URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82896
[ Назад ]

Исходное сообщение
"Подскажите, плз, как в IPFW заблокировать хост по имени"

Отправлено jant , 17-Ноя-08 13:16 
ipfw add N deny all from any to "необходимое имя"
не получается:
- имя не резолвится, кроме того имена бывают плавающие и тогда вообще ip не достаточно

Содержание

Сообщения в этом обсуждении
"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено jant , 17-Ноя-08 13:46 
Неужели ни кто не сталкивался с таким!?
>ipfw add N deny all from any to "необходимое имя"
>не получается:
>- имя не резолвится, кроме того имена бывают плавающие и тогда вообще
>ip не достаточно

"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено angra , 17-Ноя-08 13:47 
Интересно, вы представляете что будет происходить, если ip фильтр будет резолвить доменные имена на стадии выполнения? А что он должен делать если прямые и обратные записи не совпадают?

"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено jant , 17-Ноя-08 13:51 
>Интересно, вы представляете что будет происходить, если ip фильтр будет резолвить доменные
>имена на стадии выполнения? А что он должен делать если прямые
>и обратные записи не совпадают?

да, это понятно,
как же тогда запретить хождение чего-либо на хост с определённым именем, если адрес, которому соответствует имя, плавающий, например, smtp.google.com, smtp.mail.ru, activate....


"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено бусик , 17-Ноя-08 14:11 
>>Интересно, вы представляете что будет происходить, если ip фильтр будет резолвить доменные
>>имена на стадии выполнения? А что он должен делать если прямые
>>и обратные записи не совпадают?
>
>да, это понятно,
>как же тогда запретить хождение чего-либо на хост с определённым именем, если
>адрес, которому соответствует имя, плавающий, например, smtp.google.com, smtp.mail.ru, activate....

м.б. на уровне прокси?


"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено jant , 17-Ноя-08 14:42 
>>>Интересно, вы представляете что будет происходить, если ip фильтр будет резолвить доменные
>>>имена на стадии выполнения? А что он должен делать если прямые
>>>и обратные записи не совпадают?
>>
>>да, это понятно,
>>как же тогда запретить хождение чего-либо на хост с определённым именем, если
>>адрес, которому соответствует имя, плавающий, например, smtp.google.com, smtp.mail.ru, activate....
>
>м.б. на уровне прокси?

к сожалению там адреса почтовых серверов гугл и других - ч-з прокси эти запросы не выполняются


"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено krol , 17-Ноя-08 15:03 
если имя резолвится, то ipfw его порезолвит при добовлении правила:

# ipfw add 50 deny all from any to smtp.mail.ru
00050 deny ip from any to 194.67.23.111


как это "плавающий"?
smtp.google.com имеет адрес 209.85.237.25
это балансировщик и адрес у него должен быть постоянным, а почта у вас ходит через:
# host smtp.google.com
smtp.google.com is an alias for smtp1.google.com.
smtp1.google.com has address 209.85.237.25
smtp1.google.com mail is handled by 10 smtp2.google.com.
smtp1.google.com mail is handled by 10 smtp3.google.com.
smtp1.google.com mail is handled by 10 smtp4.google.com.
smtp1.google.com mail is handled by 10 smtp1.google.com.


"Подскажите, плз, как в IPFW заблокировать хост по имени"
Отправлено jant , 17-Ноя-08 15:34 
>[оверквотинг удален]
>smtp.google.com имеет адрес 209.85.237.25
>это балансировщик и адрес у него должен быть постоянным, а почта у
>вас ходит через:
># host smtp.google.com
>smtp.google.com is an alias for smtp1.google.com.
>smtp1.google.com has address 209.85.237.25
>smtp1.google.com mail is handled by 10 smtp2.google.com.
>smtp1.google.com mail is handled by 10 smtp3.google.com.
>smtp1.google.com mail is handled by 10 smtp4.google.com.
>smtp1.google.com mail is handled by 10 smtp1.google.com.

к сожалению 209.85.237.25 только на данный момент, но приблизительно 1-2 раза в неделю он меняется, наверное, из-за каких-то анти-спам стратегий