iptablesIP/ネットワーク/ホスト名に基づいてルールを挿入できます。
iptables -t filter -A OUTPUT -p tcp -d www.google.com -j ACCEPT -m comment --comment "www.google.com"
以下は許可されていません。
iptables v1.4.7: host/network www.google.com not found
Try iptables -h' or 'iptables --help' for more information.
ベストアンサー1
ホスト/ネットワークwww.google.comが見つかりません。
DNSを設定する前に、またはファイアウォールがDNSをブロックするように設定されている場合にこれを実行できます。
それにもかかわらず、作業に誤ったツールを使用しています。あなたはハンマーでネジを締めようとします。仕事を終えることができても、私はその椅子に座らないでしょう。
この例では動作しません。www.google.comIP アドレスが多く、指定された DNS ルックアップはその一部のみを返します。すべてのIPアドレスを簡単に列挙することはできませんwww.google.com。したがって、お客様のリクエストはランダムwww.google.comに通過したり通過したりすることはありません。代わりに、Googleより小さいWebサイトが複数の同じIPアドレスで実行されているため、すべてをブロックしたりまったくブロックしたりすることはできません。
ネットワークアクセスをフィルタリングするには、次のものが必要です。ネットワークプロキシ。 itables設定では、ポート443を除くすべての発信アクセスをブロックし(この回答では対処しない侵入的で安全でない方法を除いてHTTPSをほとんどフィルタリングできません)、ユーザー除外プロキシを実行します。
iptables -P OUTPUT DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m owner --uid-owner wwwproxy -j ACCEPT
wwwproxyプロキシの設定に応じて、HTTPプロキシが実行されているユーザー名に置き換えます。
多くのHTTPプロキシがあります。イカは人気がありますが、小規模なインストールではより小さいものを好むかもしれません。