Вопросы Теги

Блокировка веб-сайтов по дням и часам с использованием Iptables в OpenWRT

Проблема заключалась в --efi-directory, это должно быть то же самое, что и grub-mkconfig 

arch-root /mnt
grub-install --efi-directory=boot /dev/sda
grub-mkconfig -o /boot/grub/grub.cfg
mkinitcpio -p linux

. Решено.

2
22.02.2016, 05:17
3 ответа

Вы можете создать несколько скриптов .sh, которые будут выполняться с помощью crontab. в crontab :

00 9 * * *  /somedir/blockfun.sh
00 18 * * * /somedir/unblockfun.sh

и добавьте в blockfun.sh что-то вроде этого: iptables -A INPUT -m string --string "facebook.com" --algo kmp --to 65535 -j DROP , или как вы предпочитаете блокировать URL

и, конечно, удалите это правило в unblock.sh

1
27.01.2020, 21:54

Возможно, вы пытаетесь использовать часы местного времени, а ядро, при использовании time модуля iptables, предполагает, что даты и время указаны в UTC.

Цитируя мою страницу руководства iptables о -m time:

   time
       This matches if the packet arrival time/date is within a given range.
       All options are optional, but are ANDed when specified. All times are
       interpreted as UTC by default.
2
27.01.2020, 21:54

Полагаю, вы имеете в виду этот и тот вопрос, когда речь идет о фактической блокировке Facebook.

Есть две вещи, которые там не обсуждаются.

  1. Предполагать, что каждый пакет, направляющийся в Facebook, содержит строку www.facebook.com - это слишком долго. Обратите внимание, что в связанных вопросах используется только строка facebook.com. Не самый лучший подход, но это, кажется, общественно приемлемый метод блокировки facebook, так что вы можете сделать это.

  2. После разрешения доменного имени, которое ваше правило не блокирует, ваш компьютер открывает TCP-соединение с Facebook. TCP квитирование не содержит строки www.facebook.com и поэтому ваше правило не препятствует этому. После этого весь трафик просто принимается каким-то правилом -m state --state related,established -j ACCEPT, которое у вас, скорее всего, есть.

    Следующий sceenshot показывает мою (по умолчанию) таблицу фильтров OpenWRT, где хорошо видно, что для любой цепочки вторым правилом является упомянутое related,established правило. В сочетании с успешным TCP квитированием, ваше правило никогда не оценивается для любого трафика данных к и от Facebook.

    Вам придется ввести свое правило перед этим общим -j ACCEPT.

    OpenWRT INPUT, FORWARD and OUTPUT chains of the filter table

2
27.01.2020, 21:54

Теги

Похожие вопросы

  • 2
    Что делают дублирующиеся правила iptables? 16.08.2017
    Я пытаюсь лучше понять, как Docker подключает сеть, и наткнулся на этот вопрос. Примечание: я не думаю, что это имеет какое-то отношение к Docker как таковому, это было только средство под ...
  • 7
    Существует ли сервис эхо-запроса ICMP? 10.10.2014
    Часто, в приложениях, которые я разрабатываю, мне нравится включать индикатор состояния сети для различных устройств в сети. Самый легкий способ контролировать эти устройства путем проверки с помощью ping-запросов их. Но эхо ICMP...
  • 2
    mknfsmnt перестал работать с “Кодом ошибки системного вызова-1” 19.03.2015
    Эта система является частью кластера, и другой узел монтирует долю nfs успешно. Это в настоящее время - активный узел, что означает, что он имеет вторичный сервисный IP-адрес. Я думаю, что это связано с...
  • 0
    Как я могу реализовать белый список для определенного порта с помощью iptables? 01.09.2017
    Я пытаюсь реализовать набор правил с использованием iptables, который по умолчанию блокирует входящий трафик с заданным портом, но разрешает входящий трафик, если исходный IP-адрес или MAC-адрес находится в определенном белом списке ....
  • 1
    Как я могу переустановить Администратора сети после удаления его? 28.06.2014
    Я выполняю версию RHCE6 на моем ноутбуке, и в последнее время я пробовал различный материал о конфигурации сети через командную строку. Вчера вечером я пытался удалить NetworkManager с помощью конфетки...
  • 0
    Адаптер Wi-Fi не найден? 28.12.2018
    Я использую Ubuntu 18.4. Моя система зависла и сделала перезагрузку, с тех пор мой Wi-Fi не работает. Я попробовал решение, предложенное в этом вопросе, но безрезультатно. У меня двойная загрузка с окнами, и это не ...
  • 1
    Подсчет байтов по портам 17.03.2016
    Использование RHEL / CentOS 6.7 - я хочу иметь возможность знать количество байтов на портах IPv4. У нас есть тысячи ... Я бы подумал, что подсчет с помощью таблиц IP для этого был бы немного неприятным и немного замедлил бы брандмауэр ...