Dns whitelist



  • всем привет!
    как сделать dns whitelist?
    т.е. есть список около 100 доменов, надо разрешить их и их поддомены резолвить
    остальное все запретить.
    прокси не подходит, надо именно с помощью днс



  • rejector.ru
    нет, они мне не платят



  • @deutsche:

    rejector.ru
    нет, они мне не платят

    мне не жалко, это по поводу оплаты
    но надо что бы днс был свой а не левый



  • насколько я понимаю - надо делать днс фильтр..
    вопрос как…



  • @alexandrnew:

    насколько я понимаю - надо делать днс фильтр..
    вопрос как…

    читать маны bind ну или использовать openDNS или rejector



  • @zar0ku1:

    @alexandrnew:

    насколько я понимаю - надо делать днс фильтр..
    вопрос как…

    читать маны bind ну или использовать openDNS или rejector

    какую часть их читать?



  • @alexandrnew:

    какую часть их читать?

    желательно всю, чтобы не задавать больше вопросов

    даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,

    все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс



  • @alexandrnew:

    @zar0ku1:

    @alexandrnew:

    насколько я понимаю - надо делать днс фильтр..
    вопрос как…

    читать маны bind ну или использовать openDNS или rejector

    какую часть их читать?

    Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.



  • @Evgeny:

    Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.

    не согласен =) можно все зоны перетянуть на себя и их контролировать =)



  • @zar0ku1:

    даю подсказку, прописываете зоны для разрешенных доменов и даете добро им на переадресацию запросов на глобальный днс,

    т.е. надо под каждый разрешенный делать зону с форвардом?

    @zar0ku1:

    все остальный запросы на локальном днс режете + убрать все порты для юзеров, чтобы они не опрашивали глобальные днс

    ну так и планировал



  • @zar0ku1:

    @Evgeny:

    Начать можно с самого начала. Суть в том, что файрволл не может фильтровать DNS-queries, основываясь на именах доменов. Тебе нужен "свой" DNS-сервер.

    не согласен =) можно все зоны перетянуть на себя и их контролировать =)

    Без DNS-сервера? -)



  • @Evgeny:

    Без DNS-сервера? -)

    чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)



  • @zar0ku1:

    @Evgeny:

    Без DNS-сервера? -)

    чуть выше я писал "читать маны bind" что подразумевает под собой хотя бы установить его, хотя он и так установлен по дефолту, следовательно аффтару осталось его только настроить =)

    Bind в pfSense по умолчанию? где?



  • @Evgeny:

    Bind в pfSense по умолчанию? где?

    в pfsense - хз, есть по дефолту или нет, в *бсд он по умолчанию есть

    значить надо поставить, эт не проблема :)



  • bind и устанавливал и настраивал.
    перетягивать на себя зоны -не вижу смысла..
    вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
    zone "google.com" IN {
           type forward;
           forward only;
           forwarders { 8.8.8.8; };
    };

    или можно как то указать список?



  • @alexandrnew:

    bind и устанавливал и настраивал.
    перетягивать на себя зоны -не вижу смысла..
    вопрос только в том, надо создавать под каждый разрешенный сайт зону с форвардом, например:
    zone "google.com" IN {
           type forward;
           forward only;
           forwarders { 8.8.8.8; };
    };

    или можно как то указать список?

    так ты его и указываешь, что тебе еще нужно?!


Locked