Platzhalter in /etc/hosts

[MacErik]

Hi,
ist es irgendwie möglich in der /etc/hosts Platzhalter zu verwenden, um z.B. alles, was auf ivwbox.de geht, umzuleiten?
Also etwa so:

127.0.0.1       *.ivwbox.de

Erik

P.S.: In der angegebenen Form klappt es nicht.

 

[sECuRE]

Hi,

nein, das geht nicht. Du kannst aber einen Paketfilter, wie zum Beispiel iptables, dafür verwenden (einfach eine DROP oder REJECT-rule einstellen).

cu

 

[MacErik]

Danke für die Antwort.
Kann ich das Problem auch mit IPFW lösen? IPtables ist ja nicht Teil von OS X, oder?

Erik

 

[maceis]

nein, das geht nicht. Du kannst aber einen Paketfilter, wie zum Beispiel iptables, dafür verwenden (einfach eine DROP oder REJECT-rule einstellen).

Sorry, aber die Antwort ist unsinnig und falsch.

Denn erstens gibt es kein iptables auf Mac OS X, zweitens kann man es auch nicht nachinstallieren, wenn man nicht gerade einen eigenen Kernel schreibt, drittens kann man mit DROP/REJECT das angefragte Ergebnis nicht erreichen.

@ MacErik
mit der ipfw kannst Du das mW nicht lösen.
Auch sonst fällt mir spontan keine Lösung ein.
Wenn es Dir lediglich um http/ftp Zugriffe geht, käme noch ein Proxy in Frage. Den musst Du Dir aber selbst installieren.

 

[chen]

Sorry, aber die Antwort ist unsinnig und falsch.

Denn erstens gibt es kein iptables auf Mac OS X, zweitens kann man es auch nicht nachinstallieren, wenn man nicht gerade einen eigenen Kernel schreibt, drittens kann man mit DROP/REJECT das angefragte Ergebnis nicht erreichen.

@ MacErik
mit der ipfw kannst Du das mW nicht lösen.
Auch sonst fällt mir spontan keine Lösung ein.
Wenn es Dir lediglich um http/ftp Zugriffe geht, käme noch ein Proxy in Frage. Den musst Du Dir aber selbst installieren.

Sorry, maceis, ein REJECT ist wohl möglich:

Hier einen Auszug aus der manpage von iptables (gentoo):

REJECT
This is used to send back an error packet in response to the matched
packet: otherwise it is equivalent to DROP so it is a terminating TARGET,
ending rule traversal. This target is only valid in the INPUT, FORWARD
and OUTPUT chains, and user-defined chains which are only called from
those chains. The following option controls the nature of the error
packet returned:

--reject-with type
The type given can be
icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited or
icmp-admin-prohibited (*)
which return the appropriate ICMP error message (port-unreachable
is the default). The option tcp-reset can be used on rules which
only match the TCP protocol: this causes a TCP RST packet to be
sent back. This is mainly useful for blocking ident (113/tcp)
probes which frequently occur when sending mail to broken mail
hosts (which won't accept your mail otherwise).

(*) Using icmp-admin-prohibited with kernels that do not support it will
result in a plain DROP instead of REJECT

 

[maceis]

Sorry, maceis, ein REJECT ist wohl möglich:
...

Ja richtig, ich hatte meine Beitrag deswegen sofort wieder geändert.
Auf meiner Fritzbox hatte ich eine abgespeckte Variante von iptables ohne REJECT Target.

Wie dem auch sei, die Antwort von 'sECuRE' wird davon kein Quentchen richtiger.

 

[MacErik]

Danke für die Antworten.
Zwar konnten wir das Problem nicht auf Basis von OS X lösen, doch durch den Hinweis von maceis auf seine Fritbox bin ich erst darauf gekommen, den Domain-Blocker meines Routers zu verwenden. Damit funktioniert es einwandfrei.

Erik

 

[chen]

Ja richtig, ich hatte meine Beitrag deswegen sofort wieder geändert.
Auf meiner Fritzbox hatte ich eine abgespeckte Variante von iptables ohne REJECT Target.

Joo, habs gemerkt...

Hab meine Antwort dann auch leicht modifizieren müssen...

 

[chen]

@maceis

generell gilt in einer firewall:

domain basierte rules gehen erst mal nicht
ip only basierte rules soll man vermeiden (dns spoofing)

Man könnte aber ausgehende Pakete an die IP der domain blocken, nicht jedoch die Domain, dabei könnte man auch via whois etc. den IP-Block der obigen Domain in Erfahrung bringen und den ganzen Block sperren, d.h. ausgehende Pakete an IP-Range sperren... Dabei benutzt man natürlich nicht drop, sondern reject, weil wenn drop muss man im LAN auf ein Timeout warten, bei reject bekommt man sofort unreachable. Zusätzlich könnte man diese Reject-Rule auch noch mit einem Match für z.B. layer7 belegen, d.h. wenn nicht http, somit ließen sich dann noch die Webseiten per http erreichen... jedenfalls ist Paketfilter und Reject der richtige Weg. Oder wenn man wirklich auf 127.0.0.1 umleiten will eben Redirect.

Das Problem ließe sich auch durch einen Nameserver beheben. Doch was macht man, wenn man unterwegs ist und einen anderen Nameserver benutzt?

Dann hat das hosts-file evtl. eine geringere Priorität, d.h. ein Nameserver wird vorher beachtet... das hängt ganz davon ab, wie man die Reihenfolge beim lookupd einstellt.