Platzhalter in /etc/hosts

Diskutiere mit über: Platzhalter in /etc/hosts im Mac OS X Forum

  1. MacErik

    MacErik Thread Starter MacUser Mitglied

    Beiträge:
    632
    Zustimmungen:
    12
    Registriert seit:
    06.09.2002
    Hi,
    ist es irgendwie möglich in der /etc/hosts Platzhalter zu verwenden, um z.B. alles, was auf ivwbox.de geht, umzuleiten?
    Also etwa so:
    Code:
    127.0.0.1       *.ivwbox.de
    Erik

    P.S.: In der angegebenen Form klappt es nicht.
     
  2. sECuRE

    sECuRE MacUser Mitglied

    Beiträge:
    566
    Zustimmungen:
    6
    Registriert seit:
    25.06.2005
    Hi,

    nein, das geht nicht. Du kannst aber einen Paketfilter, wie zum Beispiel iptables, dafür verwenden (einfach eine DROP oder REJECT-rule einstellen).

    cu
     
  3. MacErik

    MacErik Thread Starter MacUser Mitglied

    Beiträge:
    632
    Zustimmungen:
    12
    Registriert seit:
    06.09.2002
    Danke für die Antwort.
    Kann ich das Problem auch mit IPFW lösen? IPtables ist ja nicht Teil von OS X, oder?

    Erik
     
  4. maceis

    maceis MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    Sorry, aber die Antwort ist unsinnig und falsch.

    Denn erstens gibt es kein iptables auf Mac OS X, zweitens kann man es auch nicht nachinstallieren, wenn man nicht gerade einen eigenen Kernel schreibt, drittens kann man mit DROP/REJECT das angefragte Ergebnis nicht erreichen.

    @ MacErik
    mit der ipfw kannst Du das mW nicht lösen.
    Auch sonst fällt mir spontan keine Lösung ein.
    Wenn es Dir lediglich um http/ftp Zugriffe geht, käme noch ein Proxy in Frage. Den musst Du Dir aber selbst installieren.
     
  5. chen

    chen MacUser Mitglied

    Beiträge:
    390
    Zustimmungen:
    2
    Registriert seit:
    03.11.2005

    Sorry, maceis, ein REJECT ist wohl möglich:

    Hier einen Auszug aus der manpage von iptables (gentoo):

    REJECT
    This is used to send back an error packet in response to the matched
    packet: otherwise it is equivalent to DROP so it is a terminating TARGET,
    ending rule traversal. This target is only valid in the INPUT, FORWARD
    and OUTPUT chains, and user-defined chains which are only called from
    those chains. The following option controls the nature of the error
    packet returned:

    --reject-with type
    The type given can be
    icmp-net-unreachable
    icmp-host-unreachable
    icmp-port-unreachable
    icmp-proto-unreachable
    icmp-net-prohibited
    icmp-host-prohibited or
    icmp-admin-prohibited (*)
    which return the appropriate ICMP error message (port-unreachable
    is the default). The option tcp-reset can be used on rules which
    only match the TCP protocol: this causes a TCP RST packet to be
    sent back. This is mainly useful for blocking ident (113/tcp)
    probes which frequently occur when sending mail to broken mail
    hosts (which won't accept your mail otherwise).

    (*) Using icmp-admin-prohibited with kernels that do not support it will
    result in a plain DROP instead of REJECT
     
  6. maceis

    maceis MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    Registriert seit:
    24.09.2003
    Ja richtig, ich hatte meine Beitrag deswegen sofort wieder geändert.
    Auf meiner Fritzbox hatte ich eine abgespeckte Variante von iptables ohne REJECT Target.

    Wie dem auch sei, die Antwort von 'sECuRE' wird davon kein Quentchen richtiger.
     
  7. MacErik

    MacErik Thread Starter MacUser Mitglied

    Beiträge:
    632
    Zustimmungen:
    12
    Registriert seit:
    06.09.2002
    Danke für die Antworten.
    Zwar konnten wir das Problem nicht auf Basis von OS X lösen, doch durch den Hinweis von maceis auf seine Fritbox bin ich erst darauf gekommen, den Domain-Blocker meines Routers zu verwenden. Damit funktioniert es einwandfrei.

    Erik
     
  8. chen

    chen MacUser Mitglied

    Beiträge:
    390
    Zustimmungen:
    2
    Registriert seit:
    03.11.2005

    Joo, habs gemerkt... :)

    Hab meine Antwort dann auch leicht modifizieren müssen... :rolleyes:
     
  9. chen

    chen MacUser Mitglied

    Beiträge:
    390
    Zustimmungen:
    2
    Registriert seit:
    03.11.2005
    @maceis

    generell gilt in einer firewall:

    domain basierte rules gehen erst mal nicht
    ip only basierte rules soll man vermeiden (dns spoofing)

    Man könnte aber ausgehende Pakete an die IP der domain blocken, nicht jedoch die Domain, dabei könnte man auch via whois etc. den IP-Block der obigen Domain in Erfahrung bringen und den ganzen Block sperren, d.h. ausgehende Pakete an IP-Range sperren... Dabei benutzt man natürlich nicht drop, sondern reject, weil wenn drop muss man im LAN auf ein Timeout warten, bei reject bekommt man sofort unreachable. Zusätzlich könnte man diese Reject-Rule auch noch mit einem Match für z.B. layer7 belegen, d.h. wenn nicht http, somit ließen sich dann noch die Webseiten per http erreichen... jedenfalls ist Paketfilter und Reject der richtige Weg. Oder wenn man wirklich auf 127.0.0.1 umleiten will eben Redirect.

    Das Problem ließe sich auch durch einen Nameserver beheben. Doch was macht man, wenn man unterwegs ist und einen anderen Nameserver benutzt?

    Dann hat das hosts-file evtl. eine geringere Priorität, d.h. ein Nameserver wird vorher beachtet... das hängt ganz davon ab, wie man die Reihenfolge beim lookupd einstellt.
     
Die Seite wird geladen...

Diese Seite empfehlen

Benutzerdefinierte Suche