通过iptables 禁止访问域名方法整合

已于 2022-02-27 23:00:11 修改
阅读量4.1k 收藏 4
点赞数
分类专栏: linux 文章标签: 服务器 运维
于 2022-02-09 10:03:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30499345/article/details/122835410
版权

更新2

新方法:

由于使用ipset来禁域名,老是会误ban,这里想到了一个新方法。

iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to [本机dns]
iptables -t nat -A PREROUTING -p tcp --dport 53 -j DNAT --to [本机dns]

所有53端口的包转到路由器自身的dns服务器,其中-t nat 网络地址转换表,-A append,DNAT 目标地址转换.

然后修改dnsmasq.conf的解析记录即可

如:address=/www.xxxxxxxxx.com/127.0.0.1

算是家用路由器最好的方法啦,但仍有办法可以破解

1.DOH(dns on https)

2.内网用户手动上网查找域名的dns,然后写入host文件直接解析,绕过dns查询这一步。

更新1:最好定时使用ipset flush来清除一下ip重新解析,因为有的网站的ip经常会换,过多的冗余对性能不太好。另外如果目标网站用了CDN,ban的ip太多很容易导致你ban 网站A ,无关的网站B(但使用了相同的CDN)同时也被ban掉。

原文:

Dnsmasq+ipset+iptables基于域名的流量管理_lvshaorong的博客-CSDN博客_dnsmasq ipsethttps://blog.csdn.net/lvshaorong/article/details/52981169

首先是参考了这篇文章进行ipset的设置,主要的操作包括

1、创建表:

sudo ipset create 列表名 hash:ip

2、在/etc/dnsmasq.conf 添加

ipset = /ban的域名/列表名

设置好后重启dnsmasq.

3、设置iptables规则,以下设置了每天9:00到13:00,ban掉ban这个ipset

        iptables -I FORWARD -m time --timestart 09:00 --timestop 13:00 --kerneltz  -m set --match-set ban dst  -j REJECT

其中,FORWARD 是因为我配置的这个是路由器,所以主要是禁止转发,--kerneltz 是使用本地时间,不用的话默认会使用utc时区(参考文章如下:(20条消息) iptables时区_iptables time 时间匹配规则_weixin_39681621的博客-CSDN博客)。

4.最后是对ipset的持久化,因为ipset是存在内存中,配置完成后需使用

        ipset save

进行保存。

另外这么配置,只有当有人在本机解析dns的时候,才会更新set,如果目标域名修改了ip地址,且路由器下,连接的设备,dns服务器不是本机,则可能会ban域名失效,因此可以考虑使用crobtab+nslookup等方法,定时更新ipset。


 

