На данный момент блокировка реализована через объявление зоны в named. Если запрашиваемый ресурс прописан в зонах - подставляем страницу с блокировкой.
Любой, кто понимает написанное выше подозревает, что если глубоко не лезть, то все, в принципе, работает.
На данный момент есть:
1. сервер с mpd5 + pf
2. сервер с squid
3. скрипт, который формирует бан-лист для named.
Что хотелось бы реализовать - отойти от блокировки по доменному имени в общности и блокировать только баненые страницы в частности.
Обязательно ли в данной схеме присутствие squid'а на той же машине, что и mpd5?
Как это реализуется?
ЗЫ.
На просторах сети наковырял:
- Код: Выделить всё
$ ipfw add 1001 fwd 127.0.0.1,3128 tcp from 100.200.30.0/21 to "table(1)" dst-port 80
Заполним “table(1)” IP-адресами из реестра нехитрым скриптом:
#!/bin/sh
ipfw="ipfw -q"
cat /usr/local/etc/reestr/var/iplist | while read ip2; do
${ipfw} table 1 add $ip2 1
done
Сам не использую ipfw. Верна ли трактовка правила, что пакеты из 100.200.30.0/21 перенаправляются на 3128 порт в петле, а из петли их уже кидает на адреса в table(1)?
Правильно ли использовать rdr из pf?
Спасибо.