8-ipset实现网站过滤

最新推荐文章于 2024-11-27 09:37:55 发布
原创 最新推荐文章于 2024-11-27 09:37:55 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用dnsmasq和ipset配合iptables实现基于域名的流量管理和转发,通过将域名映射到IP并存储在ipset中,iptables能够对特定域名的流量进行拦截或重定向。

iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储在ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能

原理很简单,就是Dnsmasq接收到一个DNS查询请求,首先匹配配置文件中的域名列表,如果匹配成功某域名,就把IP的查询结果存储在一个或几个ipset集合中,然后使用iptables对这个ipset中的全部ip进行匹配并做相应的处理,如DROP或者REDIRECT或者设置mark

Dnsmasq+ipset+iptables基于域名的流量管理:
https://blog.youkuaiyun.com/lvshaorong/article/details/52981169

iptables -t mangle -I PREROUTING -m set --match-set wechat dst -j DROP
iptables -t mangle -D PREROUTING -m set --match-set wechat dst -j DROP
iptables -t mangle -I PREROUTING -m set --match-set video dst -j DROP
iptables -t mangle -D PREROUTING -m set --match-set video dst -j DROP

zipset/Makefile

include $(TOPDIR)/rules.mk

PKG_NAME:=zipset
PKG_VERSION:=1.0
PKG_RELEASE:=2019.07.31

PKG_BUILD_DIR := $(BUILD_DIR)/$(PKG_NAME)

include $(INCLUDE_DIR)/package.mk

define Package/$(PKG_NAME)
  SECTION:=ZIHOME
  CATEGORY:=ZIHOME
  DEPENDS:=+dnsm
最低0.47元/天 解锁文章
【从0到1设计一个网关】过滤器链的实现---实现负载均衡过滤
Zhangsama1的博客
11-02 1095
【从0到1设计一个网关】过滤器链的实现---实现负载均衡过滤
【Router】路由功能之IP过滤(IP Filter)功能(基于端口)介绍及实现
wgl307293845的博客
09-29 1533
IP Filter是一种通过对网络数据包中的 IP 地址进行分析和筛选,以实现对网络流量的控制和管理的技术。
openwrt开启dnsmasq-full替换默认dnsmasq
锅锅的博客
01-25 9739
因为要用到dnsmasqipset功能,所以需要安装dnsmasq-full 方法如下: 1、进入openwrt目录,配置 make meconfig 在base system里面 2、’取消原来的dnsmasq,选中dnsmasq-full 3、编译生成镜像 export FORCE_UNSAFE_CONFIGURE=1 ./mk_ap.sh -t evb6890v1_64_cpe_nand -f fibocom -m eau_00 -j 12 ...
dnsmasq, ipset和iptables配置
IOsetting的专栏
02-12 3414
说明 把出园的流量和园内的流量分开,只有需要出园的流量才经过v2r。 运行机制: 设置一组园外域名 设置dnsmasq将园外域名解析后的ip地址自动加入指定ipset v2r开启dokodemo端口 iptables将匹配指定ipset的包转发给v2r的dokodemo端口 需要用dnsmasq-full替换dnsmasq才能支持ipset. 安装配置 开机自动创建ipset和iptable...
iptables和ipset配合使用
to_be_better_wen的博客
10-23 5971
iptables ipset配合使用
域名过滤
weixin_30616969的博客
08-28 353
# 域名过滤import requestsimport reimport multiprocessingclass Get_url(object): def __init__(self): self.headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKi...
openwrt实现url过滤
锅锅的博客
01-27 9482
一、介绍 url过滤有多种方式 1、iptables的拓展模块string模块 效率不高,会影响通信速率 2、iptables的拓展模块webstr模块 只对http有效,https不行 3、dns拦截,修改/etc/dnsmasq.conf,将指定的url设置固定的ip 效率还行,就是不好实现白名单 4、dnsmasq+ipset+iptables 效率可以,黑白名单都能实现 二、实现 这里重点将第4种方式 1、配置dnsmasq.conf 修改/etc/dnsmasq.conf conf-dir=/et
iptables-ipset仅允许国内访问---端口白名单
endzhi的博客
03-23 2263
实现仅china大陆地址访问,在业务端口如这里的80,使用iptables防火墙+ipset过滤实现访问控制,对于访问量不大的业务可考虑使用。
linux 防火墙: 从 iptables 到 ipset过滤ip
bie_niu1992的专栏
11-08 2096
一 :iptables 了解: iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能 工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfi
深入理解 ipset:高效管理大规模 IP 列表的神器
最新发布
weixin_42587823的博客
11-27 2277
是一个简单高效的工具,专为解决大规模 IP 地址管理而生。它在性能和易用性上的优势,使其成为服务器运维中不可或缺的一部分。是 Linux 内核提供的一种高效的数据存储和查询工具,它专为管理大规模 IP 地址设计。配合使用,可以将大量的 IP 地址或网段组织成集合,并快速匹配,避免逐条检查规则的性能开销。在日常运维中,服务器需要管理大量的 IP 地址访问权限。如果你在使用过程中遇到问题,欢迎在评论区留言,一起交流和探讨!添加大量规则,不仅影响性能,还难以动态管理。规则,我们可以轻松应对复杂的网络管理需求。
dnsmasq选项介绍
to_be_better_wen的博客
10-01 7178
dnsmasq 配置 使用 说明
iptables 实现域名过滤
u011326325的博客
10-09 9138
iptable 实现dns过滤网站
iptables基于域名的本机流量控制
Jack_he_li的博客
01-04 2197
iptables+ipset根据域名配置流量控制前言一、iptables配置二、使用步骤1.引入库2.读入数据总结新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 公司内网服务器,上面跑了几个程序(爬虫,每天定时从几个
如何在Linux下大量屏蔽恶意IP地址
Commander
05-28 2850
很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止某些国家访问你的web服务。在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP。该如何处理这个?
dnsmasq配置文件详解
maizaozao的专栏
01-02 3265
IA32_EFI, X86-64_EFI, Xscale_EFI, BC_EFI, ARM32_EFI 和 ARM64_EFI,其他类型可能为一个整数。# <CSA> 为客户端系统类型:x86PC, PC98, IA64_EFI, Alpha, Arc_x86, Intel_Lean_Client,# [encap:<opt>,][vi-encap:<enterprise>,][vendor:[<vendor-class>],] 有待继续研究。
Linux | ipset命令介绍与基本使用
Albirostris
12-29 3785
ipset
通过iptables 禁止访问域名方法整合
qq_30499345的博客
02-09 4666
更新2 新方法: 由于使用ipset来禁域名,老是会误ban,这里想到了一个新方法。 iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to [本机dns] iptables -t nat -A PREROUTING -p tcp --dport 53 -j DNAT --to [本机dns] 所有53端口的包转到路由器自身的dns服务器,其中-t nat 网络地址转换表,-A append,DNAT 目标地址转换. 然后修改dn
理解Dnsmasqdnsmasq-full的区别
namekong8的博客
05-05 4359
2. dnsmasq-full - 这个是可选安装的软件包,可以给Dnsmasq添加更多高级功能,如DNS缓存、DNS转发、黑白名单等。所以,如果您希望获得Dnsmasq的全部功能,提高OpenWrt的DNS管理能力,安装dnsmasq-full软件包会是一个很好的选择。| 静态DNS记录 | × | √ |希望这个说明能帮助您理解Dnsmasqdnsmasq-full的区别,并根据实际需要选择是否安装dnsmasq-full软件包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Creator_Ly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值