Полагаю, вы имеете в виду этот и тот вопрос, когда речь идет о фактической блокировке Facebook.
Есть две вещи, которые там не обсуждаются.
Предполагать, что каждый пакет, направляющийся в Facebook, содержит строку www.facebook.com
- это слишком долго. Обратите внимание, что в связанных вопросах используется только строка facebook.com
. Не самый лучший подход, но это, кажется, общественно приемлемый метод блокировки facebook, так что вы можете сделать это.
После разрешения доменного имени, которое ваше правило не блокирует, ваш компьютер открывает TCP-соединение с Facebook. TCP квитирование не содержит строки www.facebook.com
и поэтому ваше правило не препятствует этому. После этого весь трафик просто принимается каким-то правилом -m state --state related,established -j ACCEPT
, которое у вас, скорее всего, есть.
Следующий sceenshot показывает мою (по умолчанию) таблицу фильтров OpenWRT, где хорошо видно, что для любой цепочки вторым правилом является упомянутое related,established
правило. В сочетании с успешным TCP квитированием, ваше правило никогда не оценивается для любого трафика данных к и от Facebook.
Вам придется ввести свое правило перед этим общим -j ACCEPT
.