forum.opennet.ru - "Фильтрация на BIND" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Фильтрация на BIND"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Фильтрация на BIND"
Сообщение от ArtVP (??) on 15-Сен-08, 17:38
Доброго времени! Есть задача - руководство компании-клиента настаивает на отказе пользователям в доступе к некоторым ресурсам. Проблема в следующем: по некоторым соображениям им не подходит вариант работы через прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. Самое реальное, что приходит в голову - у нас на ДНСе сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, но в таком случае "режутся" и нужные ресурсы, находящиеся на одном IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего не нашел. Реально сделать такое?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Фильтрация на BIND, artvp, 17:59 , 15-Сен-08, (1)
Фильтрация на BIND, hattifattener, 18:22 , 15-Сен-08, (2)

Фильтрация на BIND, artvp, 18:53 , 15-Сен-08, (3)

Фильтрация на BIND, angra, 20:28 , 15-Сен-08, (4)

Фильтрация на BIND, artvp, 11:20 , 16-Сен-08, (5)

Фильтрация на BIND, hattifattener, 13:10 , 16-Сен-08, (6)

Фильтрация на BIND, artvp, 14:39 , 16-Сен-08, (9)

Фильтрация на BIND, angra, 15:24 , 16-Сен-08, (10)

Фильтрация на BIND, Nimdar, 13:45 , 16-Сен-08, (7)

Фильтрация на BIND, artvp, 14:35 , 16-Сен-08, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Фильтрация на BIND"

Сообщение от artvp (ok) on 15-Сен-08, 17:59

>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?
Или что-нибудь, близкое по результату...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтрация на BIND"

Сообщение от hattifattener (ok) on 15-Сен-08, 18:22

>
>Реально сделать такое?
>
Можно заспуфить соответствующие домены - просто поднять для них master с заворотом в localhost :)
А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтрация на BIND"

Сообщение от artvp (ok) on 15-Сен-08, 18:53

>>
>>Реально сделать такое?
>>
>
>Можно заспуфить соответствующие домены - просто поднять для них master с заворотом
>в localhost :)
>
>А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering
Да, это вариант. Придется кучу зон типа freexxx.com, кучу файлов зон и т.д. Кропотливо, но неизбежно :)
Кстати, а нельзя никак поднять зону .com, в ней А-записи xxx.com, xxx1.com, xxx2.com... Я пробовал и так, но тогда отрубается все остальное в зоне.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтрация на BIND"

Сообщение от angra (ok) on 15-Сен-08, 20:28

А самое главное что все это до одного места. Найдется хотя бы один умный пользователь, который пропишет у себя в hosts нужные пары ip domain и через неделю это будет у всех :)
Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот сочетание технических и административных методов дает неизменно превосходный результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Фильтрация на BIND"

Сообщение от artvp (ok) on 16-Сен-08, 11:20

>А самое главное что все это до одного места. Найдется хотя бы
>один умный пользователь, который пропишет у себя в hosts нужные пары
>ip domain и через неделю это будет у всех :)
>
>Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот
>сочетание технических и административных методов дает неизменно превосходный результат.
Я лично абсолютно с Вами согласен. Но если б я все рашал :) ...
Не, там виндовые админы те еще... Права у пользователей куриные. Не смогут даже в каталог с виндой зайти. В общем-то это банк. Безопасность и все такое. Но есть и коммерческие отделы, в которых Инет - инструмент для работы. Административно они как раз все предусмотрели - есть в договорах пункт о прикрытии нежелательных ресурсов... И время от времени на саппорт приходят гневные ноты - "Петров снова в чате висит! Я сама зашла и увидела его там!...".
Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе что-то прописать.
Кроме этого самое реальное - писать скрипт, который будет по крону ресолвить и дампить нужные мне адреса в файл-таблицу для ПФ. Но при этом страдают нужные для работы ресурсы.
Тупик однако.
Подскажите одно - можно ли поднять у меня мастер зону - к примеру .ru
Затем прописать там нужный мне список доменов и перенаправить его на страничку "ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Фильтрация на BIND"

Сообщение от hattifattener (ok) on 16-Сен-08, 13:10

>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>
Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и все его поддомены.
Решение рабочее, но в целом неоптимальное.
Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно и как угодно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Фильтрация на BIND"

