Dns whitelist
-
всем привет!
как сделать dns whitelist?
т.е. есть список около 100 доменов, надо разрешить их и их поддомены резолвить
остальное все запретить.
прокси не подходит, надо именно с помощью днс
-
rejector.ru
нет, они мне не платят
-
rejector.ru
нет, они мне не платятмне не жалко, это по поводу оплаты
но надо что бы днс был свой а не левый
-
насколько я понимаю - надо делать днс фильтр..
вопрос как…
-
насколько я понимаю - надо делать днс фильтр..
вопрос как…читать маны bind ну или использовать openDNS или rejector
-
насколько я понимаю - надо делать днс фильтр..
вопрос как…читать маны bind ну или использовать openDNS или rejector
какую часть их читать?
-
какую часть их читать?
желательно всю, чтобы не задавать больше вопросов
даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,
все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс
-
насколько я понимаю - надо делать днс фильтр..
вопрос как…читать маны bind ну или использовать openDNS или rejector
какую часть их читать?
Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.
-
@Evgeny:
Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.
не согласен =) можно все зоны перетянуть на себя и их контролировать =)
-
даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,
т.е. надо под каждый разрешенный делать зону с форвардом?
все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс
ну так и планировал
-
@Evgeny:
Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.
не согласен =) можно все зоны перетянуть на себя и их контролировать =)
Без DNS-сервера? -)
-
@Evgeny:
Без DNS-сервера? -)
чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)
-
@Evgeny:
Без DNS-сервера? -)
чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)
Bind в pfSense по умолчанию? где?
-
@Evgeny:
Bind в pfSense по умолчанию? где?
в pfsense - хз, есть по дефолту или нет, в *бсд он по умолчанию есть
значить надо поставить, эт не проблема :)
-
bind и устанавливал и настраивал.
перетягивать на себя зоны -не вижу смысла..
вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
zone "google.com" IN {
type forward;
forward only;
forwarders { 8.8.8.8; };
};или можно как то указать список?
-
bind и устанавливал и настраивал.
перетягивать на себя зоны -не вижу смысла..
вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
zone "google.com" IN {
type forward;
forward only;
forwarders { 8.8.8.8; };
};или можно как то указать список?
так ты его и указываешь, что тебе еще нужно?!