iptablesでhttpsのウェブサイトをブロックする方法は?

iptablesでhttpsのウェブサイトをブロックする方法は?

youtube.com、facebook.comなど、いくつかのhttpsウェブサイトをブロックしたいと思います。

これを防ぐためにURLルールが利用できないことを知っています。 URLが暗号化されているからです。

したがって、フィルタリングしたいドメインを含むすべてのDNSクエリをブロックしてみました。だから、次のルールを追加しました。

iptables -A OUTPUT -p udp --dport 53 -m string --domain yahoo.com -j DROP

しかし、YouTubeはまだ動作しています。ただし、一定時間(約15分)活動がない場合、YouTubeはブロックされます。

説明がありますか?

YouTubeをすぐにブロックするにはどうすればよいですか?

答え1

しかし、YouTubeはまだ動作しています。ただし、一定時間(約15分)活動がない場合、YouTubeはブロックされます。

これは応答キャッシュに関連している可能性があります。 5分前のアドレスについてネームサーバーに要求した場合、example.comアドレスが変更されていないと確信しています。yahoo.com IN ATTL(Time To Live)は21分なので、この場合、レコードは最大21分間キャッシュできます。

フィルタがイネーブルになっていないプロキシサーバへの接続を含むすべての情報をTLSストリームに含めることができるため、HTTPSトラフィックをフィルタリングするのは簡単な作業ではありません。

1つのオプションは、そのIPアドレスに向けられたすべてのパケットをブロックすることですexample.com。これはあなたのニーズに適しているかもしれませんが、example.org同じIPアドレスのウェブサイトである場合、そのウェブサイトも誤ってブロックされます。

これらの要求を実行しているコンピュータの管理者である場合は、より多くのオプションがありますが、iptablesTLSトラフィックにのみ接続されるため、そのような場合は役に立ちません。

関連情報