Добрый день!
    Не сочтите за труд, помогите, пожалуйста, советом.

    Фильтрую https сайты с помощью ipfw на freebsd.
    - Блокирую все:
    ipfw add 00060 deny tcp from any to any https

    - и исключения, например:
    ipfw add 00003 allow tcp from any to www.ispa.sibirtelecom.ru 443
    или
    ipfw add 00004 allow tcp from any to esk.sbrf.ru 443
    все работает гут!

    Но, например, signin.ebay.com постоянно меняет IP и правило:
    ipfw add 00006 allow tcp from any to signin.ebay.com 443
    работает только несколько минут.

    Подскажите, пожалуйста, как сделать так, чтоб была реакция на меняющиеся IP.

          Заранее благодарен.
          С уважением, Сергей

• IPFW - https фильтрация при изменяющемся IP сайта,user, 09:40 , 24-Июн-12
  • IPFW - https фильтрация при изменяющемся IP сайта,Pahanivo, 11:27 , 25-Июн-12
  • IPFW - https фильтрация при изменяющемся IP сайта,httpal, 17:14 , 25-Июн-12
    • IPFW - https фильтрация при изменяющемся IP сайта,PavelR, 17:22 , 25-Июн-12
      • IPFW - https фильтрация при изменяющемся IP сайта,httpal, 17:30 , 25-Июн-12
        • IPFW - https фильтрация при изменяющемся IP сайта,PavelR, 18:19 , 25-Июн-12
          • IPFW - https фильтрация при изменяющемся IP сайта,httpal, 18:58 , 25-Июн-12
          • IPFW - https фильтрация при изменяющемся IP сайта,Pahanivo, 19:12 , 25-Июн-12

Whois query for 66.135.211.223...

Results returned from whois.arin.net:

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=66.135.211.223?showDetails...
#

NetRange:       66.135.192.0 - 66.135.223.255
CIDR:           66.135.192.0/19

Укажите всю их подсеть.

укажите 0.0.0.0/0 и пофег ))))

Спасибо, за советы))
Подсеть - это выход, но ведь есть же способ через ipfw в real-time преобразовывать доменное имя в ip. Еще несколько таких же сайтов есть, хотелось бы научиться...

> Спасибо, за советы))
> Подсеть - это выход, но ведь есть же способ через ipfw в
> real-time преобразовывать доменное имя в ip.

Укажите источник вашего знания о том, что "ведь есть же способ..." ?

Технически, в realtime это не делается.

> Еще несколько таких же сайтов
> есть, хотелось бы научиться...

Способ - что-нибудь, связанное с динамическими правилами...
http://skeletor.org.ua/?p=1230

>Технически, в realtime это не делается

А как тогда?

> Способ - что-нибудь, связанное с динамическими правилами...
> http://skeletor.org.ua/?p=1230

это маленько не то.

>>Технически, в realtime это не делается
> А как тогда?

ДНС - это не та штука, которая работает в реалтайме. В отличие от пакетного фильтра.
И пакетный фильтр не может себе позволить ждать пока произойдет разрешение имени в адрес.

Пишите скрипт и меняйте правила раз в Х минут, используя новые значения айпишников требуемого хоста. Для надежности - старые тоже держите заблокированными еще некоторое время.

Альтернативный способ - заворачивать всех на прокси-сервер и на нем фильтровать, но это также не всегда поможет (ИМХО) в случае HTTPS. (если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443 не указывая имени домена, а именно имя домена - критерий фильтрации)ю

Спасибо, буду пробовать))

> если на клиенте есть живой DNS то он может запросить CONNECT 1.2.3.4:443

ipfw deny udp from $lan to not me 53