Named : produire une adresse fake pour certains noms
14 réponses
Zouplaz
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.
Comment faire ?
J'ai naïvement modifié hosts.conf avec order hosts, bind mais bien
entendu ça n'a d'effet que sur le serveur lui même, pas sur les postes
clients qui dialoguent avec bind directement.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément...
Bonjour, je voudrais contrôler la résolution de nom de certains sites pour en interdire l'accès sur les postes du réseau local à domicile (postes clients windows et un serveur linux avec named). C'est pas dans l'optique sécurité, juste du contrôle parental de base mais simple à mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et la livebox en second. Avec ethereal j'ai pu constater que toutes les résolutions de nom passaient bien par le serveur linux.
Comment faire ?
Ça peut se faire par domaine :
pour chaque domaine dont tu souhaite interdire l'accès, tu ajoutes une entrée dans named.conf (named.conf.local sur une Debian/Ubuntu) :
zone "microsoft.com" { type master; file "db.deny"; };
(si tu en as vraiment beaucoup un script bash peut engendrer toutes ces sections, les mettre dans un fichier que tu peux inclure dans named.conf[.local] avec include "..."; )
et le fichier db.deny aura l'allure suivante :
; ; BIND data file for forbidden domains ; $TTL 604800 @ IN SOA ns nsadmin ( 2008012201 ; Serial 3H ; Refresh 1H ; Retry 8D ; Expire 604800 ) ; Negative Cache TTL ; IN NS <IP de ton DNS> IN A 127.0.0.1 * IN A 127.0.0.1
Tu peux même remplacer 127.0.0.1 par l'ip de ton dns et y mettre un petit site web pour enregistrer les accès et prévenir gentiment de l'interdiction.
Zouplaz a écrit :
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et
la livebox en second. Avec ethereal j'ai pu constater que toutes les
résolutions de nom passaient bien par le serveur linux.
Comment faire ?
Ça peut se faire par domaine :
pour chaque domaine dont tu souhaite interdire l'accès, tu ajoutes une
entrée dans named.conf (named.conf.local sur une Debian/Ubuntu) :
zone "microsoft.com" {
type master;
file "db.deny";
};
(si tu en as vraiment beaucoup un script bash peut engendrer toutes
ces sections, les mettre dans un fichier que tu peux inclure dans
named.conf[.local] avec include "..."; )
et le fichier db.deny aura l'allure suivante :
;
; BIND data file for forbidden domains
;
$TTL 604800
@ IN SOA ns nsadmin (
2008012201 ; Serial
3H ; Refresh
1H ; Retry
8D ; Expire
604800 ) ; Negative Cache TTL
;
IN NS <IP de ton DNS>
IN A 127.0.0.1
* IN A 127.0.0.1
Tu peux même remplacer 127.0.0.1 par l'ip de ton dns et
y mettre un petit site web pour enregistrer les accès et
prévenir gentiment de l'interdiction.
Bonjour, je voudrais contrôler la résolution de nom de certains sites pour en interdire l'accès sur les postes du réseau local à domicile (postes clients windows et un serveur linux avec named). C'est pas dans l'optique sécurité, juste du contrôle parental de base mais simple à mettre en oeuvre (squid n'étant pas pratique)
En clair je voudrais que named retourne une adresse bidon pour certaines résolutions de nom.
Les postes clients utilisent deux DNS, mon serveur linux en premier et la livebox en second. Avec ethereal j'ai pu constater que toutes les résolutions de nom passaient bien par le serveur linux.
Comment faire ?
Ça peut se faire par domaine :
pour chaque domaine dont tu souhaite interdire l'accès, tu ajoutes une entrée dans named.conf (named.conf.local sur une Debian/Ubuntu) :
zone "microsoft.com" { type master; file "db.deny"; };
(si tu en as vraiment beaucoup un script bash peut engendrer toutes ces sections, les mettre dans un fichier que tu peux inclure dans named.conf[.local] avec include "..."; )
et le fichier db.deny aura l'allure suivante :
; ; BIND data file for forbidden domains ; $TTL 604800 @ IN SOA ns nsadmin ( 2008012201 ; Serial 3H ; Refresh 1H ; Retry 8D ; Expire 604800 ) ; Negative Cache TTL ; IN NS <IP de ton DNS> IN A 127.0.0.1 * IN A 127.0.0.1
Tu peux même remplacer 127.0.0.1 par l'ip de ton dns et y mettre un petit site web pour enregistrer les accès et prévenir gentiment de l'interdiction.
Jacques Lav!gnotte
Zouplaz a écrit :
Si vous avez une piste...
Un piste toute différente : installer un proxy sur le serveur et gérer les listes noires...
http://www.brennan.id.au/11-Squid_Web_Proxy.html
Sauf si tes gamins arrivent à reconfigurer Firefox...
Jacques
autre piste : les claques :)))
Zouplaz a écrit :
Si vous avez une piste...
