Tốt nhất là một cái gì đó tương tự như iptables
. Về cơ bản, tôi muốn thực hiện lọc tên miền / danh sách trắng / danh sách đen giống như tôi làm với IP iptables
. Có bất kỳ khuyến nghị về cách làm điều này?
Tốt nhất là một cái gì đó tương tự như iptables
. Về cơ bản, tôi muốn thực hiện lọc tên miền / danh sách trắng / danh sách đen giống như tôi làm với IP iptables
. Có bất kỳ khuyến nghị về cách làm điều này?
Câu trả lời:
Nếu bạn giảm lưu lượng sử dụng phân giải tên với quy tắc iptables, tên sẽ được giải quyết trong quá trình tạo quy tắc đó. Nếu có gì đó thay đổi, quy tắc của bạn sẽ không còn hiệu lực nữa. Đây có thể là một giải pháp (không phải là một cách đẹp ...):
# iptables -I FORWARD -p udp --dport 53 -m string --hex-string "|03|www|08|facebook|03|com" --algo bm -j DROP
Từ một máy chủ khác trong mạng LAN:
# host www.facebook.com
www.facebook.com A record not found, try again
Về cơ bản, bạn đang nói với mọi gói dns ( udp/53
) có chuỗi thập lục phân www.facebook.com to
bị loại bỏ. Lưu ý rằng điều này sẽ giảm độ phân giải tên, và không phải chính lưu lượng truy cập http.
Các số hex được phân tách bằng ống ( |03|www|08|facebook|03|com
) là đại diện của dấu chấm .
sim trên các truy vấn dns. Nó sẽ cho biết có bao nhiêu trong số các charaters sau đây sẽ đại diện cho từng phần của FQDN (máy chủ, tên miền, tên miền cấp cao nhất) Ví dụ:
tổ chức: mail.google.com
đại diện hex: 04 6d 61 69 6c 06 67 6f 6f 67 6c 65 03 63 6f 6d
"đại diện trực quan: 04mail06google03com
Lấy gói với tcpdump:
# tcpdump -i eth0 -X dst port 53
15:50:11.643672 IP xxx.xxx.xxx.xxx:xxx > ns4.google.com.domain: 16530 A? mail.google.com. (33)
0x0000: 4500 003d 779a 4000 4011 b390 c949 4742 E..=w.@.@....IGB
0x0010: d8ef 260a 8424 0035 0029 0fc0 4092 0000 ..&..$.5.)..@...
0x0020: 0001 0000 0000 0000 046d 6169 6c06 676f .........mail.go
0x0030: 6f67 6c65 0363 6f6d 0000 0100 01 ogle.com.....
Nhưng hãy nhớ:
Có thể câu trả lời cho câu hỏi của bạn đã quá muộn, nhưng gần đây tôi cần giải quyết một vấn đề tương tự và google đưa tôi đến đây
Sau khi tìm kiếm không thành công, tôi đã viết một tiện ích nhỏ trong C chặn các phản hồi DNS, so sánh tên miền trong đó với regex đã cho và liệt kê các địa chỉ IP phù hợp. Đây là: https://github.com/vmxdev/sidmat/
Bạn không cần thiết lập máy chủ DNS của riêng mình, tiện ích có thể bắt phản hồi DNS từ bất kỳ máy chủ nào
Ví dụ: để xem các địa chỉ IP của facebook.com (và tên miền phụ) được giải quyết ngay bây giờ, bạn có thể chạy
# ./sidmat eth0 "^facebook\.com$|\.facebook\.com$"
173.252.120.6
...
Trong đó eth0 là giao diện mạng trên bộ định tuyến (hoặc nơi phản hồi DNS đi qua)
Bạn có thể dễ dàng tích hợp nó với iptables (hoặc iptables với ipset)
Nhưng:
Đối với danh sách đen cách dễ nhất có lẽ là sử dụng dnsmasq
Tải về dnsmasq
$ sudo apt-get install dnsmasq
và thêm dòng này vào /etc/dnsmasq.conf
address=/facebook.com/127.0.0.1
Điều này sẽ chặn facebook.com và tất cả các tên miền phụ của nó.
Lưu ý: Đối với Ubuntu, hãy xem bài viết này .
Nếu chạy một bộ đệm ẩn cục bộ bind9, nó thường được nhận ra bởi một dummy-block
zone "facebook.com" { type master; file "dummy-block"; };
và dummy-block
tập tin:
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
* IN A 127.0.0.1
Xem thêm:
Chạy BIND9 và ISC-DHCP với facebook.com
ví dụ.