The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Фильтрация на BIND"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Фильтрация на BIND"  
Сообщение от ArtVP email(??) on 15-Сен-08, 17:38 
Доброго времени!

Есть задача - руководство компании-клиента настаивает на отказе пользователям в доступе к некоторым ресурсам.

Проблема в следующем: по некоторым соображениям им не подходит вариант работы через прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. Самое реальное, что приходит в голову - у нас на ДНСе сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, но в таком случае "режутся" и нужные ресурсы, находящиеся на одном IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего не нашел.

Реально сделать такое?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фильтрация на BIND"  
Сообщение от artvp email(ok) on 15-Сен-08, 17:59 
>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?

Или что-нибудь, близкое по результату...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтрация на BIND"  
Сообщение от hattifattener email(ok) on 15-Сен-08, 18:22 
>
>Реально сделать такое?
>

Можно заспуфить соответствующие домены - просто поднять для них master с заворотом в localhost :)

А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтрация на BIND"  
Сообщение от artvp email(ok) on 15-Сен-08, 18:53 
>>
>>Реально сделать такое?
>>
>
>Можно заспуфить соответствующие домены - просто поднять для них master с заворотом
>в localhost :)
>
>А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering

Да, это вариант. Придется кучу зон типа freexxx.com, кучу файлов зон и т.д. Кропотливо, но неизбежно :)
Кстати, а нельзя никак поднять зону .com, в ней А-записи xxx.com, xxx1.com, xxx2.com... Я пробовал и так, но тогда отрубается все остальное в зоне.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтрация на BIND"  
Сообщение от angra (ok) on 15-Сен-08, 20:28 
А самое главное что все это до одного места. Найдется хотя бы один умный пользователь, который пропишет у себя в hosts нужные пары ip domain и через неделю это будет у всех :)

Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот сочетание технических и административных методов дает неизменно превосходный результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Фильтрация на BIND"  
Сообщение от artvp email(ok) on 16-Сен-08, 11:20 
>А самое главное что все это до одного места. Найдется хотя бы
>один умный пользователь, который пропишет у себя в hosts нужные пары
>ip domain и через неделю это будет у всех :)
>
>Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот
>сочетание технических и административных методов дает неизменно превосходный результат.

Я лично абсолютно с Вами согласен. Но если б я все рашал :) ...
Не, там виндовые админы те еще... Права у пользователей куриные. Не смогут даже в каталог с виндой зайти. В общем-то это банк. Безопасность и все такое. Но есть и коммерческие отделы, в которых Инет - инструмент для работы. Административно они как раз все предусмотрели - есть в договорах пункт о прикрытии нежелательных ресурсов... И время от времени на саппорт приходят гневные ноты - "Петров снова в чате висит! Я сама зашла и увидела его там!...".
Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе что-то прописать.

Кроме этого самое реальное - писать скрипт, который будет по крону ресолвить и дампить нужные мне адреса в файл-таблицу для ПФ. Но при этом страдают нужные для работы ресурсы.
Тупик однако.
Подскажите одно - можно ли поднять у меня мастер зону - к примеру .ru
Затем прописать там нужный мне список доменов и перенаправить его на страничку "ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Фильтрация на BIND"  
Сообщение от hattifattener (ok) on 16-Сен-08, 13:10 

>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>

Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и все его поддомены.

Решение рабочее, но в целом неоптимальное.
Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно и как угодно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Фильтрация на BIND"  
Сообщение от artvp email(ok) on 16-Сен-08, 14:39 
>[оверквотинг удален]
>>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>>
>
>Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и
>все его поддомены.
>
>Решение рабочее, но в целом неоптимальное.
>Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно
>и как угодно.

Да, спасибо. На домены, где конфликтуют айпишники, так и сделаю. На остальные  - скрипт, чтобы ресолвил раз в день и пихал в пакетфильтр. По поводу асашки я капнул на моск, но бюджет на этот год уже того... С нового года продавлю, а пока так.

Всем спасибо за помощь!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Фильтрация на BIND"  
Сообщение от angra (ok) on 16-Сен-08, 15:24 
>- инструмент для работы. Административно они как раз все предусмотрели -
>есть в договорах пункт о прикрытии нежелательных ресурсов... И время от
>времени на саппорт приходят гневные ноты - "Петров снова в чате
>висит! Я сама зашла и увидела его там!...".
>Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе
>что-то прописать.

Наиболее действенной является политика когда _технически_ ничего не запрещается, просто ведется лог и потом анализируется. Дальше результаты предоставляются начальству, а оно уже работает методом кнута. Основное момент в том, что обход запрета делается последовательным перебором способов и сразу видно сработал ли  способ, а вот результаты попыток обойти логи станут известны пользователю в конце месяца, обычно вместе с штрафом/выговором/итд.


Так как основная проблема у вас сайты, то для вашей ситуации неплохо было бы трафик по 80(но не 443) порту отправить на сквид, а остальное уже пускать через nat. Сквид значительно лучше подходит для фильтрации/логирования http трафика.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Фильтрация на BIND"  
Сообщение от Nimdar (ok) on 16-Сен-08, 13:45 
>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?

А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то кажется, что по работе требуется в разы меньше 500 адресов. Это в разы упрощает задачу, как мне кажется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Фильтрация на BIND"  
Сообщение от artvp email(ok) on 16-Сен-08, 14:35 
>[оверквотинг удален]
>>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>>не нашел.
>>
>>Реально сделать такое?
>
>А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то
>кажется, что по работе требуется в разы меньше 500 адресов. Это
>в разы упрощает задачу, как мне кажется.

У банкиров так бы оно и было, но есть несколько коммерческих подразделений, которым нужно все.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру