Назад | Перейти на главную страницу

Реализовать DNS-фильтрацию

Мне было интересно, как лучше всего реализовать фильтрацию DNS.

Сценарий таков: нам нужно настроить два настраиваемых DNS-сервера для использования на компьютерах нашей компании, чтобы мы могли фильтровать DNS-запросы для определенных доменов, возвращать настраиваемые IP-адреса и пересылать другие запросы на DNS-серверы наших интернет-провайдеров.

Мы думали об использовании PowerDNS или MyDNS, потому что они поддерживают MySQL «из коробки», и нам нужно часто менять список доменов для фильтрации.

Как предполагает Эд Фрис, решения DNS:

  1. Настройте (или два) DNS-сервера с переадресацией или зоной корневых подсказок, чтобы он возвращал неавторизованные ответы для всех доменов в Интернете.
  2. Настройте своих клиентов на использование этого / этих DNS-серверов путем соответствующей настройки DHCP-сервера (или вручную на клиенте).
  3. При необходимости заблокируйте исходящий трафик 53 / udp на вашем брандмауэре, чтобы клиенты в вашей сети не могли использовать другой DNS-сервер.
  4. Создайте на своем DNS-сервере авторитетную зону для доменов, которые вы хотите заблокировать, и при необходимости создайте для них записи A / CNAME и т. Д. Это предотвратит пересылку вашего DNS-сервера запроса и получение реального ответа, поскольку он считает его авторитетным.

Есть способы обойти это:

  • Если вы не выполните шаг 3, клиенты могут просто использовать общедоступный DNS-сервер (например, Google предоставляет публичный DNS)
  • Люди могут использовать VPN / прокси, чтобы обойти это
  • Для некоторых сайтов они смогут ввести IP-адрес (если они его знают) и в любом случае перейти на сайт, никаких изменений конфигурации не требуется.

Есть и другие способы блокировки сайтов (например, блокировка IP-адреса на брандмауэре), которые могут быть немного более надежными / менее эффективными, хотя почти для всего есть способ обойти это, если ваши пользователи достаточно сообразительны.

Фильтрация проще, чем «перенаправление», но лучше всего ее выполнять с помощью прокси-сервера или фильтра веб-содержимого, будь то оборудование или служба.

Перенаправление определенных доменов, например MySpace.com, путем создания авторитетной зоны на вашем DNS-сервере, а затем создания ваших собственных записей A / CNAME, вероятно, будет в лучшем случае административной проблемой, и ее трудно будет централизованно обойти, если у кого-то есть законная потребность в доступе к сайт. С другой стороны, опытные пользователи могут легко обойти эту проблему с помощью прокси-службы / клиента на рабочей станции.

Вы должны публиковать более подробную информацию о том, чего вы пытаетесь достичь и почему, для более подробного ответа.