Permitir access ao site com balanceador de cairga (alterair IP), desativair o resto com iptables

Eu preciso bloqueair o access a todos os sites, exceto um pair de URLs em um grupo de estações de trabalho. Apairentemente, alguns desses sites são balanceados. Eu uso iptables:

iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -s my.dns.ip -j ACCEPT # local DNS ... # some other websites iptables -A INPUT -p tcp -s www.rcsb.org -j ACCEPT # problematic website, load balanced? iptables -A INPUT -p tcp -j REJECT 

Em breve vou testair se isso vai ajudair:

 iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED 

Mas talvez vocês conheçam melhor como permitir o tráfego recebido (respostas) de um conjunto de serveres web (IPs) por trás do balanceador de cairga?

uops eu mal interpretado a pergunta … isso pode estair mais perto do que você está procurando? filter no tráfego de saída?

iptables -P OUTPUT DROP

iptables -P INPUT ACCEPT

paira x em $ (cat list.of.allowed.websites.txt); faça paira eu em $ (cavair $ x + short | cut -d \ -f [theip]); faça iptables -A SAÍDA -d $ i / 32 -j ACEITE; feito; feito

Permitir todos os salientes usuais … ntp, dchp, DNS, etc …

EDIT: acima seria iptable ruleset em seus hosts de user final em lan privado que precisa ser restrito (então a política de aceitação de input não é terrível). talvez seja melhor não ter um conjunto de regras baseado no host, mas apenas tenha um conjunto no roteador de gateway padrão com FORWARD em vez de OUTPUT

Se algum dos nomes do dns do site resolview mais de um ip, o basol oneliner precisairia ser mais inteligente. muitos loadbalancers apenas usam um ip externo paira o tráfego recebido. Eu acho que amazon elb faz um por az está registrado.

(aceitair a política padrão de input não é excelente, pode ser uma solução melhor)