Un piste toute différente : installer un proxy sur le serveur et gérer
les listes noires...
http://www.brennan.id.au/11-Squid_Web_Proxy.html
Sauf si tes gamins arrivent à reconfigurer Firefox...
Ils y arriveront. Mais il suffit d'empêcher le routage direct depuis leurs PC vers Internet, pour contourner le problème.
Alors plus de Msn, de Jabber, de musique...
Jacques
Privés de dessert ?
Kevin Denis
Le 22-02-2009, Zouplaz a écrit :
Bonjour, je voudrais contrôler la résolution de nom de certains sites pour en interdire l'accès sur les postes du réseau local à domicile (postes clients windows et un serveur linux avec named). C'est pas dans l'optique sécurité, juste du contrôle parental de base mais simple à mettre en oeuvre (squid n'étant pas pratique)
Pourtant squid est sans doute l'outil le plus approprié dans ton cas. Liste blanche, liste noire, horaire, blacklists fournies par une université, etc etc..
En clair je voudrais que named retourne une adresse bidon pour certaines résolutions de nom.
Ou tu peux faire exactement l'inverse, si tu veux restreindre l'accès à peu de sites (au contraire d'interdire certains sites). Tu renseignes l'/etc/hosts de chacune des machines de tes enfants avec les quelques sites auxquels ils ont droit. Tu n'indiques pas de DNS pour leurs machines, ni proxy. Ainsi, ils n'accéderont qu'aux sites que tu leur aura donné. Si tu veux leur donner accès à peu de sites, c'est sans doute la solution la plus rapide.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les mêmes topos dans lesquels on essaie jamais de produire des adresses IP erronées, forcément...
A mon avis, la doc de squid est tout de même plus simple que la doc de bind.. -- Kevin
Le 22-02-2009, Zouplaz <user@domain.invalid> a écrit :
Bonjour, je voudrais contrôler la résolution de nom de certains sites
pour en interdire l'accès sur les postes du réseau local à domicile
(postes clients windows et un serveur linux avec named). C'est pas dans
l'optique sécurité, juste du contrôle parental de base mais simple à
mettre en oeuvre (squid n'étant pas pratique)
Pourtant squid est sans doute l'outil le plus approprié dans ton cas.
Liste blanche, liste noire, horaire, blacklists fournies par une université,
etc etc..
En clair je voudrais que named retourne une adresse bidon pour certaines
résolutions de nom.
Ou tu peux faire exactement l'inverse, si tu veux restreindre l'accès à
peu de sites (au contraire d'interdire certains sites).
Tu renseignes l'/etc/hosts de chacune des machines de tes enfants avec
les quelques sites auxquels ils ont droit.
Tu n'indiques pas de DNS pour leurs machines, ni proxy.
Ainsi, ils n'accéderont qu'aux sites que tu leur aura donné.
Si tu veux leur donner accès à peu de sites, c'est sans doute la
solution la plus rapide.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les
mêmes topos dans lesquels on essaie jamais de produire des adresses IP
erronées, forcément...
A mon avis, la doc de squid est tout de même plus simple que la doc
de bind..
--
Kevin
Bonjour, je voudrais contrôler la résolution de nom de certains sites pour en interdire l'accès sur les postes du réseau local à domicile (postes clients windows et un serveur linux avec named). C'est pas dans l'optique sécurité, juste du contrôle parental de base mais simple à mettre en oeuvre (squid n'étant pas pratique)
Pourtant squid est sans doute l'outil le plus approprié dans ton cas. Liste blanche, liste noire, horaire, blacklists fournies par une université, etc etc..
En clair je voudrais que named retourne une adresse bidon pour certaines résolutions de nom.
Ou tu peux faire exactement l'inverse, si tu veux restreindre l'accès à peu de sites (au contraire d'interdire certains sites). Tu renseignes l'/etc/hosts de chacune des machines de tes enfants avec les quelques sites auxquels ils ont droit. Tu n'indiques pas de DNS pour leurs machines, ni proxy. Ainsi, ils n'accéderont qu'aux sites que tu leur aura donné. Si tu veux leur donner accès à peu de sites, c'est sans doute la solution la plus rapide.
J'ai cherché de la doc sur named.conf mais je tombe toujours sur les mêmes topos dans lesquels on essaie jamais de produire des adresses IP erronées, forcément...
A mon avis, la doc de squid est tout de même plus simple que la doc de bind.. -- Kevin
Jacques Lav!gnotte
Kevin Denis a écrit :
A mon avis, la doc de squid est tout de même plus simple que la doc de bind..
Euphémisme ;))
J.
Kevin Denis a écrit :
A mon avis, la doc de squid est tout de même plus simple que la doc
de bind..
A mon avis, la doc de squid est tout de même plus simple que la doc de bind..
Euphémisme ;))
J.
Zouplaz
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire temporairement l'accès à un petit nombre de sites pour raison d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur tous les navigateurs de la maison, y compris sur ma bécane ce que je ne souhaite pas - pour d'autres raisons ma conf doit rester intacte.
