Перейти к содержимому
Калькуляторы

Защита от подмены DNS

Приветствую, сейчас очень часто встречается подмена DNS в винде через реестр. У абонентов подменяются страницы, тормозит интернет и творятся другие безобразные вещи. Есть идея скачать какой нибудь черный список DNS и заблокировать их в фаерволе или сделать переадресацию на валидные DNS. Если ли в природе обновляемая база черных списков ДНС?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Единственный 100% рабочий вариант - редирект dst 53 на свой либо валидный днс. Но особо умные буду возбухать, в ЛК необходимо добавить возможность отключать сие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Редирект запросов на 53 порт на свои днс, или на гугловые, с пометкой в договоре об этом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Редирект запросов на 53 порт на свои днс, или на гугловые, с пометкой в договоре об этом...

Проще сразу на туалетной бумаге пометить. И подтереться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну всегда можно делать исключения. Вот во фре

ipfw fwd 127.0.0.1,53 udp from ${internal_lan} to not ${safe_dns} 53

 

И так почти везде можно, так что не думаю, что вызовет особые проблемы.

 

UPD в примере порт забыл указать, а то бы весь трафик завернуло :)

Изменено пользователем GrandPr1de

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

GrandPr1de, тоже верно, надо будет поэкспериментировать) спасибо за помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На PF:

table <int_nets_tbl> persist const { $int_if0:network, 255.255.255.255 } ## Intenal networks

 

rdr proto { tcp, udp } from <int_nets_tbl> to !<int_nets_tbl> port 53 -> 172.16.0.254 port 53 # redirect all dns to DNS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

Проблема одна - перехват и внедрение в трафик абона. Если будете внедрять, наличие в ЛК возможности отключить редирект, необходимое и обязательное условие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну всегда можно делать исключения. Вот во фре

ipfw fwd 127.0.0.1,53 udp from ${internal_lan} to not ${safe_dns} 53

 

И так почти везде можно, так что не думаю, что вызовет особые проблемы.

 

UPD в примере порт забыл указать, а то бы весь трафик завернуло :)

Пробовал так, но у меня не прокатили настройки. Трафик завернул, но вот клиент понимает, что ответ приходит не от того DNS. Можно изменить ip адрес отправителя DNS средствами ipfw?

Изменено пользователем rader

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У абонентов подменяются страницы, тормозит интернет и творятся другие безобразные вещи.

Кладезь платных заявок для сервисной службы же)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про 53ий порт не подумал) какие могут быть проблемы с этим? кроме того, что перестанут работать всякие "безопасные" днс?

 

Как админ крупной компании я бы вынес мозг оператору за такие "фичи". Для физиков впрочем прокатит, пока на домашнего красноглазика не нарветесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да даже если нарваться - что-то сделать проблематично. Если подменяют своими ответами не постоянно, а только когда или выгодно или "согласно списка запрещённых ресурсов"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кладезь платных заявок для сервисной службы же)
К сожалению, полно хомячков, которые сделают вывод, что ваш интернет говно, и сменят провайдера.

И не вернутся, даже обнаружив на новом месте то же самое.

Лучше предотвратить проблему, чем создавать такой риск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdc, с таким подходом вы скоро компы абонентские бесплатно настраивать/обслуживать будете и водку по звонку подвозить. Считающего, что все виноваты кроме него, хомяка лучше и проще отпустить, чем с неадекватом мучиться, ибо таких, слава богу, "в периоде" примерно постоянное и, кстати, довольно-таки небольшое количество. А начав эту порочную практику, и себе добавите геморроя, и у других работу отнимете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rdc, с таким подходом вы скоро компы абонентские бесплатно настраивать/обслуживать будете и водку по звонку подвозить. Считающего, что все виноваты кроме него, хомяка лучше и проще отпустить, чем с неадекватом мучиться, ибо таких, слава богу, "в периоде" примерно постоянное и, кстати, довольно-таки небольшое количество. А начав эту порочную практику, и себе добавите геморроя, и у других работу отнимете.

Разные условия и разные абоненты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как завернуть весь трафик на свои DNS сервера в ipfw, чтобы конечный пользователь нормально работал(ответ от моего DNS сервера под ip запрашиваемого DNS пользователем, типа запросил ip ааа.ааа.ааа.ааа ему и пришел ответ ip aaa.aaa.aaa.aaa )?

Изменено пользователем rader

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прочитать: man ipfw

можно посмотреть как на сквид прозрачно заворачивают, правила будут аналогичные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так то завернул трафик, как в сквиде. Но вот проблема DNS сервер отвечает с ip 10.10.10.200, а клиент его не принимает, так как он запросил 8.8.8.8

Изменено пользователем rader

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я заворачивал через PF, таких проблем не было.

Видимо нужно делать dstnat.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.