iptables Блокировка URL

0

2

Не могу понять почему не работает

iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX -m string --string "AdminService/AdminService?wsdl" --algo bm -j DROP

XXX.XXX.XXX.XXX - мой IP. На указаный урл спокойно заходит.

Может кто сталкивался?

Правило добавляется, в выхлопе iptables-save есть. Других правил на серваке нет, кроме стандартного ажуровского для днс.

А вообще нужно на томкате заблокировать некоторые урлы и разрешить доступ к ним только некоторым айпи, но почитав доку по томкату, я решил, что проще сделать через iptables.

Ссылка

←	Кодировка имен файлов в SFTP сервере

деплой через ж

→

модуль string не блокирует урлы, как и весь iptables. Ядро вообще ничего не знает про урл. Для этого надо использовать другие средства, например, http-прокси. Ты же пытаешься дропнуть пакеты, у которых в _теле_ есть такая строка.

gaga ★
(10.06.14 16:44:16 MSK)

Ответ на: комментарий от gaga 10.06.14 16:44:16 MSK

Там перед томкатом стоит апач с вот таким конфигом, может знаешь, на уровне апача можно блокировать урлы?

<IfModule mod_ssl.c>
<VirtualHost *:8443>
	ServerAdmin webmaster@localhost

	DocumentRoot /var/www/tomcat
	JkMount /* ajp13
	DirectoryIndex index.jsp
	                        
	<Directory WEB-INF>
	    AllowOverride None
	    deny from all
	</Directory>
	                                                                
	SSLEngine on
	SSLProtocol all
        SSLCertificateFile 
        SSLCertificateKeyFile 
        SSLCACertificateFile
</VirtualHost>
</IfModule>

GoNaX ★★★
(10.06.14 17:01:32 MSK) автор топика

гуглите по словам «layer7 iptables»

black_13 ★
(10.06.14 17:03:41 MSK)

Ответ на: комментарий от GoNaX 10.06.14 17:01:32 MSK

mod rewrite или htaccess-ом можно залочить доступ к URL в apache

black_13 ★
(10.06.14 17:05:22 MSK)

Ссылка

Ответ на: комментарий от GoNaX 10.06.14 17:01:32 MSK

С помощью mod_rewrite. Пример 1, пример 2.

gaga ★
(10.06.14 17:06:50 MSK)

Ссылка

Ответ на: комментарий от GoNaX 10.06.14 17:01:32 MSK

<Location />
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/admin$ [NC]
RewriteRule ^.*$ - [F,L]
</Location>

Как то так

~~xtraeft~~ ★★☆☆
(10.06.14 17:07:14 MSK)

Ответ на: комментарий от black_13 10.06.14 17:03:41 MSK

Оно, наверно, не работает с ssl трафиком. Или работает?

GoNaX ★★★
(10.06.14 17:07:37 MSK) автор топика

Ссылка

Ответ на: комментарий от xtraeft 10.06.14 17:07:14 MSK

Нужно закрыть для всех и разрешить избранным IP

GoNaX ★★★
(10.06.14 17:08:32 MSK) автор топика

Ответ на: комментарий от GoNaX 10.06.14 17:08:32 MSK

Погугли, если не умеешь mod_rewrite, это простейшая задача.

~~xtraeft~~ ★★☆☆
(10.06.14 17:11:56 MSK)

Ответ на: комментарий от xtraeft 10.06.14 17:11:56 MSK

Эти правила пишутся в htaccess, у меня его нет, за апачем томкат.

GoNaX ★★★
(10.06.14 17:17:05 MSK) автор топика

Ответ на: комментарий от GoNaX 10.06.14 17:17:05 MSK

Эти правила пишутся в htaccess, у меня его нет

Они могут писаться и в конфиг апача в локейшн, пример я дал выше. И в конце концов, никто не мешает создать .htaccess для апача, раз он является фронтендом у тебя.

~~xtraeft~~ ★★☆☆
(10.06.14 17:49:50 MSK)

По адресам url всегда было удобнее дропать либо при помощи dns сервера - dnsmasq, bind либо средствами прокси сервера - squid, privoxy. А прокси + днс вместе дают просто очаровательные результаты.

init_6 ★★★★★
(10.06.14 18:09:33 MSK)