Закрыть доступ в подсеть, ufw.

[Molibden]

Добрый день.
Сразу оговорюсь, что Linux стоит недавно, опыта маловато. Описанное ниже результата не дало.

Родилась следующая задача: закрыть доступ к подсети google.com (например).
nslookup google.com

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@sistemko:~# nslookup www.google.com.ua
Server: 77.109.1.8
Address: 77.109.1.8#53

Non-authoritative answer:
www.google.com.ua canonical name = www.google.com.
www.google.com canonical name = www.l.google.com.
Name: www.l.google.com
Address: 74.125.87.147
Name: www.l.google.com
Address: 74.125.87.104
Name: www.l.google.com
Address: 74.125.87.99
Name: www.l.google.com
Address: 74.125.87.106
Name: www.l.google.com
Address: 74.125.87.103
Name: www.l.google.com
Address: 74.125.87.105


Соответственно беру подсеть 74.125.0.0/16.
Добавляю правила в ufw:

Код: [Выделить]

ufw deny from 74.125.0.0/16
ufw deny to 74.125.0.0/16ufw status

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@sistemko:~# ufw status
Статус: активно

До                         Действие    От
--                         --------    --
OpenSSH               ALLOW       192.168.0.0/24                     (ssh из домашней сетки)
22/tcp                     LIMIT       Anywhere
74.125.0.0/16          DENY        Anywhere
Anywhere               DENY        74.125.0.0/16
8080                       ALLOW       192.168.0.0/16                    (squid)


iptables -L  |grep "0/"

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@sistemko:~# iptables -L |grep "0/"
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp dpt:2234 /* 'dapp_OpenSSH' */
DROP       all  --  anywhere             74.125.0.0/16       
DROP       all  --  74.125.0.0/16        anywhere           
ACCEPT     tcp  --  192.168.0.0/16       anywhere            tcp dpt:http-alt
ACCEPT     udp  --  192.168.0.0/16       anywhere            udp dpt:http-alt


Все команды выполнялись из sudo bash, поэтому sudo я опускаю.
В итоге, Google.com открывается в браузере, ufw в логи ничего не пишет (а вроде должен [UFW BLOCK]). 
Подсткажите, где я неправ?
От man iptables глаза болят.

[Гарри Кашпировский]

Прозрачный прокси решит твою задачу.

[Molibden]

Сори за вопрос, как? Squid и так стоит в системе.

Дополню топик.
Стоит настроенный dansguardian, который неплохо режет детишкам то, что надо.
Прописал в bannediplist 74.125.0.0/16.

Прописал acl для сквида, вот мой полный squid.conf

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl googlenet src 74.125.0.0/16 #РЕШАЕМАЯ ЗАДАЧА
http_access deny googlenet #РЕШАЕМАЯ ЗАДАЧА

acl SSL_ports port 443        # https
acl SSL_ports port 563        # snews
acl SSL_ports port 873        # rsync
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl our_networks src 192.168.0.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
icp_access allow all
http_port 3128

dns_nameservers 77.109.1.8 77.109.1.9

cache_mem 64 MB
maximum_object_size 4096 KB
maximum_object_size_in_memory 64 KB
cache_dir ufs /var/spool/squid 512 16 256
#logformat traffpro %>a %<A %lp %st %ru
access_log /var/log/squid/access.log
#acl QUERY urlpath_regex cgi-bin ?
#cache deny QUERY
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
visible_hostname ya.systemko
hosts_file /etc/hosts
coredump_dir /var/spool/squid

Перегружаю DG, перегружаю squid. Захожу на google.com - как всегда редирект на google.com.ua, который находиться в тойже подсети, ключевое слово захожу.

Код: [Выделить]

nslookup www.google.com.ua

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Non-authoritative answer:
www.google.com.ua canonical name = www.google.com.
www.google.com canonical name = www.l.google.com.
Name: www.l.google.com
Address: 74.125.87.106
Name: www.l.google.com
Address: 74.125.87.99
Name: www.l.google.com
Address: 74.125.87.147
Name: www.l.google.com
Address: 74.125.87.105
Name: www.l.google.com
Address: 74.125.87.104
Name: www.l.google.com
Address: 74.125.87.103


Т.е. по 3м разным службам не режет подсеть. 

[Гарри Кашпировский]

Сори за вопрос, как? Squid и так стоит в системе.

У меня вот таким образом стоят запреты

Код: (/etc/squid/denied) [Выделить]

vkontakte.ru
vk.com


Код: (/etc/squid.conf) [Выделить]

acl denied_sites url_regex -i "/etc/squid/denied"
http_access deny denied_sites

[Molibden]

Ууу, почитал одним взглядом про url_regex, еле оторвался.  
Протестил на паре доменов - сразу получилось.
2 KT315
Спасибо большое, буду копать в этом направлении.

Все таки остается открытым для меня вопрос, почему не работает блокировка подсети в ufw, описанная в 1м посте.
Глянул route, понял, что я все таки в что-то непонимаю.

(Нажмите, чтобы показать/скрыть)

root@sistemko:~# route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
77.109.0.225    *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         77.109.0.225    0.0.0.0         UG    0      0        0 ppp0