Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » klienci LAN - zablokowane zewnetrzne dns - only internal dns
#1 2017-11-07 22:59:04
marcus91 - 
Użytkownik
- marcus91
- Użytkownik
- Zarejestrowany: 2013-10-24
klienci LAN - zablokowane zewnetrzne dns - only internal dns
Siemka,
próbuje i próbuje a efekt mizerny ;(
Więc tak mamy sieć lokalną 1.1.1.0/24 w niej router 1.1.1.1/24 oraz wewnetrzny serwer dns powiedzmy 1.1.1.4 który przekierowuje dalej zapytania do serwerów googla (8.8.8.8,8.8.4.4).
Co prawda wymuszam z dhcp aby klienci korzystali z mojego wewnetrznego serwera ale gdy pojawi się spryciarz i przestawi sie na serwery googla u siebie nie mogę nic zrobić. Jak uwalić ruch wychodzący od klienta do dns google udp port 53 i przekierować go mimo wszystko na mój węwnętrzny dns 1.1.1.4
Za wszystkie podpowiedz z góry dziękuje,
Pozdrawiam ! ;)
Offline
#2 2017-11-08 00:04:35
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
proxy transparentne (squid ma spore możliwości) ale i tak ominie jak się uprze puszczając zaszyfrowany tunel i dupa :)
Ostatnio edytowany przez hi (2017-11-08 00:16:15)
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline
#3 2017-11-08 02:28:02
marcus91 - Użytkownik
- marcus91
- Użytkownik
- Zarejestrowany: 2013-10-24
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
Nie da się tego zrobic jakoś na łańcuchach iptables ?
Offline
#4 2017-11-08 02:44:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
Da się zrobić w iptables, ale na etapie internetu LTE to strata czasu.
Jak pani Krysia musi co ,003s na FB zajrzeć, to załatwi to Smartfonem, chyba, że przy wejściem na portierni będziecie lewatywy robić, żeby smartfonów i tabletów nie wpuszczać. xD
Albo postawicie jakieś zagłuszacze 3G/LTE, ale to już podpada pod paragraf karny.
W każdym razie, jak nie wiesz, jak w łańcuchu NAT albo RAW ubić --dport 53 dla puli adresów z sieci LAN (np -s 1.1.1.1/24), to łap się lepiej za łopatę, a nie komputery. xD
RTFW:
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
Ostatnio edytowany przez Jacekalex (2017-11-08 02:49:26)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2017-11-08 10:03:50
morfik - Cenzor wirtualnego świata
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
E tam, strata czasu. Spryciarze zwykle wiedzą co to dnscrypt-proxy i wiedzą, że to szyfruje zapytania i śle na port 443. A tego radzę nie przekierowywać/blokować. xD
Offline
#6 2017-11-08 11:04:29
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
morfik napisał(-a):
E tam, strata czasu. Spryciarze zwykle wiedzą co to dnscrypt-proxy i wiedzą, że to szyfruje zapytania i śle na port 443. A tego radzę nie przekierowywać/blokować. xD
Dnscrypt za chwilkę chyba nie będzie potrzebny...
Inna sprawa, że stacje w robocie to nie zawsze Linux, a spryciarze to nie zawsze informatycy.
Za to znaleźć w robocie kogoś, kto nie ma cegłofona z LTE, to coraz trudniejsze zadanie.
Ostatnio edytowany przez Jacekalex (2017-11-08 11:37:03)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2017-11-08 14:12:51
morfik - Cenzor wirtualnego świata
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
Oj nie wiem czy tak ten dnscrypt wyjdzie z użycia jak w tym RFC jest coś takiego:
By default, a DNS server that supports DNS over TLS MUST listen for
and accept TCP connections on port 853, unless it has mutual
agreement with its clients to use a port other than 853 for DNS over
TLS. In order to use a port other than 853, both clients and servers
would need a configuration option in their software.
I pewnie będzie można to bez problemu zablokować i wymusić korzystanie z nieszyfrowanych lokalnych DNS różnych operatorów (patrz ostatnie cenzury netu). A dnscrypt dalej używać będzie standardowego portu, na którym stoi już większość internetów. xD
Offline
#8 2017-11-08 15:07:36
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns
Zawsze można odpalić TORa i wtedy zapytania DNS i cała transmisja chodzi takimi kanałami,
że nie tylko jakiś firmowy FW ale i nasze mukhabaraty sobie nie poradzą.
Zwłaszcza, że nazwy dnscrypt aż tyle ludkow nie kojarzy, za to TOR jest znany powszechnie dzięki naszej niezastąpionej Policji oraz Telewizji, które co jakiś czas reklamują TORa w różnych relacjach. xD
Ostatnio edytowany przez Jacekalex (2017-11-08 15:08:02)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » klienci LAN - zablokowane zewnetrzne dns - only internal dns