[Sysadmins] [Comm] как использовать fqdn в правилах iptables?

[Peter V. Saveliev]

В сообщении от Monday 04 February 2008 15:20:19 Денис Черносов написал(а):
<skip />
> Нигде не наталкивался на предложения по этому поводу. Неужели правильнее
> будет это всё повесить на Squid? Или есть третий вариант?

Если Вам нужны acl на http-траффик, то вешайте на сквид.

Вообще говоря, это задача, жручая до ресурсов и немного не определённая. 
Уровень ip ничего не знает о доменных именах, там только ip, и принимать 
решение надо, исходя из ip. Если Вы хотите принимать решение "на лету", то 
тут есть два пути.

Первый -- back-resolve ипшника в пакете, и сравнение полученного имени с acl. 
Второй путь -- периодическое обновление кэша ip путём прямого резолва имён, и 
сравнение пришедшего пакета с кэшем.

Первый путь грозит задержками размером в таймаут dns-запроса. Второй путь 
исключает использование wildcards в именах и масок.

Так что решайте. Накидать простенький движок динамических acl, который 
бы "запитывался" от -j QUEUE, я могу за день, но если не учесть сказанного 
выше, можно сильно разочароваться в производительности.

-- 
Peter V. Saveliev