Limitare navigazione ad un unico sito web

BigRaf · 06-11-2014, 20:08

Salve,
devo limitare la navigazione ad un unico sito internet, la navigazione avviene da Lubuntu. La strada che sto seguendo è: creare delle regole con iptables.

Codice:

sudo iptables -P FORWARD DROP
sudo iptables -P INPUT DROP
sudo iptables -A INPUT  -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 67 -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 68 -j ACCEPT

Il problema che sto incontrando è che il sito a cui devo accedere utilizza dei CDN che sono bloccati dalle regole sopra scritte.
Non ho la praticità per scrivere una regola che permetta il caricamento dei server collegati a questa pagina. Grazie

pigi2pigi · 06-11-2014, 21:12

Per navigazione presumo si intenda accesso ad un solo web
Nelle tabelle da te fatte manca l'ACCEPT per la --dport 80 e se poi vuoi limitare i destinatari devi aggiungere -d address(/mask)
Se il gruppo di web appartiene ad una stessa subnet, basta individuarla, altrimenti è dura

BigRaf · 07-11-2014, 10:12

Aggiugengo la regola ACCEPT --dport 80, il firewall da il permesso di navigare in tutta la rete.

L'ordine delle regole è importante?
Sto provando la configurazione da Virtualbox, questo potrebbe dare problemi? Per ottenere l'IP dei vari server a cui il sito è collegato ho aperto la pagina html e ho letto i vari inidirizzi dal head.

pigi2pigi · 07-11-2014, 11:30

Devi usare -d address(/mask)
L'ordine è importante perchè al primo match del pacchetto il controllo esce dalla tabella onorando l'opzione accept drop ecc
Virtual box dovrebbe andare bene
Gli ip si possono anche rilevare empiricamente. però sempre empiricamente si può controllare se appartengono ad una stessa subnet, o controllare la registrazione del dominio (potrebbero non essere rilevati tutti o potrebbero aggiungerne)

BigRaf · 07-11-2014, 13:45

Quote:

Originariamente inviato da pigi2pigi

Devi usare -d address(/mask)
L'ordine è importante perchè al primo match del pacchetto il controllo esce dalla tabella onorando l'opzione accept drop ecc
Virtual box dovrebbe andare bene
Gli ip si possono anche rilevare empiricamente. però sempre empiricamente si può controllare se appartengono ad una stessa subnet, o controllare la registrazione del dominio (potrebbero non essere rilevati tutti o potrebbero aggiungerne)

Ho provato la configurazione sul pc e va tutto a meraviglia, forse c'è qualche impostazione di rete della virtual machine che non va.

Grazie comunque

pigi2pigi · 07-11-2014, 14:33

Io virtual box lo conosco poco, lo uso sporadicamente uso di più vmware, ho comunque visto che la rete può essere configurata in bridge o in nat se configurata in nat, su vmware mi genera dei device vmnet8, comunque in bridge dovrebbe funzionare

06-11-2014, 20:08	#1
BigRaf Junior Member Iscritto dal: Feb 2009 Messaggi: 13	Limitare navigazione ad un unico sito web Salve, devo limitare la navigazione ad un unico sito internet, la navigazione avviene da Lubuntu. La strada che sto seguendo è: creare delle regole con iptables. Codice: sudo iptables -P FORWARD DROP sudo iptables -P INPUT DROP sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -P OUTPUT DROP sudo iptables -A OUTPUT -o lo -j ACCEPT sudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 67 -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 68 -j ACCEPT Il problema che sto incontrando è che il sito a cui devo accedere utilizza dei CDN che sono bloccati dalle regole sopra scritte. Non ho la praticità per scrivere una regola che permetta il caricamento dei server collegati a questa pagina. Grazie

07-11-2014, 10:12	#3
BigRaf Junior Member Iscritto dal: Feb 2009 Messaggi: 13	Aggiugengo la regola ACCEPT --dport 80, il firewall da il permesso di navigare in tutta la rete. L'ordine delle regole è importante? Sto provando la configurazione da Virtualbox, questo potrebbe dare problemi? Per ottenere l'IP dei vari server a cui il sito è collegato ho aperto la pagina html e ho letto i vari inidirizzi dal head. Ultima modifica di BigRaf : 07-11-2014 alle 10:42.

06-11-2014, 21:12	#2
pigi2pigi Senior Member Iscritto dal: Nov 2014 Messaggi: 1192	Per navigazione presumo si intenda accesso ad un solo web Nelle tabelle da te fatte manca l'ACCEPT per la --dport 80 e se poi vuoi limitare i destinatari devi aggiungere -d address(/mask) Se il gruppo di web appartiene ad una stessa subnet, basta individuarla, altrimenti è dura

07-11-2014, 11:30	#4
pigi2pigi Senior Member Iscritto dal: Nov 2014 Messaggi: 1192	Devi usare -d address(/mask) L'ordine è importante perchè al primo match del pacchetto il controllo esce dalla tabella onorando l'opzione accept drop ecc Virtual box dovrebbe andare bene Gli ip si possono anche rilevare empiricamente. però sempre empiricamente si può controllare se appartengono ad una stessa subnet, o controllare la registrazione del dominio (potrebbero non essere rilevati tutti o potrebbero aggiungerne)

07-11-2014, 14:33	#6
pigi2pigi Senior Member Iscritto dal: Nov 2014 Messaggi: 1192	Io virtual box lo conosco poco, lo uso sporadicamente uso di più vmware, ho comunque visto che la rete può essere configurata in bridge o in nat se configurata in nat, su vmware mi genera dei device vmnet8, comunque in bridge dovrebbe funzionare

Strumenti
Mostra una versione stampabile Invia questa pagina per email