Сообщение от artvp (ok) on 16-Сен-08, 14:39

>[оверквотинг удален]
>>Затем прописать там нужный мне список доменов и перенаправить его на страничку
>>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
>>
>
>Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и
>все его поддомены.
>
>Решение рабочее, но в целом неоптимальное.
>Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно
>и как угодно.
Да, спасибо. На домены, где конфликтуют айпишники, так и сделаю. На остальные - скрипт, чтобы ресолвил раз в день и пихал в пакетфильтр. По поводу асашки я капнул на моск, но бюджет на этот год уже того... С нового года продавлю, а пока так.
Всем спасибо за помощь!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Фильтрация на BIND"

Сообщение от angra (ok) on 16-Сен-08, 15:24

>- инструмент для работы. Административно они как раз все предусмотрели -
>есть в договорах пункт о прикрытии нежелательных ресурсов... И время от
>времени на саппорт приходят гневные ноты - "Петров снова в чате
>висит! Я сама зашла и увидела его там!...".
>Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе
>что-то прописать.
Наиболее действенной является политика когда _технически_ ничего не запрещается, просто ведется лог и потом анализируется. Дальше результаты предоставляются начальству, а оно уже работает методом кнута. Основное момент в том, что обход запрета делается последовательным перебором способов и сразу видно сработал ли способ, а вот результаты попыток обойти логи станут известны пользователю в конце месяца, обычно вместе с штрафом/выговором/итд.

Так как основная проблема у вас сайты, то для вашей ситуации неплохо было бы трафик по 80(но не 443) порту отправить на сквид, а остальное уже пускать через nat. Сквид значительно лучше подходит для фильтрации/логирования http трафика.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Фильтрация на BIND"

Сообщение от Nimdar (ok) on 16-Сен-08, 13:45

>[оверквотинг удален]
>прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время
>сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов,
>бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов.
>Самое реальное, что приходит в голову - у нас на ДНСе
>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>не нашел.
>
>Реально сделать такое?
А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то кажется, что по работе требуется в разы меньше 500 адресов. Это в разы упрощает задачу, как мне кажется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Фильтрация на BIND"

