Как применять IPFW правила для доменов, разрешается в несколько IP-адресов?

2

Предположим, я хотел использовать ipfw, чтобы ограничить загрузку на YouTube. Загрузка осуществляется на upload.youtube.com, но этот домен разделяется на несколько разных IP-адресов (которые также со временем меняются).

Попытка создать правило для результатов домена (просмотр через ipfw list ) в записи, связанной только с первым IP, к которому разрешен домен.

Как я могу заставить свое правило автоматически применяться к домену со всеми его IP-адресами, а также будущими IP-адресами, к которым он будет разрешен?

GJ.
источник

Ответы:

0

Учитывая, что ipfw работает на Уровне 3, это практически невозможно (за исключением ручного поиска каждого IP-адреса upload.youtube.com).

pf с другой стороны, выглядит так, как будто бы отлично справляется со своей задачей, так как позволяет сопоставлять данные по домену как в источнике, так и в месте назначения, а также использует очереди для ограничения скорости передачи трафика, устанавливая определенные скорости (очереди на основе классов) или по приоритету. (приоритетные очереди).

Ваш синтаксис зависит от конкретной версии pf Вы установили (что, очевидно, сильно варьируется от BSD к BSD и от версии к версии поверх всего). Вот Вы можете найти устаревшую статью, которая должна, по крайней мере, помочь с концептуальной стороной того, что вы делаете, но в конечном счете, man pf это то, что вам нужно, чтобы выяснить точный синтаксис. Пара примеров конфигурационных файлов найдены Вот , Удачи.

0xDAFACADE
источник
Этот ответ, конечно, предполагает, что вы используете вариант BSD, что, я полагаю, связано с вашими попытками использования ipfw. Похоже, что это не вариант для Linux, поэтому, если мои предположения неверны, не убивайте себя, пытаясь найти его. Shorewall сделает трюк с Linux в случае необходимости.
0xDAFACADE
Пройдя дальше и разработав этот ответ для вас, я наткнулся на этот , Похоже, что вы, в конце концов, сможете справиться с этим с помощью ipfw, пропустив свой трафик через snort_inline. После нескольких часов охоты на это я оставлю это вам или кому-то еще, чтобы выяснить детали, но решил, что стоит упомянуть, если вы действительно привязаны к ipfw и переход на pf не вариант.
0xDAFACADE