Bloquer accès à des sites avec iptables

[ggbce]

Salut,

Je voulais bloquer l'accès à plusieurs sites (adresses) pour éviter que certains utilisateurs consultent des sites non-autorisés. Je veux également bloquer les sites FTP ou autres moyens de communication TCP/UDP tel que des radios Live !

J'ai 2 questions:

Pour fabriquer mes règles, est-ce que c'est préférable que j'utilise une règle du genre iptables -A INPUT -s 123.123.123.123 -j DROP (où 123.123.123.123 est l'adresse du siute à bloquer) ou plutot iptables -A OUTPUT -i eth0 -d 123.123.123.123 -j DROP ? La plupart des sites avec des exemples utilisent la règle INPUT... mais je ne trouve pas logique de bloquer "l'entrée du site", mais par contre bloquer l'accès au site à mes usagers semble la bonne méthode ?

---------------------------

Vu que la méthode de blocage est la répétition de la même règle, est-ce possible avec iptables d'utiliser un fichier de texte ou une BD avec une liste d'adresse, au-lieu de recréer 1000 fois la même règle ? Si oui, comment ? Car j'ai cherché dans le man et rien n'en parle. (Du genre: iptables -A OUTPUT -i eth0 -d /etc/banned.txt -j DROP

[lorinc]

nan, il faut faire un court script bash

tiré du "administration linux à 200%" aux éditions o'reilly :

BLACKLIST="/usr/local/etc/liste_noire.txt

for x in $(grep -v ^# $BLACKLIST | awk '{print $1'); 
do
  echo "blocage de $x..."
iptables -A INPUT -t filter -s $x -j DROP
done

évidement, ça c'est pour blackbouler les sites qui sont connus comme étant des attaquants notoire...

pour empêcher l'accès à certains sites, je mettrais aussi -A OUTPUT -t filter -d $x -j DROP

[ggbce]

Hummm, très intéressant !

Une liste généré par une simple boucle "for" qui récupère les données dans un fichier texte avec un grep/awk. C'est simple et bien !!!

Je vais essayer cela. Merci.