Ajuda para firewall iptables [RESOLVIDO]

Estou com o seguinte problema, gostaria de bloquear alguns sites direto no firewall pelo ip deles...
o Facebook por exemplo, muda de ip frequentemente...
Gostaria de idéias para montar um script que detecte o ip que o domínio do site (ex: facebook.com) e salve em algum arquivo, gostaria de saber se consigo usar o comando iptables para ler o conteúdo de algum arquivo contendo ips para bloqueio...
Tipo: -A FORWARD -p tcp -s "/arquivoqualquer" -j DROP

Espero ter me expressado bem
Obrigado pela atenção pessoal

Não é melhor tu usar um filtro de conteúdo pra isso?

Dá uma estudada brother:

http://www.vivaolinux.com.br/artigo/Mecanismo-de-firewall-e-seus-conceitos/

Se quer bloquear Facebook via Iptables então...
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

Também pode usar a regra acima para os demais sites...

amigo ou vc faz igual ao amigo acima ou fecha toda porta 443
conforme essa dica

http://www.vivaolinux.com.br/dica/iptables-Bloqueando-a-porta-443-e-liberando-apenas-para-sites-espe...

Serviço braçal [*****] esse de fechar a porta 443 é só liberar oque precisa pelo iptables. Se a empresa precisar de 1000 urls? Tenso! Sou contra fazer isso no iptables! Dá impressão de desorganização! Filtro de conteúdo é justamente para isso!


Vai ter q fazer isso para mais trocentos kproxys! Tu tem que racionalizar suas regras, ou dar manutenção vai se tornar algo bem trabalhoso!

* Trecho retirado do artigo do Elgio

Um firewall pode inicialmente ser classificado em dois tipos básicos, filtros de aplicação e filtro de pacotes. 



Filtro de pacotes tem condições de filtrar baseado unicamente no conteúdo de seus cabeçalhos. Apesar do iptables permitir filtragem por contexto, ainda assim ele é considerado um filtro de pacotes. 



Já o Squid, por exemplo, é considerado um filtro de aplicação. Ele (Squid) tem conhecimento para analisar não apenas os cabeçalhos mas também o conteúdo de um pacote do tipo HTTP e aplicar regras de bloqueio baseado em textos (strings) contidas dentro dele. O Squid entende uma requisição HTTP, sabe o que é um GET e um POST, assim como todos os campos e dados de uma sessão HTTP. Trata-se, portanto, de um filtro de aplicação. Mesmo o iptables podendo filtrar baseado em strings, não chega nem perto do que um Squid pode fazer.  

http://www.vivaolinux.com.br/artigo/Mecanismo-de-firewall-e-seus-conceitos/


Eu recomendo o squid como cache sem proxy transparente, associado a um filtro de conteúdo . Dá uma pesquisada no dansguardian ou no squidguard.


OBS: Gostaria de deixar bem claro que você segue oque achar ou considerar melhor.

Obrigado gente, mais pra aprendizado mesmo, queria ver as possibilidades do iptables, dei uma lida nos artigos aqui e nas respostas, realmente boas, obrigado mesmo pessoal

Uma última dúvida,

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

eu poderia substituir essa string "facebook.com" por um arquivo que conteria várias strings?

Tipo assim, criar um arquivo com as strings

facebook.com
hotmail.com
etc

e passar esse arquivo como parametro pro comando do iptables

é possível?

for URL in `grep -v "^#" /etc/squid/list/lib.txt`; do
iptables -I FORWARD -m string --algo bm --string "$URL" -j DROP
done

/etc/squid/list/lib.txt ESTE E O CAMINHO DO ARQUIVO COM AS PALAVRAS

Muito obrigado gente, foi muito esclarecedor... Espero algum dia conseguir contribuir com a comunidade

Muito obrigado mesmo

qdo vcs bloquearem o facebook pela string, vai funcionar, só q tem um porém, vai bloquear tbm todos os e_mail q tenham link para o facebook ( ex. a assinatura)