Другое > Интернет и сети
Блокировка сайтов в браузере SRWare Iron
Пользователь.:
Много времени потратил на тестирование разных вариантов и чтение инструкций.
Сработал белый список в iptabeles.
Но, если ошибешься при настройке iptabeles, то останешься без интернета в системе, поэтому следует подготовить загрузочную флешку, чтобы можно было если что через нее задавать вопросы на форуме.
======================================================
< Блокировка сайтов по белому списку >
======================================================
0. Подготовка.
Устанавливаем iptables-persistent
--- Код: ---sudo apt update && sudo apt install iptables-persistent
--- Конец кода ---
На вопросы сохранить настройки сети, выбираем Да.
1. Открываем с правами администратора /etc/hosts
--- Код: ---sudo geany /etc/hosts
--- Конец кода ---
Прописываем там IP адреса разрешенных сайтов, напротив каждого ip адреса вводим пробел и текстовый вид адреса.
IP адрес forum.runtu.org можно узнать выполнив в терминале команду:
--- Код: ---ping forum.runtu.org
--- Конец кода ---
Пример строки в hosts:
77.222.57.68 forum.runtu.org
Таким же образом прописываем все адреса, которые должны открываться.
Последняя строка текстового файла должна быть пустой (если все строки заполнены, энтером добавить новую).
В текстовом редакторе нажать кнопку сохранить, и закрыть его.
2. Смотрим изначальный вариант настроек iptabeles
--- Код: ---sudo iptables -L
--- Конец кода ---
Должны выйти такие настройки по умолчанию
--- Цитировать (выделенное) ---Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
--- Конец цитаты ---
3. Блокируем получение файлов от всех адресов
--- Код: ---sudo iptables -P INPUT DROP
--- Конец кода ---
4. Разрешаем получение файлов от нужного нам сайта
--- Код: ---sudo iptables -A INPUT -s 77.222.57.68 -j ACCEPT
--- Конец кода ---
5. Проверяем настройки iptabeles
--- Код: ---sudo iptables -L
--- Конец кода ---
Должно получиться так
--- Цитировать (выделенное) ---Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- forum.runtu.org anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
--- Конец цитаты ---
6. Сохраняем настройки iptables, чтобы они не сбросились после перезагрузки системы
--- Код: ---sudo dpkg-reconfigure iptables-persistent
--- Конец кода ---
На вопросы сохранить настройки сети, выбираем Да.
======================================================
< Временная отмена блокировки сайтов >
======================================================
Если понадобится обновить систему или установить программы.
Отключаем блокировку сайтов
--- Код: ---sudo iptables -P INPUT ACCEPT
--- Конец кода ---
Устанавливаем программы. Или обновляем систему.
Включаем блокировку сайтов
--- Код: ---sudo iptables -P INPUT DROP
--- Конец кода ---
Либо можно просто перезагрузить компьютер, чтобы блокировка обратно включилась.
======================================================
< Удаление блокировки сайтов >
======================================================
Для отключения блокировки сайтов достаточно выполнить следующие команды.
Стираем белый список
--- Код: ---sudo iptables -F
--- Конец кода ---
Включаем прием файлов со всех адресов
--- Код: ---sudo iptables -P INPUT ACCEPT
--- Конец кода ---
Смотрим настройки iptabeles
--- Код: ---sudo iptables -L
--- Конец кода ---
Должно получиться так
--- Цитировать (выделенное) ---Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
--- Конец цитаты ---
Сохраняем настройки iptabeles
--- Код: ---sudo dpkg-reconfigure iptables-persistent
--- Конец кода ---
Удаляем программу для сохранения настроек iptabeles
--- Код: ---sudo apt remove iptables-persistent
--- Конец кода ---
vladiko:
--- Цитата: Пользователь. от Январь 24, 2023, 21:16:37 ---3. Блокируем все наши запросы к любым интернет адресам
--- Конец цитаты ---
Компьютер находится в локальной одноранговой сети, имеет статический адрес (192.168.13.32).
Он после всех данных операций - останется виден в локальной сети другим компьютерам?
И сам будет видеть другие компьютеры сети?
Заблокируются лишь адреса выхода в интернет (которые не прописаны в белом списке)?
Или нужно прописывать ему в iptables в белый список ещё и все адреса локальной сети? (если да, то пример строчки какой?)
Соответственно - могу я все эти настройки пробовать делать, подключившись к рабочему столу этого компьютера удалённо (по протоколу vnc), или связь с ним может оборваться после подобных манипуляций и мне придётся выходить на место его установки для подобных настроек?
vladiko:
--- Цитата: Пользователь. от Январь 24, 2023, 21:16:37 ---Открываем с правами администратора /etc/hosts
--- Конец цитаты ---
В этом файле уже есть "кое-что", например:
--- Цитировать (выделенное) ---127.0.0.1 localhost
127.0.1.1 HOST119
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
--- Конец цитаты ---
Это "кое-что" - должно остаться, верно? И нужные строки для белого списка просто добавляем ниже, в конец этого "кое-что", да?
Пользователь.:
Ответ на первый вопрос - напишу после работы вечером, требуется обдумать.
Ответ на второй вопрос.
Совершенно верно, содержимое в /etc/hosts должно остаться, так как нужны системным службам. Ниже имеющегося там текста энтером добавляем новые строки и прописываем свои сайты.
Для информации.
/etc/hosts - это файл сетевых настроек в котором привязываются текстовый адрес к цифровому IP.
Браузер или другая программа при обращении по текстовому адресу, увидит в этом файле IP привязанный к текстовому адресу, и перейдет по IP.
Обычно этим занимаются DNS серверы размещенные в интернете, но мы все сайты заблокировали, в том числе эти DNS серверы.
Если адрес DNS сервера добавить в белый список iptabeles, то писать адреса сайтов в /etc/hosts не понадобится.
Белый список мы составляем в другом месте, в настройках iptabeles.
Вот он
--- Цитировать (выделенное) ---Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- forum.runtu.org anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
--- Конец цитаты ---
Пользователь.:
Ответ на первый вопрос.
--- Цитата: vladiko от Январь 25, 2023, 07:46:15 ---Компьютер находится в локальной одноранговой сети, имеет статический адрес (192.168.13.32).
--- Конец цитаты ---
Нужно будет добавить в белый список диапазон адресов локальной сети.
Примерно так
--- Код: ---sudo iptables -I INPUT -m iprange --src-range 192.168.13.0-192.168.13.32 -j ACCEPT
--- Конец кода ---
Пример проверить мне негде, нет у меня локальной сети. Да и практики у меня в этом нет, iptabeles начал изучать вчера, после твоего вопроса.
По VNC сеть настраивать слишком рисковано, можно остаться без доступа, лучше быть возле компьютера.
Да и вообще локалка может быть организована по-разному, если каждый компьютер имеет доступ к модему, то блокировка адресов на одном из компьютеров не повлияет на другие компьютеры. А вот если доступ к модему есть только у сервера, а остальные через сервер выходят в интернет, то тут блокировка должна сработать для всех компьютеров в сети.
Но это я предполагаю, на практике не проверял, когда работал в одном офисе фирмы, там просто у всех компьютеров был доступ к модему, то есть шлюз для подключению к интернету был указан ip модема.
Навигация
Перейти к полной версии