Автор Тема: Фильтрация запросов на уровне DNS (Настройка RPZ на BIND 9.10 )  (Прочитано 3143 раз)

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
Подскажите, как осуществить фильтрацию запросов на уровне DNS.
1) Имеется старткит p8 server (SysVinit) и установленный BIND по умолчанию в режиме перенаправления запросов на внешние DNS
2) rpm -qv bind ( bind-9.10.4.P8-alt0.M80P.1)
3) Статьи, которые натолкнули на такую идею:
https://habrahabr.ru/post/236113/
http://www.pvsm.ru/linux/33071
Форум - http://sysadmins.ru/topic460442.html

Задача для сервера: Работающий DNS с фильтрацией запросов.

Вопросы:
1) Где и в каком прописать файле - response-policy { zone "rpz.zone";};
При записи во многие *.conf-ы при запуске bind получаю ответ

Checking named configuration file syntax: /etc/named.conf:9: unknown option 'response-policy'

Почему в убунте работает в альтах не работает, где-то что-то не до-установлено или в "чрутах заблукался", то ли сервис, то ли я ))
2) Где и в каком файле прописать зону (чтобы сервис в инклудах не запутался )) ):
zone "rpz.zone" {
       type master;
       file "/etc/bind/db.rpz.zone"; - я так понимаю чтобы файл увиделся нужно его поместить в каталог /var/lib/bind/etc/bind или просто указать "zone/db.rpz.zone" для каталога /var/lib/bind/zone?
       allow-query {any;};
       allow-update {none;};

Тема интересная и актуальная, тем более на фоне правительственной волны блокировок. Хотелось бы разобраться и ман запостить на будущее, так как нужно всем. Отзовитесь, кто уже набил руку на BIND-ах под альтами.
« Последнее редактирование: 30.06.2017 10:50:05 от rabochyITs »

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
вот еще нашел часть информации: https://www.dns-oarc.net/files/workshop-201103/rpz2.pdf
Спойлер
Subscriber Configuration in BIND9
      options {
          // other stuff
          response-policy {
               zone "dns-policy1.vix.com";
               zone "dns-policy2.vix.com" policy given;
               zone "dns-policy3.vix.com" policy NO-OP;
               zone "dns-policy4.vix.com" policy NXDOMAIN;
               zone "dns-policy5.vix.com" policy NODATA;
               zone "dns-policy6.vix.com" policy CNAME walled-garden.isp.net;
          };
      };
      zone “dns-policy1.vix.com” {
          type slave;
          masters { 192.168.1.123; };
          // note: TSIG would probably be used in a production environment
      };
      // and similar for the other rpz zones

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS
Вроде бы на первоначальном этапе разобрался:
[root@arm1]# ls -l /var/lib/bind
Спойлер
drwx--x--- 2 root named 4096 апр 13 10:08 dev
drwx--x--- 2 root named 4096 июн 30 14:47 etc
drwx------ 2 root named 4096 апр 13 10:08 session
drwx------ 4 root named 4096 апр 13 10:08 var
drwx--x--- 4 root named 4096 июн 30 09:06 zone

В файл options.conf в каталоге /var/lib/bind/etc размещаем в настройках опций response-policy:
options {
response-policy { zone "rpz.zone"; };
};

Описывем зону в файле ddns.conf в каталоге /var/lib/bind/etc:

zone "rpz.zone" {
       type master;
       file "ddns/db.rpz.zone";
       allow-query { any; };
       allow-update { none; };
};

И размещаем файл описания зоны db.rpz.zone в каталоге /var/lib/bind/zone/ddns
(чтобы не запутаться в этом чрут-блуде, скорее всего лучше указать полный путь к файлу)
- сам текст внутри файла /var/lib/bind/zone/ddns/db.rpz.zone:

[root@arm1 ddns]# cat db.rpz.zone
;RPZ
$TTL 10
@       IN SOA rpz.zone. rpz.zone. (
       5;
       3600;
       300;
       86400;
       60 )
       IN      NS      localhost.

ok.ru   A  192.168.8.151
www.ok.ru  CNAME   rpz-drop.
www.youtube.com CNAME   rpz-drop.

Теперь service bind restart и однокласники перенаправляются, а ютуб блокируется, все остальное работает.

Спойлер
C:\WINDOWS\system32>nslookup ok.ru
╤хЁтхЁ:  arm1.ae
Address:  192.168.8.86

Не заслуживающий доверия ответ:
╚ь :     ok.ru
Address:  192.168.8.151

C:\WINDOWS\system32>nslookup www.yotube.com
╤хЁтхЁ:  arm1.ae
Address:  192.168.8.86

Не заслуживающий доверия ответ:
╚ь :     www.yotube.com
Address:  207.244.67.215


C:\WINDOWS\system32>nslookup www.ok.ru
╤хЁтхЁ:  arm1.ae
Address:  192.168.8.86

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса arm1.ae

Конечно же требуется грамотная настройка блокировок.

« Последнее редактирование: 30.06.2017 16:03:13 от rabochyITs »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Конечно же требуется грамотная настройка блокировок.
Тут есть момент, что существует DNSSEC. То есть, если нет возможности заставить пользователей использовать свои DNS, то обычный редирект на свои DNS по-тихому просто сломает доступ в сеть вообще, если DNSSEC используется. В общем, на мой взгляд, достаточно бессмысленный подход в перспективе.

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 031
  • ITS

Тут есть момент, что существует DNSSEC. То есть, если нет возможности заставить пользователей использовать свои DNS, то обычный редирект на свои DNS по-тихому просто сломает доступ в сеть вообще, если DNSSEC используется. В общем, на мой взгляд, достаточно бессмысленный подход в перспективе.
Спасибо за совет. Я уже заметил ругань браузеров, NoScript и пр. при перенаправлении. Если подставить свой подложный сайт ок.ru и пользователи, всеми правдами и не правдами заставят браузер зайти на этот сайт игнорируя всякие sos, то я думаю можно собрать все пароли конторы от ОК.RU.  :-D Но целью является просто забанить конкретный ресурс на шлюзе внутри локальной сети, чтобы не прыгать с прокси по всем рабочим станциям.