Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. O problema não é barrar o orkut, isso eu já fiz, o que eu quero é que ele, além de barrar, exiba a página de bloqueio que está rodando no meu apache, por isso eu gostaria que, quando ele recebesse qualquer pacote contendo a string ´orkut´, ele redirecionasse para o ip 191.168.1.100 onde ele exibiria a página do apache.

    Sem o módulo string ele funciona perfeitamente, com a regra:

    iptables -t nat -A PREROUTING -d 'www.orkut.com' -j DNAT --to 192.168.1.100

    O problema é fazer o redirecionamento para 192.168.1.100 usando o módulo string.
    Última edição por denysiacanga; 24-09-2007 às 12:58.

  2. iptables -t nat -A PREROUTING -m string --algo kmp --string orkut -j DNAT --to-destination $DESTINO

    Isso deveria resolver... Recomendo você ajustar o offset da busca para evitar delay no seu firewall... Se torna um problema grande em redes de alto tráfego!



  3. Ao que me parece, o match string não funciona na tebela nat, já havia tentado antes mesmo de vc postar uma linha exatamente igual a que vc sugeriu.

    Não produz efeito algum.

    Vou adotar outra solução. Obrigado pela sua atenção.

  4. Você pode tentar isso:

    iptables -t mangle -A FORWARD -m string --string orkut --algo kmp -j CONNMARK --set-mark 0x60

    iptables -t nat -A PREROUTING -m connmark --mark 0x60 -j DNAT --to-destination $DST

    Só vejo um problema:

    Ao digitar ``www.orkut.com'' no navegador, será enviado um pacote SYN para o destino. Esse pacote não casará com as regras pois ele não possue nehuma cadeia de caractere (string) sobre o destino. Logo em seguida, o destino enviará um pacote ACK+SYN para informar que está recebendo sua requisição. Esse pacote também não conterá nenhuma informação em forma de cadeias de caracteres. Logo em seguida, será enviado um pacote ACK do remetente informando que irá enviar dados, e logo em seguida será enviado um pacote ACK+PUSH com a página requisitada. Esse pacote sim possuirá a cadeia de caractere necessaria a sua regra. Então, só depois desse 4 pacote sua regra será casada com o conteúdo. Com isso, ao redirecionar a conexão para outro host, sua conexão estará perdida. Por isso o time de desenvolvimento do Netfilter/iptables não aconselha o uso do strings para esse fim.






Tópicos Similares

  1. Respostas: 1
    Último Post: 07-11-2010, 22:54
  2. Analize de Serviço há Oferecer aos clientes
    Por ederamboni no fórum Assuntos não relacionados
    Respostas: 13
    Último Post: 02-12-2008, 09:19
  3. Enviar página de aviso ao cliente, tem como?
    Por faieppi no fórum Redes
    Respostas: 5
    Último Post: 14-11-2007, 08:43
  4. Respostas: 7
    Último Post: 06-10-2007, 22:53
  5. Exbir Pagina De Bloqueio Ao Cliente
    Por ADNZ no fórum Redes
    Respostas: 3
    Último Post: 15-09-2007, 20:57

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L