Блокировка сайтов в alt-server 8

[progmo]

Друзья, а какой dns сервер используется по умолчанию в альте? Есть задача блокировать в сети организации некоторые сайты. Сейчас используем ubuntu server и в нем  dnsmasq. Там это успешно реализуется "заглушкой" address=/twitter.com/172.22.1.1
А как в альте это реализовать?

[Vovka-Korovka]

Ну а что мешает использоать dnsmasq в альте?

[progmo]

Ну а что мешает использоать dnsmasq в альте?

Думаю ничего. Просто может решение из "коробки" тоже решает эту задачу. Решил уточнить.

В альтераторе наверно уже не будет управления dhcp? Как это по умолчанию реализовано.

[berkut_174]

Друзья, а какой dns сервер используется по умолчанию в альте?

bind

В альтераторе наверно уже не будет управления dhcp?

Вполне возможно, что что-то будет работать неправильно... и не только dhcp.

[Koi]

Просто может решение из "коробки" тоже решает эту задачу.

Из коробки есть раздел "Брандмауэр" список блокируемых хостов.

[progmo]

Просто может решение из "коробки" тоже решает эту задачу.

Из коробки есть раздел "Брандмауэр" список блокируемых хостов.

Ого, это интересно. Надо заглянуть туда. Спасибо

[asy]

Там это успешно реализуется "заглушкой" address=/twitter.com/172.22.1.1
А как в альте это реализовать?

Код: [Выделить]

ipset -N SET_BLOCK hash:ip
iptables -t nat -A PREROUTING -m set --match-set SET_BLOCK  dst -p tcp -m multiport --dports 80,443 -j DNAT --to 172.22.1.1
Далее заполнять сет:

ipset -A SET_BLOCK 104.244.42.193

[progmo]

Из коробки есть раздел "Брандмауэр" список блокируемых хостов.

Посмотрел. Похоже это не то, что мне нужно.  Машина у меня нет NAT во внешнюю сеть, а домен + dhcp +dns в локальной сети

[ruslandh]

Как-жe кто-то в интернет лезет?

[asy]

Машина у меня нет NAT во внешнюю сеть, а домен + dhcp +dns в локальной сети

Если надо через DNS, и там Bind, то надо описать зону с нужным IP ("fakezone") на примере, скажем, /var/lib/bind/zone/localdomain, или /var/lib/bind/zone/empty. Далее писать в /var/lib/bind/etc/local.conf что-то вроде

zone "twitter.com" { type master; file "fakezone";  allow-update { none; }; };
zone "vk.com" { type master; file "fakezone";  allow-update { none; }; };
zone "instagram.com" { type master; file "fakezone";  allow-update { none; }; };

[progmo]

Как-жe кто-то в интернет лезет?

Так роутер есть. Но у него нет такого функционала. Блокировки сайтов по именам. Но есть кстати брандмауэр , порты им режу. Наверно можно и сайты по ip блокировать. По именам то просто удобнее

[progmo]

Если надо через DNS, и там Bind, то надо описать зону с нужным IP

Спасибо. Обязательно учту.
А можно реализовать это решение, так чтобы эти сайты не блокировались для определенных ip ?

[asy]

А можно реализовать это решение, так чтобы эти сайты не блокировались для определенных ip ?

Не знаю точно. Bind поддерживает так называемый механизм View, когда для зон можно задавать выдачу разных данных в зависимости от IP. Надо посмотреть, есть ли там возможность вообще сделать зону невидимой, чтобы вместо фейковой настоящая отдавалась.

[progmo]

Если надо через DNS, и там Bind, то надо описать зону с нужным IP ("fakezone")

создал файл /var/lib/bind/zone/fakezone

Код: [Выделить]

$TTL 1W
@ IN SOA ns.localhost. root.localhost. (
2016110100 ; serial
12H ; refresh
1H ; retry
1D ; expire
1D ; ncache
)
IN NS ns.localhost.
IN A 0.0.0.0
localhost IN CNAME @.

в /var/lib/bind/etc/local.conf прописал строчку

Код: [Выделить]

zone "twitter.com" { type master; file "/var/lib/bind/zone/fakezone";  allow-update { none; }; };
А как применить эти изменения?

[berkut_174]

А как применить эти изменения?

Код: [Выделить]

service bind restart?