iptables и reject на хосты

[LouLi]

Доброго времени суток. Собственно, юзается iptables. Есть политики под определенные соцсети, в частности vk.com.

Код: [Выделить]

iptables -A FORWARD -p tcp -m tcp -d vk.com -j REJECT --reject-with icmp-host-prohibited
С определенного ПК нужно открыть доступ к vk.com.

Если пишу:

Код: [Выделить]

iptables -A FORWARD -m mac --mac-source [mac_address] -p tcp -d vk.com -j ACCEPT
То с определенного ПК, у которого данный mac-адрес, все равно не получается зайти на vk.com. Подскажите, пожалуйста, как корректно добавить необходимое правило?

[fisher74]

а очерёдность правил соблюли?

[LouLi]

а очерёдность правил соблюли?

Насколько я понимаю сначала должно идти "разрешение", а потом "запрет" ?

[fisher74]

Для данного конкретного случая Вы правильно понимаете.

[AnrDaemon]

А вы учли, что

Код: [Выделить]

<stdout>:dig vk.com.

; <<>> DiG 9.9.3-P2 <<>> vk.com.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60395
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 7

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;vk.com.                IN  A

;; ANSWER SECTION:
vk.com.         369 IN  A   87.240.131.120
vk.com.         369 IN  A   87.240.143.244?

Вообще, в общем случае заблокировать доступ к хосту по имени в нетфильтре невозможно. В принципе.
Ибо имя - величина логическая, к протокольному уровню, на котором работет нетфильтр, не относящаяся.

[fli]

можно попробовать так:
iptables -I FORWARD 1 -m string --string "vk.com" --algo kmp --to 65535 -j DROP

[AnrDaemon]

fli, попробовать можно многое. А вы учли все варианты, в которых будет применено ваше правило?...

[fli]

AnrDaemon, буду благодарен, если подскажете что не учел.

[AnrDaemon]

У вас заблокируются все запросы, где встречается строка "vk.com", независимо от того, является ли она отдельным словом, или нет.