Заблокировать vk/vkontakte (по ssl) через iptables

Здравствуйте. Хочу зарезать контакт по https через iptables, чтобы юзеры туда не лазали в обход сквиду. (В сквиде пока нету времени настраивать проксирование ssl)

добавляю следующие правила:

iptables -t filter -I INPUT -s vk.com -p tcp -m tcp --sport 443 -j DROP
iptables -t filter -I OUTPUT -d vk.com -p tcp -m tcp --dport 443 -j DROP

Умный iptables ресолвит домен в адреса и создает по правилу для каждого ip vk.com

получается следующее:

...
-A INPUT -s 87.240.131.118/32 -p tcp -m tcp --sport 443 -j DROP
-A INPUT -s 87.240.131.102/32 -p tcp -m tcp --sport 443 -j DROP
-A INPUT -s 87.240.131.98/32 -p tcp -m tcp --sport 443 -j DROP
-A INPUT -s 87.240.143.246/32 -p tcp -m tcp --sport 443 -j DROP
-A INPUT -s 87.240.143.242/32 -p tcp -m tcp --sport 443 -j DROP
...
-A OUTPUT -d 87.240.143.248/32 -p tcp -m tcp --dport 443 -j DROP
-A OUTPUT -d 87.240.143.244/32 -p tcp -m tcp --dport 443 -j DROP
-A OUTPUT -d 87.240.131.120/32 -p tcp -m tcp --dport 443 -j DROP
-A OUTPUT -d 87.240.131.104/32 -p tcp -m tcp --dport 443 -j DROP
-A OUTPUT -d 87.240.131.100/32 -p tcp -m tcp --dport 443 -j DROP
...

при этом, когда я лезу на https://vk.com или https://87.240..., я туда успешно попадаю т.е. правила не отрабатывают.

Подскажите пожалуйста, где я ошибся.

Born_2_Rock
(18.01.13 11:29:31 MSK)

14 комментариев

После обновления Debian с Lenny на Squeeze, ядро ругается непонятными словами.

Здравствуйте. После обновления Debian с Lenny на Squeeze стали иногда полявляться дичайшие лаги, а ядро ругается в messages примерно так:

Aug 21 10:49:10 gw kernel: [ 2640.653650] Call Trace:
Aug 21 10:49:10 gw kernel: [ 2640.653657]  [<c1087f3a>] ? wait_on_page_bit+0x7f/0x88
Aug 21 10:49:10 gw kernel: [ 2640.653665]  [<c1024af8>] ? __wake_up+0x29/0x39
Aug 21 10:49:10 gw kernel: [ 2640.653675]  [<e0aaa65b>] ? log_wait_commit+0xa6/0xed [jbd]
Aug 21 10:49:10 gw kernel: [ 2640.653683]  [<c104432e>] ? autoremove_wake_function+0x0/0x2d
Aug 21 10:49:10 gw kernel: [ 2640.653695]  [<e0addffe>] ? ext3_sync_file+0x8e/0xbc [ext3]
Aug 21 10:49:10 gw kernel: [ 2640.653702]  [<c10ccbc3>] ? vfs_fsync_range+0x64/0x84
Aug 21 10:49:10 gw kernel: [ 2640.653709]  [<c10ccc4a>] ? vfs_fsync+0x11/0x15
Aug 21 10:49:10 gw kernel: [ 2640.653715]  [<c10ccc6d>] ? do_fsync+0x1f/0x2e
Aug 21 10:49:10 gw kernel: [ 2640.653722]  [<c10030fb>] ? sysenter_do_call+0x12/0x28
Aug 21 10:49:10 gw kernel: [ 2640.653773] showq         D d6c15f00     0 10995   1798 0x00000000
Aug 21 10:49:10 gw kernel: [ 2640.653780]  cdaf5980 00200082 00200286 d6c15f00 00000101 c141d100 c141d100 c14186ac
Aug 21 10:49:10 gw kernel: [ 2640.653792]  cdaf5b3c c1c08100 00000000 d7826000 ffffff9c 00000801 00000000 00000000
Aug 21 10:49:10 gw kernel: [ 2640.653803]  002b001e cdaf5b3c 000864c4 c0a004c8 00000000 00000000 00000000 00000000
Aug 21 10:49:10 gw kernel: [ 2640.653814] Call Trace:
Aug 21 10:49:10 gw kernel: [ 2640.653821]  [<c126e6ff>] ? __mutex_lock_common+0xe8/0x13b
Aug 21 10:49:10 gw kernel: [ 2640.653829]  [<c126e761>] ? __mutex_lock_slowpath+0xf/0x11
Aug 21 10:49:10 gw kernel: [ 2640.653835]  [<c126e7f2>] ? mutex_lock+0x17/0x24
Aug 21 10:49:10 gw kernel: [ 2640.653841]  [<c126e7f2>] ? mutex_lock+0x17/0x24
Aug 21 10:49:10 gw kernel: [ 2640.653848]  [<c10b4519>] ? generic_file_llseek+0x17/0x42
Aug 21 10:49:10 gw kernel: [ 2640.653855]  [<c10b4502>] ? generic_file_llseek+0x0/0x42
Aug 21 10:49:10 gw kernel: [ 2640.653862]  [<c10b33dd>] ? vfs_llseek+0x30/0x34
Aug 21 10:49:10 gw kernel: [ 2640.653869]  [<c10b4417>] ? sys_llseek+0x3a/0x7a
Aug 21 10:49:10 gw kernel: [ 2640.653875]  [<c10b2192>] ? sys_open+0x1e/0x23
Aug 21 10:49:10 gw kernel: [ 2640.653882]  [<c10030fb>] ? sysenter_do_call+0x12/0x28
Aug 21 10:51:44 gw kernel: [ 2760.652131] spamd         D c1087f3a     0  1533   1532 0x00000004
Aug 21 10:51:44 gw kernel: [ 2760.652140]  d7842200 00200082 c2476ec0 c1087f3a 00000000 c141d100 c141d100 c14186ac
Aug 21 10:51:44 gw kernel: [ 2760.652152]  d78423bc c1c08100 00000000 a3d79cb4 00000245 00000003 d796e270 d796e26c
Aug 21 10:51:44 gw kernel: [ 2760.652163]  00000000 d78423bc 00200292 c1024af8 00000000 00000000 de6f9f34 d796e254
Aug 21 10:51:44 gw kernel: [ 2760.652175] Call Trace:
Aug 21 10:54:01 gw kernel: [ 2760.652192]  [<c1087f3a>] ? wait_on_page_bit+0x7f/0x88
Aug 21 10:54:01 gw kernel: [ 2760.652208]  [<c1024af8>] ? __wake_up+0x29/0x39
Aug 21 10:54:01 gw kernel: [ 2760.652237]  [<e0aaa65b>] ? log_wait_commit+0xa6/0xed [jbd]
Aug 21 10:54:01 gw kernel: [ 2760.652250]  [<c104432e>] ? autoremove_wake_function+0x0/0x2d
Aug 21 10:54:01 gw kernel: [ 2760.652268]  [<e0addffe>] ? ext3_sync_file+0x8e/0xbc [ext3]
Aug 21 10:54:01 gw kernel: [ 2760.652279]  [<c10ccbc3>] ? vfs_fsync_range+0x64/0x84
Aug 21 10:54:01 gw kernel: [ 2760.652285]  [<c10ccc4a>] ? vfs_fsync+0x11/0x15
Aug 21 10:54:01 gw kernel: [ 2760.652292]  [<c10ccc6d>] ? do_fsync+0x1f/0x2e
Aug 21 10:54:01 gw kernel: [ 2760.652301]  [<c10030fb>] ? sysenter_do_call+0x12/0x28

Подскажите пож-ста в какую сторону копать.

debian

Born_2_Rock
(21.08.12 12:38:57 MSK)

6 комментариев

Сообщения Born_2_Rock

Заблокировать vk/vkontakte (по ssl) через iptables

После обновления Debian с Lenny на Squeeze, ядро ругается непонятными словами.