Как заблокировать доступ к определённому сайту

В статье используются следущие термины:

Описание

Требуется заблокировать доступ для всех ВМ к определённому IP-адресу, сайту, ресурсу.

Чтобы заблокировать доступ к сайту, добавьте правило в цепочку PREROUTING. Ниже см. два варианта блокировки доступа:

Внимание

Решение было протестировано на типе сети Коммутация. Для других типов сети правило может отличаться.

Внимание

Регистр в названии цепочки PREROUTING зависит от вашей ОС. Чтобы определить регистр, выполните команду:

nft list ruleset

Блокировка с сохранением правила после перезапуска выполняется через table bridge nat и работает для виртуальных машин на bridge-сети.

Чтобы заблокировать доступ к сайту:

Определите IP-адреса сайта:

dig +short <адрес_сайта>

Пример вывода

dig +short <адрес_сайта>
10.10.10.1
10.10.11.1

Подключитесь к узлу кластера по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.
Откройте файл /etc/nftables/vmmgr.nft в режиме редактирования.
Добавьте или измените таблицу bridge nat как в примере ниже:
```
table bridge nat { chain PREROUTING { type filter hook prerouting priority dstnat; policy accept; ip daddr { 10.10.10.1, 10.10.11.1 } drop } }
```
Пояснения
10.10.10.1, 10.10.11.1 — IP-адреса сайта из п.1
Примените изменения:
```
nft -f /etc/nftables/vmmgr.nft
```
Убедитесь, что правило добавлено:
```
nft list ruleset
```

Чтобы заблокировать доступ к сайту:

Определите IP-адреса сайта:

dig +short <адрес_сайта>

Пример вывода

dig +short <адрес_сайта>
10.10.10.1
10.10.11.1

Чтобы снять блокировку, удалите созданное правило:

Дата последнего обновления статьи: 04.06.2025. Статья подготовлена техническими писателями ISPsystem.