Блокировка выхода на сайт с определенного IP
 

Локальная сеть, контроллер домена 2003 Server, шлюз на FreeBSD 4.10. В качестве файрволла используется ipfw.

Требуется запретить выход на некоторые сайты с определенных серых адресов сети. Через айпишники получается легко, достаточно прописать правило в ipfw.rules. А как сделать, чтобы блокировка шла и по имени сайта?
В etc/hosts добавлял строчку: 127.0.0.1 site1.com. Все равно, сайт загружается. В host.conf стоит сначала hosts, потом bind. Проблему нужно решить стандартными средствами Фри.

а блокировать сайт по имени ты собираешься средствами ipfw?

Средствами ipfw не получается. Пробую через hosts.

deny tcp from me to www.rambler.ru - например
лучше делайте прозрачный прокси с режиком очень удобно, или squidguard - тоже клёвая софтинка, (майнтейнера сквидгварда в портах в жопу казнить нада, такой херни понаделал, 3 часа исправлять нада, хотя может и исправил уже)
пысы: у режика базы говносайтов регулярно обовляются, можно не париться самой вбивать, а просто готовые рулесеты сливать и обновлять (можно и руками, что нужно вбивать)

пысы: писала шпаргалку у себя в жж как это настроить.

Угу, только перед этим внести сайт в hosts.

Настроил сквид+режик, действительно, очень удобно, респект за хороший совет.
Еще один ньюанс до снятия вопроса - возможно ли пустить всех пользователей автоматом через сквид, вместо того, чтобы прописывать на каждой машине прокси в браузере?

Можно - transparent proxy.

Спасибо. Вопрос решен: rejik+squid(transparent proxy).

зачем? вроде DNS должен работать в правилах.

Не работает. Если требуемый сайт не внести в hosts, ipfw выдает ошибку hostname "такой-то" unknown. Возможно дело в версии Фри?

Настройте кэширующий DNS сервер и заставьте обращаться к DNS-провайдера.
Либо просто укажите DNS-провайдера в reolv.conf.
НО это ИМХО не решит проблемы с сайтами, у которых несколько IP ;)
Почему, потому что rejik - разбирает не заголовки пришедших к нему пактов, а HTTP запрос направляемый к proxy-серверу.

В resolf.conf DNS провайдера указан.