фильтр трафика в сети

dns, локальная сеть, фильтр, фильтрация, фильтрация трафика

0

1

Здравствуйте, нужно реализовать фильтрацию трафика для сети. Должен быть черный список доменов и IP, которые бы просто блокировались. Думаю о том, что можно было бы поднять в локальной сети DNS сервер и прописать его по умолчанию на роутере, чтобы трафик проходил через этот сервер, там фильтровался и шел дальше через DNS провайдера, но уже без запросов к не нужным сайтам. Как это можно реализовать?

Ссылка

←	openvpn + local + удаленная local

Удаленный ключ для автоматической расшифровки тома

→

А как же squid ssl bump?

Допустим будешь dns-ы неугодные направлять на локалхост, на клиенте dns сменили и блокировка закончилась, да и firefox свой собственный dns в браузер встраивает...

WoozyMasta ★
(12.05.19 14:08:06 MSK)

В современных реалиях(спасибо РКН за бесплатное образование юзеров), когда «каждая третья домохозяйка» знает как обойти блокировки, так себе решение.

там фильтровался и шел дальше через DNS провайдера

Это зачем? Чем вас свой днс не устроил?

anc ★★★★★
(12.05.19 14:19:56 MSK)

Ответ на: комментарий от WoozyMasta 12.05.19 14:08:06 MSK

Расчет на то, что DNS вручную никому менять не надо. А про DNS Firefox не слышал. Отключается ли это как-то?

razum_04
(12.05.19 17:28:02 MSK) автор топика

Ответ на: комментарий от anc 12.05.19 14:19:56 MSK

Так если не пропускать через DNS провайдера, то надо машину на месте провайдера и огромную DNS базу, которая есть у владельцев DNS неизвестно откуда, не?

razum_04
(12.05.19 17:30:03 MSK) автор топика

Ответ на: комментарий от razum_04 12.05.19 17:30:03 MSK

Так если не пропускать через DNS провайдера, то надо машину на месте провайдера и огромную DNS базу, которая есть у владельцев DNS неизвестно откуда, не?

«Не». «Обычный» dns сервер который идет из каробки, даже в оффтопик серверах: Сильно по простому. Есть рутовые сервера которые вам говорят, где смотреть ответ на ваш запрос, так вы рекурсивно и доходите до требуемого ns, «обычно» запросы кешируються, т.е. при следующем запросе и не протухшем TTL вы получаете ответ уже от своего сервера.

anc ★★★★★
(12.05.19 17:58:44 MSK)

Ссылка

Ответ на: комментарий от razum_04 12.05.19 17:28:02 MSK

«Случайно» включили «opera vpn» и привет. Но даже не в этом дело. Попробуйте ради эксперимента прописав в hosts 127.0.0.1 для всяких vk и других фэйбучников. Многие сайты на которых есть ссылки на эти ресурсы, включая банковские, перестают работать. Тут аккуратнее надо быть.

anc ★★★★★
(12.05.19 18:04:43 MSK)

Ссылка

Ответ на: комментарий от razum_04 12.05.19 17:30:03 MSK

Так если не пропускать через DNS провайдера, то надо машину на месте провайдера и огромную DNS базу, которая есть у владельцев DNS неизвестно откуда, не?

ахххаха, друже, никак в ркн устроился?

Anoxemian ★★★★★
(12.05.19 18:30:54 MSK)

Ссылка

там фильтровался и шел дальше через DNS провайдера

На шлюзе с linux (например роутер с openwrt), думаю так:

iptables -t filter -I FORWARD 1 -p udp --dport 53 -m string --hex-string «|08|yastatic|03|net|00 00 01|» --algo bm -j DROP

У меня похожее на смартфоне настроенно.

P.S. |08|yastatic|03|net|00 00 01| тут 08 и 03 это количество символов для каждого уровня доменного имени, а 00 00 01 эквивалент \0.

anonymous
(12.05.19 18:33:00 MSK)

Ссылка

dnsmasq не подойдет?

в конфиге

addn-hosts=/banner-reklama/hosts.txt

в hosts.txt

0.0.0.0 vkontahte.ru

alex_sim ★★★★
(15.05.19 12:28:45 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	openvpn + local + удаленная local

Admin

Удаленный ключ для автоматической расшифровки тома

→

dnsmasq не подойдет?

Похожие темы