес преобразовывается только один раз, при добавлении правил. И iptables смену адреса у домена никак не заметит (без перезагрузки правил iptables)