Как запретить скриптам ломиться из сервера на конкретный урл наружу

[zerdek]

Стоит задача заблокировать (чем?) сервисам на сервере доступ наружу, на внешние адреса сайтов (не на ИП, поскольку они могут меняться).

1. сначала пускаешь tcpdump и смотришь куда ломятся скрипты.
2. нулишь все левое в файле hosts. если ломятся по ip - то давишь iptables или ipfw

этот метод довольно эффективный

 

[General Fizz]

Через IPTABLES заблокируй доступ к сайтам, на которые они лезут, или вообще все исходящие соединения

Добавлено через 7 минут
P.S *** скрытое содержание ***

Возможно для тебя это новость, но для ключа -s, который ты привел в пример, параметрами могут быть только ИП адреса и их подсети. В iptables есть модуль string, который поддерживает сигнальные строки, но для его включения необходима установка заплатки patch-o-matic на ядро (см. первый пост).

-s, --source [!] address[/mask]
Source specification. Address can be either a network name, a
hostname (please note that specifying any name to be resolved
with a remote query such as DNS is a really bad idea), a network
IP address (with /mask), or a plain IP address. The mask can be
either a network mask or a plain number, specifying the number
of 1's at the left side of the network mask. Thus, a mask of 24
is equivalent to 255.255.255.0. A "!" argument before the
address specification inverts the sense of the address. The flag
--src is an alias for this option.

Закрывать все наружу - не выход, есть много трастовых сервисов. В общем сделал пока через Hosts, однако все-таки подумываю установить patch-o-matic.