Блок некоторый веб-сайт в машине Linux
Virgin Media подает динамические адреса с помощью DHCP. Каждое присвоение DHCP арендовано, который определяет это, приемному устройству разрешают использовать данный адрес в течение промежутка времени, определенного в арендном договоре, и затем это должно быть возобновлено. Таким образом:
При отъезде устройства и модема включенными в любом случае затем, Вы найдете, что это продолжит возобновлять, и Вы сохраните тот же IP-адрес.
Если устройство выключено затем, арендный договор или возвращен или оставлен истечь, и связанный IP-адрес возвращается к пулу и может быть присвоен кому-то еще.
Если тот адрес/арендный договор не был присвоен никому больше к тому времени, когда Вы снова включаете свое устройство затем, тот же арендный договор будут требовать, и возможности состоят в том, что Вы получите тот же адрес как прежде.
Таким образом, хотя адрес, который Вы получаете, является динамичным, существует на самом деле довольно хороший шанс хранения того же самого IP-адреса в течение длительного промежутка времени. Если это, можно сохранить устройства включенными и VM, не производит отключений электричества. При подключении модема непосредственно с ПК затем, Вы могли бы хотеть заменить его маломощным маршрутизатором для приставания с просьбами ко всем случаям.
Это - не совсем то же обеспечение как наличие статического IP, но выполнение этого самостоятельно я обычно сохранял тот же адрес в течение многих лет за один раз. Конечно, достаточно долго то, что я - удобная запись его в конфигурации брандмауэра и такой.
Если Вы не довольны этим затем, альтернатива должна возвратить соединения от другого хоста. Необходимо смочь положить, что хост, хотя, поскольку любые прямые подключения от него должны были бы быть разрешены.
Настройте его как сервер OpenVPN, добавьте, что это - адрес к Вашему ACLs, и затем соединитесь с ним с любым дополнительным route директивы в Вашей конфигурации или использовании redirect-gateway.
Если вы босс:
Любое техническое решение этой проблемы не решить реальную проблему, которая люди в вашем офисе скуку и желание просмотра facebook / смотреть на порно / что угодно, вместо того, чтобы работать.
Это проблема управления , и ее необходимо решить с помощью инструментов управления , таких как четкие корпоративные политики приемлемого использования Интернета, которые четко детализируют что приемлемо, а что неприемлемо, и что произойдет, если они сломаются. Если парень весь день пользуется facebook, а не выполняет свою работу, не блокируйте facebook, стреляйте ему *.
* Невзирая на юридическую / местную правовую среду и ограничения.
Если вы технический парень, у начальника есть просили сделать это:
Это действительно изворотливая земля. Ты можешь' • эффективно подвергать Интернет цензуре без большого количества ресурсов, опыта и контроля. Что в конечном итоге произойдет, так это то, что вы реализуете своего рода хак (ваша публикация iptables указывает на то, что у вас может не быть всего опыта, необходимого для этого), ваши пользователи будут работать над этим, и теперь вы у вас есть рассерженный начальник, который требует знать, почему вы не можете выполнять свою работу правильно.
Вы должны установить ожидания со своим руководством, что, хотя вы можете реализовать что-то с учетом имеющихся у вас ресурсов и навыков, это, вероятно, не будет эффективным а значит - пустая трата вашего времени.
Если ваши пользователи умны, то выполнение вашей задачи может оказаться трудным, а iptables не сможет легко и надежно делать то, что вы хотите. Вот несколько соображений.
Ваши правила iptables блокируют фильтрацию трафика на основе IP-адресов и портов. Facebook представляет несколько IP-адресов и может время от времени изменять эти IP-адреса.
Ваши пользователи всегда могут использовать открытый прокси-сервер для доступа к Facebook, минуя ограничения, основанные на IP-адресе.
Вы должны принять корпоративную политику, регулирующую использование доступа в Интернет на рабочем месте и укажите, какое использование считается уместным или неуместным.
Вы можете получить некоторый контроль, если вы управляете DNS-серверами своей компании, что позволит вам переопределить IP-адрес facebook.com для ваши пользователи. Есть несколько приличных межсетевых экранов и сервисов, которые обеспечивают категоризацию (Fortinet Fortigate-60, OpenDNS, BlueCoat и т. Д.). Вы также можете попробовать прокси, например Squid, для такой фильтрации, если вы ищете бесплатное решение для существующего оборудования.
Поскольку ваш Linux-сервер является шлюзом, почему бы вам не настроить Squid как прозрачный прокси
а затем добавьте .facebook.com в файл черного списка squid следующим образом:
В / etc / squid / blacklist_domains:
.facebook.com
.whatever.com
В вашем squid.conf:
acl BLACKLIST_DOMAINS dstdom_regex -i "/etc/squid/blacklist_domains"
http_access deny BLACKLIST_DOMAINS
Если пользователи в офисе не слишком разбираются в технологиях, вы можете просто изменить их файл хостов примерно так facebook.com 127.0.0.1 и добавить строка для www тоже.
Если вы имеете дело с пользователями techi (которые могут получить доступ к facebook с IP-адресом), это сделать сложнее. как @TryTryAgain предположил, что это можно сделать с помощью untangle.
Squid требует "acl localhost src 127.0.0.1/8" над строкой "acl lan src 202.51.176.42 192.168.10.1/24" в squid.conf.