Сообщение от artvp (ok) on 16-Сен-08, 14:35

>[оверквотинг удален]
>>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали,
>>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном
>>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего
>>не нашел.
>>
>>Реально сделать такое?
>
>А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то
>кажется, что по работе требуется в разы меньше 500 адресов. Это
>в разы упрощает задачу, как мне кажется.
У банкиров так бы оно и было, но есть несколько коммерческих подразделений, которым нужно все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтрация на BIND"
Сообщение от artvp (ok) on 15-Сен-08, 17:59
>[оверквотинг удален] >прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время >сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, >бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. >Самое реальное, что приходит в голову - у нас на ДНСе >сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, >но в таком случае "режутся" и нужные ресурсы, находящиеся на одном >IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего >не нашел. > >Реально сделать такое? Или что-нибудь, близкое по результату...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Фильтрация на BIND"
Сообщение от hattifattener (ok) on 15-Сен-08, 18:22
> >Реально сделать такое? > Можно заспуфить соответствующие домены - просто поднять для них master с заворотом в localhost :) А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Фильтрация на BIND"
	Сообщение от artvp (ok) on 15-Сен-08, 18:53
	>> >>Реально сделать такое? >> > >Можно заспуфить соответствующие домены - просто поднять для них master с заворотом >в localhost :) > >А если нужно решение для взрослых - CISCO ASA 55xx -> Content Filtering Да, это вариант. Придется кучу зон типа freexxx.com, кучу файлов зон и т.д. Кропотливо, но неизбежно :) Кстати, а нельзя никак поднять зону .com, в ней А-записи xxx.com, xxx1.com, xxx2.com... Я пробовал и так, но тогда отрубается все остальное в зоне.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Фильтрация на BIND"
	Сообщение от angra (ok) on 15-Сен-08, 20:28
	А самое главное что все это до одного места. Найдется хотя бы один умный пользователь, который пропишет у себя в hosts нужные пары ip domain и через неделю это будет у всех :) Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот сочетание технических и административных методов дает неизменно превосходный результат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Фильтрация на BIND"
	Сообщение от artvp (ok) on 16-Сен-08, 11:20
	>А самое главное что все это до одного места. Найдется хотя бы >один умный пользователь, который пропишет у себя в hosts нужные пары >ip domain и через неделю это будет у всех :) > >Объясните начальству, что административные вопросы нельзя решить только техническими мерами. А вот >сочетание технических и административных методов дает неизменно превосходный результат. Я лично абсолютно с Вами согласен. Но если б я все рашал :) ... Не, там виндовые админы те еще... Права у пользователей куриные. Не смогут даже в каталог с виндой зайти. В общем-то это банк. Безопасность и все такое. Но есть и коммерческие отделы, в которых Инет - инструмент для работы. Административно они как раз все предусмотрели - есть в договорах пункт о прикрытии нежелательных ресурсов... И время от времени на саппорт приходят гневные ноты - "Петров снова в чате висит! Я сама зашла и увидела его там!...". Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе что-то прописать. Кроме этого самое реальное - писать скрипт, который будет по крону ресолвить и дампить нужные мне адреса в файл-таблицу для ПФ. Но при этом страдают нужные для работы ресурсы. Тупик однако. Подскажите одно - можно ли поднять у меня мастер зону - к примеру .ru Затем прописать там нужный мне список доменов и перенаправить его на страничку "ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Фильтрация на BIND"
	Сообщение от hattifattener (ok) on 16-Сен-08, 13:10
	>Затем прописать там нужный мне список доменов и перенаправить его на страничку >"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход? > Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и все его поддомены. Решение рабочее, но в целом неоптимальное. Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно и как угодно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Фильтрация на BIND"
	Сообщение от artvp (ok) on 16-Сен-08, 14:39
	>[оверквотинг удален] >>Затем прописать там нужный мне список доменов и перенаправить его на страничку >>"ай-ай-ай!..." Я делал так, но отрубается вся зона .ру. Каков выход? >> > >Только поднимать мастер для каждого запрещенного домена в отдельности. Он охватит и >все его поддомены. > >Решение рабочее, но в целом неоптимальное. >Думаю банк смог бы позволить себе купить ASA и фильтровать что угодно >и как угодно. Да, спасибо. На домены, где конфликтуют айпишники, так и сделаю. На остальные - скрипт, чтобы ресолвил раз в день и пихал в пакетфильтр. По поводу асашки я капнул на моск, но бюджет на этот год уже того... С нового года продавлю, а пока так. Всем спасибо за помощь!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Фильтрация на BIND"
	Сообщение от angra (ok) on 16-Сен-08, 15:24
	>- инструмент для работы. Административно они как раз все предусмотрели - >есть в договорах пункт о прикрытии нежелательных ресурсов... И время от >времени на саппорт приходят гневные ноты - "Петров снова в чате >висит! Я сама зашла и увидела его там!...". >Отслеживать расположение такого количества ресурсов нереально. Вот и пришла мысль в БИНДе >что-то прописать. Наиболее действенной является политика когда _технически_ ничего не запрещается, просто ведется лог и потом анализируется. Дальше результаты предоставляются начальству, а оно уже работает методом кнута. Основное момент в том, что обход запрета делается последовательным перебором способов и сразу видно сработал ли способ, а вот результаты попыток обойти логи станут известны пользователю в конце месяца, обычно вместе с штрафом/выговором/итд. Так как основная проблема у вас сайты, то для вашей ситуации неплохо было бы трафик по 80(но не 443) порту отправить на сквид, а остальное уже пускать через nat. Сквид значительно лучше подходит для фильтрации/логирования http трафика.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Фильтрация на BIND"
Сообщение от Nimdar (ok) on 16-Сен-08, 13:45
>[оверквотинг удален] >прозрачный прокси, т.к. юзается очень специфичное ПО. В то же время >сайты, которые подлежат фильтрации, постоянно меняют место хостинга, плюс куча порносайтов, >бесплатные почтовики и т.д. Короче, переваливает это все за 500 адресов. >Самое реальное, что приходит в голову - у нас на ДНСе >сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, >но в таком случае "режутся" и нужные ресурсы, находящиеся на одном >IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего >не нашел. > >Реально сделать такое? А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то кажется, что по работе требуется в разы меньше 500 адресов. Это в разы упрощает задачу, как мне кажется.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Фильтрация на BIND"
	Сообщение от artvp (ok) on 16-Сен-08, 14:35
	>[оверквотинг удален] >>сделать фильтрацию, ДНС-трафик наружу от них не ходит. Пакетным фильтром пробовали, >>но в таком случае "режутся" и нужные ресурсы, находящиеся на одном >>IP-адресе с блокируемым. Отсюда - блокировка по доменным именам. Поиском ничего >>не нашел. >> >>Реально сделать такое? > >А может сделать наоборот: запретить всё, и разрешать только необходимое? Мне почему-то >кажется, что по работе требуется в разы меньше 500 адресов. Это >в разы упрощает задачу, как мне кажется. У банкиров так бы оно и было, но есть несколько коммерческих подразделений, которым нужно все.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]