Назад | Перейти на главную страницу

Приступаем к обеспечению безопасного поиска google с использованием CNAME с несвязанным и nsd?

Я пытаюсь реализовать это с помощью Unbound и Nsd: https://support.google.com/websearch/answer/186669?hl=en

Чтобы включить безопасный поиск в вашей сети, вам необходимо обновить DNS. конфигурация. Установите запись DNS для www.google.com (и любых других субдоменов стран Google ccTLD, которые могут использовать ваши пользователи) в качестве CNAME для forceafesearch.google.com.

Мы будем обслуживать результаты безопасного поиска и поиска картинок для запросов, которые мы получаем на этом VIP

В настоящее время у меня Unbound в pfsense 2.3 установлен как рекурсивный преобразователь DNS. Запросы для Google перенаправляются в BIND, который прослушивает localhost. BIND использует RPZ (зону политики ответа) и пересылает его на DNS-сервер Google 8.8.8.8. Аналогичный подход можно найти в ответе HK1:

https://superuser.com/questions/826426/how-can-you-satisfy-googles-requirement-to-enforce-safesearch-at-the-network-

Все сообщения в Интернете используют переопределение хоста, кроме приведенного выше примера. Если IP-адрес изменится, то файлы conf необходимо будет изменить вручную, что не является самым надежным вариантом. Для повышения производительности, занимаемой площади (старое оборудование) и возможных улучшений безопасности я хотел бы переключить Bind на Nsd. Я бы хотел, чтобы Unbound все разрешил. Просмотр документации и форумов не дал никаких плодотворных результатов. При ограниченном тестировании я всегда получаю SERVFAIL при запуске dig.

Я пробовал это:

Unbound.conf

...
do-not-query-localhost: no
...
stub-zone:
    name: "google.com."
    stub-addr: 127.0.0.1@5353

stub-zone:
    name: "www.google.com."
    stub-addr: 127.0.0.1@5353

stub-zone:
    name: "google.com.au."
    stub-addr: 127.0.0.1@5353

stub-zone:
    name: "www.google.com.au."
    stub-addr: 127.0.0.1@5353
...

Nsd.conf

...
server:
ip-address: 127.0.0.1
port: 5353
...
zone:
name: "google.com"
zonefile: "google.com.zone"

zone:
name: "google.com.au"
zonefile: "google.com.au.zone"

zone:
name: "www.google.com"
zonefile: "www.google.com.zone"

zone:
name: "www.google.com.au"
zonefile: "www.google.com.au.zone"
...

Zonefile:

$TTL 60
@ IN SOA localhost. root.localhost. (
    2017050500;
    10800;
    3600;
    604800;
    10800 )
    IN      NS      localhost.
;
; Google forced Safe Search zone and data
google.com              CNAME forcesafesearch.google.com.
www.google.com          CNAME forcesafesearch.google.com.
google.com.au           CNAME forcesafesearch.google.com.
www.google.com.au       CNAME forcesafesearch.google.com.
...

Можно ли использовать Nsd для безопасного поиска Google, и если да, то как? (Если требуется более новая версия, возможно переключение на сервер ubuntu)

Любая помощь будет оценена.