Youtube не заблокирован iptables

16

На нашей машине с Ubuntu я попытался заблокировать доступ в Интернет к одной из учетных записей пользователей, добавив следующую строку в / etc / network / interfaces:

pre-up iptables -A OUTPUT -p tcp -m owner --uid-owner 1001 -j DROP

Это работает хорошо, за исключением того, что Youtube и другие свойства Google не блокируются.

Я не эксперт в iptables, но я предполагал, что приведенная выше команда отбросит все исходящие запросы от указанного пользователя. Есть ли что-то особенное в свойствах Google, которое может как-то привести к их освобождению?

Для справки вот мой список iptables:

$ sudo iptables --list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere             owner UID match ****
spencerrecneps
источник
2
Это можно легко обойти, туннелируя TCP через другой протокол, кстати.
Йорг Миттаг
4
Есть ли вероятность того, что ваше интернет-соединение поддерживает IPv6? Это не будет заблокировано правилом iptables.
penguin359,
Обратите внимание, что это скоро начнет применяться ко многим другим сайтам, а не только к Google и YouTube. Сегодня Cloudflare объявили, что у них есть поддержка HTTP / 3, Mozilla объявила, что Firefox получит поддержку очень скоро, и это всего лишь вопрос времени, когда многие другие присоединятся. HTTP / 3 основан на протоколе Google QUIC и также работает по UDP так что у него та же проблема.
Моше Кац

Ответы:

35

Пользователь использует Chrome / Chromium? Если это так, браузер, скорее всего, использует QUIC для этих сайтов, и этот протокол использует UDP в качестве транспорта.

Вы можете заблокировать порты UDP 80 и 443, чтобы решить эту проблему.

Эдуардо Трапани
источник
10
Вы также можете просто удалить -p tcpи тем самым заблокировать все.
Майкл Хэмптон
2
Я задавался вопросом, было ли что-то особенное в Chrome с сайтами Google. Это было определенно так. Я удалил -p tcp и теперь все заблокировано.
spencerrecneps