Named : produire une adresse fake pour certains noms

Le
Zouplaz
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)

En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.

Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.


Comment faire ?

J'ai naïvement modifié hosts.conf avec order hosts, bind mais bien
entendu ça n'a d'effet que sur le serveur lui même, pas sur les postes
clients qui dialoguent avec bind directement.

J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément

Si vous avez une piste
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
YBM
Le #18733481
Zouplaz a écrit :
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)

En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.

Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.


Comment faire ?



Ça peut se faire par domaine :

pour chaque domaine dont tu souhaite interdire l'accès, tu ajoutes une
entrée dans named.conf (named.conf.local sur une Debian/Ubuntu) :

zone "microsoft.com" {
type master;
file "db.deny";
};

(si tu en as vraiment beaucoup un script bash peut engendrer toutes
ces sections, les mettre dans un fichier que tu peux inclure dans
named.conf[.local] avec include "..."; )

et le fichier db.deny aura l'allure suivante :

;
; BIND data file for forbidden domains
;
$TTL 604800
@ IN SOA ns nsadmin (
2008012201 ; Serial
3H ; Refresh
1H ; Retry
8D ; Expire
604800 ) ; Negative Cache TTL
;
IN NS <IP de ton DNS>
IN A 127.0.0.1
* IN A 127.0.0.1

Tu peux même remplacer 127.0.0.1 par l'ip de ton dns et
y mettre un petit site web pour enregistrer les accès et
prévenir gentiment de l'interdiction.
Jacques Lav!gnotte
Le #18734111
Zouplaz a écrit :

Si vous avez une piste...



Un piste toute différente : installer un proxy sur le serveur et gérer
les listes noires...

http://www.brennan.id.au/11-Squid_Web_Proxy.html


Sauf si tes gamins arrivent à reconfigurer Firefox...


Jacques


autre piste : les claques :)))
Fabien LE LEZ
Le #18734091
On Sun, 22 Feb 2009 16:02:18 +0100, "Jacques Lav!gnotte"

Sauf si tes gamins arrivent à reconfigurer Firefox...



Ils y arriveront.
Mais il suffit d'empêcher le routage direct depuis leurs PC vers
Internet, pour contourner le problème.
Jacques Lav!gnotte
Le #18734231
Fabien LE LEZ a écrit :

Ils y arriveront.
Mais il suffit d'empêcher le routage direct depuis leurs PC vers
Internet, pour contourner le problème.



Alors plus de Msn, de Jabber, de musique...


Jacques

Privés de dessert ?
Kevin Denis
Le #18734641
Le 22-02-2009, Zouplaz
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)



Pourtant squid est sans doute l'outil le plus approprié dans ton cas.
Liste blanche, liste noire, horaire, blacklists fournies par une université,
etc etc..

En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.



Ou tu peux faire exactement l'inverse, si tu veux restreindre l'accès à
peu de sites (au contraire d'interdire certains sites).
Tu renseignes l'/etc/hosts de chacune des machines de tes enfants avec
les quelques sites auxquels ils ont droit.
Tu n'indiques pas de DNS pour leurs machines, ni proxy.
Ainsi, ils n'accéderont qu'aux sites que tu leur aura donné.
Si tu veux leur donner accès à peu de sites, c'est sans doute la
solution la plus rapide.

J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément...



A mon avis, la doc de squid est tout de même plus simple que la doc
de bind..
--
Kevin
Jacques Lav!gnotte
Le #18734811
Kevin Denis a écrit :

A mon avis, la doc de squid est tout de même plus simple que la doc
de bind..



Euphémisme ;))

J.
Zouplaz
Le #18735071
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire
temporairement l'accès à un petit nombre de sites pour raison
d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler
avec une confi trop lourde pour ça.

Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur
tous les navigateurs de la maison, y compris sur ma bécane ce que je ne
souhaite pas - pour d'autres raisons ma conf doit rester intacte.

Donc reste la solution de bind, qui me permettra facilement de bloquer
tout accès à skyblog ou n'importe quel truc du même genre au gré des
écarts d'utilisation...

Pour la réponse de YBM : ça fonctionne impect. Merci !
YBM
Le #18735181
Zouplaz a écrit :
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire
temporairement l'accès à un petit nombre de sites pour raison
d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler
avec une confi trop lourde pour ça.

Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur
tous les navigateurs de la maison, y compris sur ma bécane ce que je ne
souhaite pas - pour d'autres raisons ma conf doit rester intacte.



En configurant squid et netfilter on peut aussi utiliser squid en
proxy transparent : tout le traffic sortant vers le port 80 passe
par lui.

Donc reste la solution de bind, qui me permettra facilement de bloquer
tout accès à skyblog ou n'importe quel truc du même genre au gré des
écarts d'utilisation...

Pour la réponse de YBM : ça fonctionne impect. Merci !



De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.
Fabien LE LEZ
Le #18737951
On Sun, 22 Feb 2009 18:23:23 +0100, YBM
De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.



Ou tout simplement par le proxy du FAI.
Zouplaz
Le #18741541
le 23/02/2009 05:37, Fabien LE LEZ nous a dit:
On Sun, 22 Feb 2009 18:23:23 +0100, YBM
De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.



Ou tout simplement par le proxy du FAI.



Ma fille sait faire plein de choses mais à 12 ans elle ne sait pas
trouver l'adresse d'un proxy et configurer son navigateur.
Faut dire que l'informatique ça la branche moyen moyen - C'est le média
qui l'intéresse, pas la technique... Puis y a la musique, le basket, les
arts martiaux, les copines, les devoirs, ça laisse pas beaucoup de temps.
Publicité
Poster une réponse
Anonyme