Dns whitelist

alexandrnew

всем привет!
как сделать dns whitelist?
т.е. есть список около 100 доменов, надо разрешить их и их поддомены резолвить
остальное все запретить.
прокси не подходит, надо именно с помощью днс

deutsche

rejector.ru
нет, они мне не платят

alexandrnew

@deutsche:

rejector.ru
нет, они мне не платят

мне не жалко, это по поводу оплаты
но надо что бы днс был свой а не левый

alexandrnew

насколько я понимаю - надо делать днс фильтр..
вопрос как…

zar0ku1

@alexandrnew:

насколько я понимаю - надо делать днс фильтр..
вопрос как…

читать маны bind ну или использовать openDNS или rejector

alexandrnew

@zar0ku1:

@alexandrnew:

насколько я понимаю - надо делать днс фильтр..
вопрос как…

читать маны bind ну или использовать openDNS или rejector

какую часть их читать?

zar0ku1

@alexandrnew:

какую часть их читать?

желательно всю, чтобы не задавать больше вопросов

даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,

все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс

Eugene

@alexandrnew:

@zar0ku1:

@alexandrnew:

насколько я понимаю - надо делать днс фильтр..
вопрос как…

читать маны bind ну или использовать openDNS или rejector

какую часть их читать?

Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.

zar0ku1

@Evgeny:

Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.

не согласен =) можно все зоны перетянуть на себя и их контролировать =)

alexandrnew

@zar0ku1:

даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,

т.е. надо под каждый разрешенный делать зону с форвардом?

@zar0ku1:

все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс

ну так и планировал

Eugene

@zar0ku1:

@Evgeny:

Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.

не согласен =) можно все зоны перетянуть на себя и их контролировать =)

Без DNS-сервера? -)

zar0ku1

@Evgeny:

Без DNS-сервера? -)

чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)

Eugene

@zar0ku1:

@Evgeny:

Без DNS-сервера? -)

чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)

Bind в pfSense по умолчанию? где?

zar0ku1

@Evgeny:

Bind в pfSense по умолчанию? где?

в pfsense - хз, есть по дефолту или нет, в *бсд он по умолчанию есть

значить надо поставить, эт не проблема :)

alexandrnew

bind и устанавливал и настраивал.
перетягивать на себя зоны -не вижу смысла..
вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
zone "google.com" IN {
       type forward;
       forward only;
       forwarders { 8.8.8.8; };
};

или можно как то указать список?

zar0ku1

@alexandrnew:

bind и устанавливал и настраивал.
перетягивать на себя зоны -не вижу смысла..
вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
zone "google.com" IN {
       type forward;
       forward only;
       forwarders { 8.8.8.8; };
};

или можно как то указать список?

так ты его и указываешь, что тебе еще нужно?!