Named : produire une adresse fake pour certains noms
Le
Zouplaz
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.
Comment faire ?
J'ai naïvement modifié hosts.conf avec order hosts, bind mais bien
entendu ça n'a d'effet que sur le serveur lui même, pas sur les postes
clients qui dialoguent avec bind directement.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément
Si vous avez une piste
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.
Comment faire ?
J'ai naïvement modifié hosts.conf avec order hosts, bind mais bien
entendu ça n'a d'effet que sur le serveur lui même, pas sur les postes
clients qui dialoguent avec bind directement.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément
Si vous avez une piste
Poser une question
Ça peut se faire par domaine :
pour chaque domaine dont tu souhaite interdire l'accès, tu ajoutes une
entrée dans named.conf (named.conf.local sur une Debian/Ubuntu) :
zone "microsoft.com" {
type master;
file "db.deny";
};
(si tu en as vraiment beaucoup un script bash peut engendrer toutes
ces sections, les mettre dans un fichier que tu peux inclure dans
named.conf[.local] avec include "..."; )
et le fichier db.deny aura l'allure suivante :
;
; BIND data file for forbidden domains
;
$TTL 604800
@ IN SOA ns nsadmin (
2008012201 ; Serial
3H ; Refresh
1H ; Retry
8D ; Expire
604800 ) ; Negative Cache TTL
;
IN NS <IP de ton DNS>
IN A 127.0.0.1
* IN A 127.0.0.1
Tu peux même remplacer 127.0.0.1 par l'ip de ton dns et
y mettre un petit site web pour enregistrer les accès et
prévenir gentiment de l'interdiction.
Un piste toute différente : installer un proxy sur le serveur et gérer
les listes noires...
http://www.brennan.id.au/11-Squid_Web_Proxy.html
Sauf si tes gamins arrivent à reconfigurer Firefox...
Jacques
autre piste : les claques :)))
Ils y arriveront.
Mais il suffit d'empêcher le routage direct depuis leurs PC vers
Internet, pour contourner le problème.
Alors plus de Msn, de Jabber, de musique...
Jacques
Privés de dessert ?
Pourtant squid est sans doute l'outil le plus approprié dans ton cas.
Liste blanche, liste noire, horaire, blacklists fournies par une université,
etc etc..
Ou tu peux faire exactement l'inverse, si tu veux restreindre l'accès à
peu de sites (au contraire d'interdire certains sites).
Tu renseignes l'/etc/hosts de chacune des machines de tes enfants avec
les quelques sites auxquels ils ont droit.
Tu n'indiques pas de DNS pour leurs machines, ni proxy.
Ainsi, ils n'accéderont qu'aux sites que tu leur aura donné.
Si tu veux leur donner accès à peu de sites, c'est sans doute la
solution la plus rapide.
A mon avis, la doc de squid est tout de même plus simple que la doc
de bind..
--
Kevin