iptables управляет для разрешения Трафика HTTP одному домену только
Я предполагаю, что Вы хотите "исправить" потерянную память то использование устройств?
Теперь помните, физическая память не является тем же как виртуальным адресным пространством. Таким образом, каждая отдельная программа все еще только сможет использовать 2 ГБ. Однако больше из них может работать без свопинга.
Также помните, что обращение PAE берет больше таблицы страниц / бухгалтерия каталога страницы, таким образом, Вы теряете некоторую память этому. Вероятно, намного меньше, чем устройства раньше брал.
С правилами IPTables закажите вопросы. Правила добавляются и применяются в порядке. Кроме того, при добавлении правил вручную они сразу применяются. Таким образом, в Вашем примере, любые пакеты, проходящие ВХОДНЫЕ И ВЫХОДНЫЕ цепочки, начинают отбрасываться, как только политика по умолчанию установлена. Это также, несущественно, почему Вы получили сообщение об ошибке, которое Вы сделали. То, что происходит, является этим:
- Политика ОТБРАСЫВАНИЯ по умолчанию применяется
- IPTables получает имя хоста как место назначения
- IPTables делает попытку поиска DNS на 'serverfault.com'
- Поиск DNS заблокирован действием ОТБРАСЫВАНИЯ
В то время как опции источника/места назначения примут имена хостов, этому сильно препятствуют. Заключить страницу справочника в кавычки,
Имена хостов будут разрешены однажды только, прежде чем правило будет отправлено ядру. Обратите внимание на то, что определение любого имени, которое будет разрешено с удаленным запросом, таким как DNS, является действительно плохой идеей.
Slillibri попадают в точку, который его ответ, Вы пропустили, DNS ПРИНИМАЮТ правило. В Вашем случае это не будет иметь значения, но обычно я устанавливал бы политику по умолчанию позже процесс. Последняя вещь, которую Вы хотите, состоит в том, чтобы работать удаленно и позволять SSH после включения значения по умолчанию, отклоняют.
Кроме того, в зависимости от Вашего распределения необходимо смочь сохранить правила брандмауэра, таким образом, что они будут автоматически применены во время начала.
При знании всего этого и реконструкции сценария, вот то, что я рекомендовал бы.
# Allow loopback
iptables -I INPUT 1 -i lo -j ACCEPT
# Allow DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# Now, allow connection to website serverfault.com on port 80
iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Drop everything
iptables -P INPUT DROP
iptables -P OUTPUT DROP
Этот вид требования может быть лучше обработан с веб-прокси и/или фильтром. Dansgaurdian может быть настроен, чтобы сделать это. Необходимо будет использовать правила NAT вызвать трафик через фильтр.
Используя iptables для фильтрации позволит любые сайты, доступные от соответствующих IP-адресов. Это обычно - небольшое подмножество всей сети.
Я - испуганный iptables, не работает на этом уровне, он только заботится о IP-адресе, не имени хоста. Если Вы захотите блокировать доступ к другому имени виртуальные хосты на том же IP, то необходимо будет посмотреть на включение .htaccess файлы.
Необходимо настроить это в веб-сервере. iptables является фильтром пакетов. Транзакции HTTP отправляют название сайта (т.е. stackoverflow) как часть полезной нагрузки TCP (т.е. не как часть заголовка TCP, который является тем, что iptables читает легко).
Учитывая, что, и то, что транзакции HTTP почти наверняка будут распространенными по нескольким пакетам (т.е. Вы не можете только соответствовать строке в HTTP-заголовке), это намного лучше обрабатывается Вашей конфигурацией веб-сервера или прокси перед ним.
Было бы полезно знать обоснование позади этого, существует несколько других альтернатив:
- Перенаправление к корректному URL, если они вводят неправильный URL (например, перенаправление на stackoverflow.com, если они вводят www.stackoverflow.com),
- Скажите Вашему веб-серверу не служить хостам кроме stackoverflow.com
- Поместите сайт на отдельный IP, что ничто иное не разрешает и только заставлять Ваш веб-сервер слушать на этом.