Wie wende ich die ipfw-Regeln auf Domänen an, die in mehrere IPs aufgelöst werden?

469
GJ.

Angenommen, ich wollte ipfw verwenden, um Uploads auf youtube zu drosseln. Die Uploads erfolgen auf upload.youtube.com, aber diese Domain wird in mehrere verschiedene IP-Adressen aufgelöst (die sich im Laufe der Zeit ebenfalls zu ändern scheinen).

Der Versuch, eine Regel für die Domäne zu erstellen, führt (durchschaut ipfw list) zu einem Eintrag, der nur mit der ersten IP-Adresse verbunden ist, in die die Domäne aufgelöst wurde.

Wie kann ich meine Regel automatisch auf die Domäne anwenden lassen, einschließlich aller IP-Adressen sowie zukünftiger IP-Adressen, in die sie aufgelöst wird?

2

1 Antwort auf die Frage

0
0xDAFACADE

Da ipfw auf Layer 3 arbeitet, ist es praktisch unmöglich, dies zu tun (abgesehen von der manuellen Suche nach jedem IP-Upload, den upload.youtube.com verwendet).

pf Andererseits sieht es so aus, als würde es die Aufgabe hervorragend erledigen, da es domänenbasierten Abgleich entweder an der Quelle oder am Ziel ermöglicht und Warteschlangen zur Ratenbegrenzung des Datenverkehrs verwendet, indem bestimmte Raten (klassenbasierte Warteschlangen) oder nach Priorität festgelegt werden (prioritätsbasierte Warteschlangen).

Ihre Syntax hängt davon ab, welche Version von pfIhnen installiert ist (die sich offenbar stark von BSD zu BSD und von Version zu Version über alles unterscheidet). Hier finden Sie einen veralteten Artikel, der zumindest etwas zur Konzeptseite Ihrer Arbeit beitragen sollte, aber letztendlich müssen man pfSie die genaue Syntax ermitteln. Einige Beispiel-Konfigurationsdateien finden Sie hier . Viel Glück.

Bei dieser Antwort wird natürlich davon ausgegangen, dass Sie eine BSD-Variante verwenden, die vermutlich auf Ihre Versuche mit ipfw zurückzuführen ist. Es scheint keine Option für Linux zu sein. Wenn meine Annahmen falsch sind, sollten Sie sich nicht umbringen, wenn Sie versuchen, sie zu finden. Shorewall würde den Trick unter Linux tun, falls nötig. 0xDAFACADE vor 10 Jahren 0
Nachdem ich diese Antwort für Sie erarbeitet hatte, stieß ich auf [this] (http://lists.freebsd.org/pipermail/freebsd-questions/2010-June/217827.html). Es sieht so aus, als könnten Sie dies tatsächlich mit ipfw erledigen, indem Sie Ihren Datenverkehr durch snort_inline laufen lassen. Nach ein paar Stunden Suche nach diesem Thema überlasse ich es Ihnen oder jemand anderem, die Einzelheiten herauszufinden, aber es ist erwähnenswert, wenn Sie wirklich an ipfw gebunden sind und die Migration zu pf keine Option ist. 0xDAFACADE vor 10 Jahren 0

Verwandte Probleme