qq_30499345
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详细解说iptables 高阶用法,用来完成哪些高效率网络路由策略场景,iptables 实现域名过滤,Linux如何利用iptables屏蔽某些域名
代码讲故事
10-09 570
详细解说iptables 高阶用法,用来完成哪些高效率网络路由策略场景,iptables 实现域名过滤,Linux如何利用iptables屏蔽某些域名
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
热门推荐
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptables和ipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct.sh stop 即可删除创建的屏蔽国外ip访问国内规则,文件,合集等一系列直接删除,且不会影响到自己创建的iptabels规则和ipset合集
linux dig域名DNS 查询与iptables域名ip访问流量限制;PTR 反向解析从 IP 地址到域名的映射
最新发布
weixin_42357472的博客
08-19 1827
例如,你可以先查询域名的 IP 地址,然后根据这些 IP 地址设置防火墙规则。是一个强大的命令行工具,用于配置 Linux 内核内置的防火墙,即 Netfilter。在 Linux 系统中,你可以使用多种工具和技术来进行 DNS 查询和 IP 限制。这个命令通常用于阻止特定 IP 地址发出的包含特定字符串的数据包。通过这些方法,你可以在 Linux 系统中实现灵活的 DNS 查询和 IP 限制策略。发出的目标端口为 80(HTTP)的 TCP 数据包,如果这些数据包中包含。命令也可以用于 DNS 查询。
Android使用iptables屏蔽某个域名的使用
u014630142的博客
12-13 2008
Android屏蔽某个域名实现方式
iptables拦截域名_使用iptables封锁对某个域名的DNS查询
weixin_34734156的博客
01-12 3829
使用iptables封锁对某个域名的DNS查询发布时间:2020-02-24 19:40:09来源:51CTO阅读:424作者:757781091现在有一需求,需要禁止主机对某一个域名的DNS查询,想到用iptables的string模块,使用下面的命令:iptables -D OUTPUT -m string --string "www.baidu.com" --algo bm -jDROP但使...
iptables拦截域名_Linux利用iptables屏蔽某些域名
weixin_39534002的博客
12-20 4201
一般 iptables 自带的都有 string 模块,这个模块的作用就是匹配字符串,匹配到泛域名的URL,然后就把数据包丢弃,就实现了屏蔽泛域名的功能。比如可以限制SS访问youtube.com 以下规则是屏蔽以 youtube.com 为主的所有一级 二级 三级等域名iptables -A OUTPUT -m string --string "youtube.com" --algo bm -...
防火墙 iptables 禁止某个域名访问
长门有希的博客
05-10 1万+
-I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP 禁止 包含qq.com的域名访问
运维工程师,总结40个面试题
张晨光老师的播客
04-25 1091
下面是一名运维人员求职数十家公司总结的Linux运维面试题,给大家参考下~1、什么是运维?什么是游戏运维?1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常,在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维开发运维:是给应用运维开发运维工具和运维平台的。
动态容器整合及其操作系统研究——索邦大学2021年科学研究文件
动态容器达米恩·卡佛引用此版本:达米恩·卡佛动态容器的高级整合。操作系统[cs.OS]。索邦大学,2019年。英语NNT:2019SORUS513。电话:02393773v3HAL Id:tel-02393773...
openwrt路由器怎么使用iptables进行域名过滤?
10-01
openwrt路由器怎么使用iptables进行域名过滤?域名过滤主要是怕孩子玩游戏或者上不好的网站,所以将一些网址关键字段给封了,这样即使电脑有网也没办法登陆哪些被封的网站,下面我们来看看设置方法
Discuz!(论坛)Linux环境部署操作手册
10-12
- 配置防火墙(如iptables或firewalld)允许必要的端口访问。 - 安装SSL证书以实现HTTPS加密连接。 - 更新服务器和软件,保持最新安全补丁。 - 设置Web服务器的安全配置,例如禁止目录浏览,限制上传文件类型等...
容器安全概述
悦分享
07-04 4315
Docker是目前最具代表性的容器技术之一,对云计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器云安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器,容器
iptables拦截域名_IPTABLES过滤域名
weixin_39658619的博客
12-20 2777
iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROPiptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROPCommon Applications and Useful Example Rules1) To prevent ...
iptables 实现域名过滤
u011326325的博客
10-09 7781
1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --string “bilibili.com” -j DROP 1.需求 过滤指定的域名、网站:如www.baidu.com, www.bilibili.com 2.实现方案 方案1:字符串过滤 iptables -A FOWARD -m string --algo kmp --s
iptables拦截域名_iptables基于域名访问控制
weixin_39958631的博客
12-20 1625
安装dnsmasq[root@route-a ~]# wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.70.tar.gz[root@route-a ~]# tar zxvf dnsmasq-2.70.tar.gz[root@route-a ~]# cd dnsmasq-2.70[root@route-a ~]# make install查看d...
使用iptables实现禁止本地电脑访问某个网站_使用 Windows 自带的儿童模式,给孩子更安全的网络环境。...
weixin_39569894的博客
12-05 624
因为延迟开学,最近网络课堂大热。如果你也有小孩需要使用电脑学习,为了防止他们走神,被其他信息诱惑,将学习工具变为娱乐工具,可能还需要专门有一个家长在旁边「陪读」。即便不学习,未成年平时使用电脑娱乐,也应该有更适合他们的安全环境。Windows 10 系统自带的「儿童模式」,就是为了这种情况设计的。让孩子们在受控的安全环境中使用电脑,通过「儿童模式」,家长可以限制小孩使用的应用程序和浏览的...
iptables拦截域名_openwrt路由器使用iptables进行域名过滤
weixin_39752215的博客
12-20 2455
iptables-IFORWARD-mstring--string"abcd"--algokmp-jDROPoriptables-IFORWARD-mstring--string"abcd"--algobm-jDROP使用string设置过滤域名。当网址中包含相关字段是无法上该网址。使用ssh客户端可以把过滤的命令写入/etc/firewall.user中,...
【Nginx】Nginx配置加固之阻止恶意域名访问
cnskylee的博客
05-08 4044
【问题背景】 一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名访问内网的应用了。 比如,我们日常使用的微软的搜索引擎(cn.bing.com)
iptables禁止访问1端口和80端口
02-06
这是在 Linux 系统上使用 iptables 禁止访问 1 端口和 80 端口的命令。其中 -A INPUT 表示添加规则到 INPUT 链,-p tcp 表示使用 TCP 协议,--dport 表示目标端口,-j DROP 表示将匹配的数据包直接丢弃。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值