Donc reste la solution de bind, qui me permettra facilement de bloquer tout accès à skyblog ou n'importe quel truc du même genre au gré des écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire
temporairement l'accès à un petit nombre de sites pour raison
d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler
avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur
tous les navigateurs de la maison, y compris sur ma bécane ce que je ne
souhaite pas - pour d'autres raisons ma conf doit rester intacte.
Donc reste la solution de bind, qui me permettra facilement de bloquer
tout accès à skyblog ou n'importe quel truc du même genre au gré des
écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire temporairement l'accès à un petit nombre de sites pour raison d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur tous les navigateurs de la maison, y compris sur ma bécane ce que je ne souhaite pas - pour d'autres raisons ma conf doit rester intacte.
Donc reste la solution de bind, qui me permettra facilement de bloquer tout accès à skyblog ou n'importe quel truc du même genre au gré des écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
YBM
Zouplaz a écrit :
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire temporairement l'accès à un petit nombre de sites pour raison d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur tous les navigateurs de la maison, y compris sur ma bécane ce que je ne souhaite pas - pour d'autres raisons ma conf doit rester intacte.
En configurant squid et netfilter on peut aussi utiliser squid en proxy transparent : tout le traffic sortant vers le port 80 passe par lui.
Donc reste la solution de bind, qui me permettra facilement de bloquer tout accès à skyblog ou n'importe quel truc du même genre au gré des écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Zouplaz a écrit :
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire
temporairement l'accès à un petit nombre de sites pour raison
d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler
avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur
tous les navigateurs de la maison, y compris sur ma bécane ce que je ne
souhaite pas - pour d'autres raisons ma conf doit rester intacte.
En configurant squid et netfilter on peut aussi utiliser squid en
proxy transparent : tout le traffic sortant vers le port 80 passe
par lui.
Donc reste la solution de bind, qui me permettra facilement de bloquer
tout accès à skyblog ou n'importe quel truc du même genre au gré des
écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.
Bon, merci à tous pour vos suggestions mais... Je souhaite interdire temporairement l'accès à un petit nombre de sites pour raison d'utilisation abusive. Ca va, ça vient et je ne souhaite pas batailler avec une confi trop lourde pour ça.
Si je n'utilise pas squid c'est que ça m'oblige à déclarer le proxy sur tous les navigateurs de la maison, y compris sur ma bécane ce que je ne souhaite pas - pour d'autres raisons ma conf doit rester intacte.
En configurant squid et netfilter on peut aussi utiliser squid en proxy transparent : tout le traffic sortant vers le port 80 passe par lui.
Donc reste la solution de bind, qui me permettra facilement de bloquer tout accès à skyblog ou n'importe quel truc du même genre au gré des écarts d'utilisation...
Pour la réponse de YBM : ça fonctionne impect. Merci !
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Fabien LE LEZ
On Sun, 22 Feb 2009 18:23:23 +0100, YBM :
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Ou tout simplement par le proxy du FAI.
On Sun, 22 Feb 2009 18:23:23 +0100, YBM <ybmess@nooos.fr>:
De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Ou tout simplement par le proxy du FAI.
Zouplaz
le 23/02/2009 05:37, Fabien LE LEZ nous a dit:
On Sun, 22 Feb 2009 18:23:23 +0100, YBM :
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Ou tout simplement par le proxy du FAI.
Ma fille sait faire plein de choses mais à 12 ans elle ne sait pas trouver l'adresse d'un proxy et configurer son navigateur. Faut dire que l'informatique ça la branche moyen moyen - C'est le média qui l'intéresse, pas la technique... Puis y a la musique, le basket, les arts martiaux, les copines, les devoirs, ça laisse pas beaucoup de temps.
le 23/02/2009 05:37, Fabien LE LEZ nous a dit:
On Sun, 22 Feb 2009 18:23:23 +0100, YBM <ybmess@nooos.fr>:
De rien. Par contre ça n'empêche pas tes gamins de passer par des
mandataires anonymiseurs.
Ou tout simplement par le proxy du FAI.
Ma fille sait faire plein de choses mais à 12 ans elle ne sait pas
trouver l'adresse d'un proxy et configurer son navigateur.
Faut dire que l'informatique ça la branche moyen moyen - C'est le média
qui l'intéresse, pas la technique... Puis y a la musique, le basket, les
arts martiaux, les copines, les devoirs, ça laisse pas beaucoup de temps.
De rien. Par contre ça n'empêche pas tes gamins de passer par des mandataires anonymiseurs.
Ou tout simplement par le proxy du FAI.
Ma fille sait faire plein de choses mais à 12 ans elle ne sait pas trouver l'adresse d'un proxy et configurer son navigateur. Faut dire que l'informatique ça la branche moyen moyen - C'est le média qui l'intéresse, pas la technique... Puis y a la musique, le basket, les arts martiaux, les copines, les devoirs, ça laisse pas beaucoup de temps.
