ネットワークアプリケーションはほかにも数多く存在するので、同じ1つのファイルの中でさまざまなポート番号やIPアドレスを扱うようにスクリプトを改良することもできる。設定ファイル(ファイル名はip_ports_blockedとする)は以下のようなものにすることができる。
# さまざまなアプリケーションに関してブロックするIPアドレス
# ********************************
# MSN messenger
# 営業部 第2オフィス
192.168.100.10:1863
# 経理部(全体)
192.168.100.23:1863
192.168.100.24:1863
192.168.100.25:1863
# 製造部A棟
192.168.100.50:1863
# mysql
# 営業部 第2、第6オフィス
192.168.100.10:3306
192.168.100.11:3306
以下に、ip_ports_blockedを処理するように変更したスクリプトを示す。
grep -v "#" /your/path/ip_ports_blocked | sed -e '/^$/d' > /tmp/temp
while read row ; do
IP=`echo $row | cut -d":" -f1`
PORT=`echo $row | cut -d":" -f2`
/sbin/iptables -t mangle -A PREROUTING -s $IP -p tcp --dport $PORT -j DROP
done < /tmp/temp
ITマネジャーはこのテクニックを使うことで、社員が不必要なネットワープアプリケーションで時間を浪費しないようにすることができる。プロキシを使用しなくても、MSN Messengerなどのアプリケーションを1つだけブロックするスクリプトや複数のアプリケーションをブロックするスクリプトを必要に応じて使用すればよいだろう。
Sergio Gonzalez DuranはLinux管理者、システム開発者、ネットワークセキュリティカウンセラー。Linux教育コースも担当し、スペイン語のLinux/オープンソースWebサイトlinuxtotal.com.mxを運営している。
Copyright © 2010 OSDN Corporation, All Rights Reserved.