Comment bloquer les requetes DNS vers certains domaines ?
4 réponses
kurdal
Bonjour.
Je cherche comment emp=EAcher que les clients de mon r=E9seau ne lancent de=
s=20
requ=EAtes DNS vers certains domaines.
Les postes du r=E9seau interrogent un serveur DNs interne, qui appelle ses=
=20
'parents' quand il ne sait plus ;-)
J'ai regard=E9 vers squid (avec lequel je ne parviens pas encore =E0 bloque=
r=20
les acc=E8s aux pages), mais je ne suis m=EAme pas s=FBr qu'il arr=EAte d=
=E9j=E0 les=20
requ=EAtes DNS.
En gros: help welcome.
L'archi:
des PC, leur serveur DNS Windows2000, une gateway OpenBSD qui fait du=20
NAT et qui tente de faire du proxy transparent (rdr), un WAN derri=E8re.
Ah! Concernant les RTFM, c'est d=E9j=E0 fait mais je n'ai peut =EAtre pas=
=20
compris :-(
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
kurdal wrote:
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines.
Cela n'a pas de sens. Le serveur au dessus (provider) va répondre pour toute les requêtes, et les serveurs de zone (.fr, .com etc) pour les zones correspondantes.
J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les requêtes DNS.
C'est à ce niveau qu'il faut agir, avec les ACL de squid.
kurdal wrote:
Je cherche comment empêcher que les clients de mon réseau ne lancent des
requêtes DNS vers certains domaines.
Cela n'a pas de sens. Le serveur au dessus (provider) va répondre pour
toute les requêtes, et les serveurs de zone (.fr, .com etc) pour les
zones correspondantes.
J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer
les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les
requêtes DNS.
C'est à ce niveau qu'il faut agir, avec les ACL de squid.
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines.
Cela n'a pas de sens. Le serveur au dessus (provider) va répondre pour toute les requêtes, et les serveurs de zone (.fr, .com etc) pour les zones correspondantes.
J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les requêtes DNS.
C'est à ce niveau qu'il faut agir, avec les ACL de squid.
pxg
kurdal wrote:
Bonjour. salut
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines. le fichier hosts peut apporter des réponses /volontairement/ faussées et
éviter les requêtes dns. Pour un(des) sites ça fonctionne plutôt bien et permet un filtrage assez efficace avec des utilisateurs pas trop rusés. Par contre je ne sais pas si l'on peut truquer de cette façon pour un domaine entier.
pxg
kurdal wrote:
Bonjour.
salut
Je cherche comment empêcher que les clients de mon réseau ne lancent
des requêtes DNS vers certains domaines.
le fichier hosts peut apporter des réponses /volontairement/ faussées et
éviter les requêtes dns. Pour un(des) sites ça fonctionne plutôt bien et
permet un filtrage assez efficace avec des utilisateurs pas trop rusés.
Par contre je ne sais pas si l'on peut truquer de cette façon pour un
domaine entier.
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines. le fichier hosts peut apporter des réponses /volontairement/ faussées et
éviter les requêtes dns. Pour un(des) sites ça fonctionne plutôt bien et permet un filtrage assez efficace avec des utilisateurs pas trop rusés. Par contre je ne sais pas si l'on peut truquer de cette façon pour un domaine entier.
pxg
JB
Dans bind, tu peux donner de mauvaises IP pour le dns de certains domaines et alors ca bloquera la connexion
sinon le mieux c'est du filtrage iptables
"kurdal" a écrit dans le message de news: Bonjour.
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines. Les postes du réseau interrogent un serveur DNs interne, qui appelle ses 'parents' quand il ne sait plus ;-) J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les requêtes DNS.
En gros: help welcome.
L'archi: des PC, leur serveur DNS Windows2000, une gateway OpenBSD qui fait du NAT et qui tente de faire du proxy transparent (rdr), un WAN derrière.
Ah! Concernant les RTFM, c'est déjà fait mais je n'ai peut être pas compris :-(
Dans bind, tu peux donner de mauvaises IP pour le dns de certains domaines
et alors ca bloquera la connexion
sinon le mieux c'est du filtrage iptables
"kurdal" <kurdal.gentisard@laposte.net> a écrit dans le message de
news:MPG.1bca52e936f2d4b6989680@nntpserver.tele2.fr...
Bonjour.
Je cherche comment empêcher que les clients de mon réseau ne lancent des
requêtes DNS vers certains domaines.
Les postes du réseau interrogent un serveur DNs interne, qui appelle ses
'parents' quand il ne sait plus ;-)
J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer
les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les
requêtes DNS.
En gros: help welcome.
L'archi:
des PC, leur serveur DNS Windows2000, une gateway OpenBSD qui fait du
NAT et qui tente de faire du proxy transparent (rdr), un WAN derrière.
Ah! Concernant les RTFM, c'est déjà fait mais je n'ai peut être pas
compris :-(
Dans bind, tu peux donner de mauvaises IP pour le dns de certains domaines et alors ca bloquera la connexion
sinon le mieux c'est du filtrage iptables
"kurdal" a écrit dans le message de news: Bonjour.
Je cherche comment empêcher que les clients de mon réseau ne lancent des requêtes DNS vers certains domaines. Les postes du réseau interrogent un serveur DNs interne, qui appelle ses 'parents' quand il ne sait plus ;-) J'ai regardé vers squid (avec lequel je ne parviens pas encore à bloquer les accès aux pages), mais je ne suis même pas sûr qu'il arrête déjà les requêtes DNS.
En gros: help welcome.
L'archi: des PC, leur serveur DNS Windows2000, une gateway OpenBSD qui fait du NAT et qui tente de faire du proxy transparent (rdr), un WAN derrière.
Ah! Concernant les RTFM, c'est déjà fait mais je n'ai peut être pas compris :-(
Dominique Blas
JB wrote:
Dans bind, tu peux donner de mauvaises IP pour le dns de certains domaines et alors ca bloquera la connexion
Il y a l'instruction blackhole égaelement.
Mais il faut un BIND ... Or, là on ne sait pas s'il y en a un.
sinon le mieux c'est du filtrage iptables Filtrage tout court, en l'occurrence de l'ipf étant donné que le monsieur
s'appuie sur une passerelle OpenBSD. Mais bonne chance pour le filtrage.
Le mieux serait d'interdire les domaines au niveau de Squid, effectivement. db
-- email : usenet blas net
JB wrote:
Dans bind, tu peux donner de mauvaises IP pour le dns de certains domaines
et alors ca bloquera la connexion
Il y a l'instruction blackhole égaelement.
Mais il faut un BIND ... Or, là on ne sait pas s'il y en a un.
sinon le mieux c'est du filtrage iptables
Filtrage tout court, en l'occurrence de l'ipf étant donné que le monsieur
s'appuie sur une passerelle OpenBSD.
Mais bonne chance pour le filtrage.
Le mieux serait d'interdire les domaines au niveau de Squid, effectivement.
db
