Forum Debian Users Gang

marcus91 · 2017-11-07 22:59:04

Siemka,
próbuje i próbuje a efekt mizerny ;(
Więc tak mamy sieć lokalną 1.1.1.0/24 w niej router 1.1.1.1/24 oraz wewnetrzny serwer dns powiedzmy 1.1.1.4 który przekierowuje dalej zapytania do serwerów googla (8.8.8.8,8.8.4.4).
Co prawda wymuszam z dhcp aby klienci korzystali z mojego wewnetrznego serwera ale gdy pojawi się spryciarz i przestawi sie na serwery googla u siebie nie mogę nic zrobić. Jak uwalić ruch wychodzący od klienta do dns google udp port 53 i przekierować go mimo wszystko na mój węwnętrzny dns 1.1.1.4
Za wszystkie podpowiedz z góry dziękuje,
Pozdrawiam ! ;)

hi · 2017-11-08 00:04:35

proxy transparentne (squid ma spore możliwości) ale i tak ominie jak się uprze puszczając zaszyfrowany tunel i dupa :)

Ostatnio edytowany przez hi (2017-11-08 00:16:15)

marcus91 · 2017-11-08 02:28:02

Nie da się tego zrobic jakoś na łańcuchach iptables ?

Jacekalex · 2017-11-08 02:44:06

Da się zrobić w iptables, ale na etapie internetu LTE to strata czasu.
Jak pani Krysia musi co ,003s na FB zajrzeć, to załatwi to Smartfonem, chyba, że przy wejściem na portierni będziecie lewatywy robić, żeby smartfonów i tabletów nie wpuszczać. xD
Albo postawicie jakieś zagłuszacze 3G/LTE, ale to już podpada pod paragraf karny.

W każdym razie, jak nie wiesz, jak w łańcuchu NAT albo RAW ubić [b]--dport 53[/b] dla puli adresów z sieci LAN (np [b]-s 1.1.1.1/24[/b]), to łap się lepiej za łopatę, a nie komputery. xD

RTFW:
https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables

Ostatnio edytowany przez Jacekalex (2017-11-08 02:49:26)

morfik · 2017-11-08 10:03:50

E tam, strata czasu. Spryciarze zwykle wiedzą co to dnscrypt-proxy i wiedzą, że to szyfruje zapytania i śle na port 443. A tego radzę nie przekierowywać/blokować. xD

Jacekalex · 2017-11-08 11:04:29

[quote=morfik]E tam, strata czasu. Spryciarze zwykle wiedzą co to dnscrypt-proxy i wiedzą, że to szyfruje zapytania i śle na port 443. A tego radzę nie przekierowywać/blokować. xD[/quote]
Dnscrypt za chwilkę chyba nie będzie [url=https://tools.ietf.org/html/rfc7858]potrzebny[/url]...

Inna sprawa, że stacje w robocie to nie zawsze Linux, a spryciarze to nie zawsze informatycy.

Za to znaleźć w robocie kogoś, kto nie ma cegłofona z LTE, to coraz trudniejsze zadanie.

Ostatnio edytowany przez Jacekalex (2017-11-08 11:37:03)

morfik · 2017-11-08 14:12:51

Oj nie wiem czy tak ten dnscrypt wyjdzie z użycia jak w tym RFC jest coś takiego:

By default, a DNS server that supports DNS over TLS MUST listen for
and accept TCP connections on port 853, unless it has mutual
agreement with its clients to use a port other than 853 for DNS over
TLS. In order to use a port other than 853, both clients and servers
would need a configuration option in their software.[/quote]
I pewnie będzie można to bez problemu zablokować i wymusić korzystanie z nieszyfrowanych lokalnych DNS różnych operatorów (patrz ostatnie cenzury netu). A dnscrypt dalej używać będzie standardowego portu, na którym stoi już większość internetów. xD

Time (s)	Query
0.00011	SET CHARSET latin2
0.00008	SET NAMES latin2
0.00103	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.103.185' WHERE u.id=1
0.00067	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.103.185', 1732703525)
0.00045	SELECT * FROM punbb_online WHERE logged<1732703225
0.00064	DELETE FROM punbb_online WHERE ident='3.145.8.2'
0.00065	SELECT topic_id FROM punbb_posts WHERE id=315425
0.00004	SELECT id FROM punbb_posts WHERE topic_id=30042 ORDER BY posted
0.00060	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30042 AND t.moved_to IS NULL
0.00007	SELECT search_for, replace_with FROM punbb_censoring
0.00106	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30042 ORDER BY p.id LIMIT 0,25
0.00082	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30042
Total query time: 0.00622 s

Forum Debian Users Gang

Ogłoszenie

#1 2017-11-07 22:59:04

marcus91 - Użytkownik

klienci LAN - zablokowane zewnetrzne dns - only internal dns

#2 2017-11-08 00:04:35

hi - Użytkownik

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#3 2017-11-08 02:28:02

marcus91 - Użytkownik

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#4 2017-11-08 02:44:06

Jacekalex - Podobno człowiek...;)

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#5 2017-11-08 10:03:50

morfik - Cenzor wirtualnego świata

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#6 2017-11-08 11:04:29

Jacekalex - Podobno człowiek...;)

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#7 2017-11-08 14:12:51

morfik - Cenzor wirtualnego świata

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

#8 2017-11-08 15:07:36

Jacekalex - Podobno człowiek...;)

Re: klienci LAN - zablokowane zewnetrzne dns - only internal dns

Stopka forum

Informacje debugowania