|
|
| Línia 37: |
Línia 37: |
| | # Norton ConnectSafe: malware, phishing | | # Norton ConnectSafe: malware, phishing |
| | #forwarders { 199.85.127.10; 199.85.126.10; }; | | #forwarders { 199.85.127.10; 199.85.126.10; }; |
| | + | |
| | + | Forcem un reload al servidor DNS per aplicar els canvis |
| | + | *'''/etc/init.d/bind9 reload''' |
| | + | |
| | + | == Nota: == |
| | + | Els usuaris poden saltar aquest filtre configurant manualment la IP d'un altre servidor DNS al seu dispositiu. Per evitar-ho caldrà redirigir les sol·licituds DNS de la xarxa local (port UDP 53) cap al nostre servidor dns. |
| | + | Exemple: |
| | + | IP servidor dnsservices 10.1.2.3 |
| | + | |
| | + | Redireccionament per Linux amb iptables |
| | + | *'''iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 10.1.2.3:53''' |
| | + | |
| | + | Redireccionament amb Routers Mikrotik |
| | + | *'''/ip firewall nat''' |
| | + | *'''chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=10.1.2.3 to-ports=53 |
| | + | |
| | | | |
| | === Provar el funcionament === | | === Provar el funcionament === |
| − | *'''cd /etc/bind; /etc/bind/ad-blacklist-update.sh; rndc reload'''
| + | Per provar el funcionament cal accedir amb un navegador a webs de pornografia "porn.com" etc.., on ens ha de sortir la web de OpenDNS o Norton indicant que està bloquejada. |
| − | *'''dig @localhost doubleclick.net
| + | |
| | | | |
| | == Veure també == | | == Veure també == |
Revisió de 00:14, 3 març 2016
Configurar un filtre de pornografia/malware per servidors proxy i dnsservices
Antecedents
Pensat per pares o escoles amb nens menors d'edat que es conecten a internet i que volen filtrar la navegació a webs de violència, pornografia o malware.
Objectiu
Configurar el servei dnsservices (bind9) inclòs a (Proxy3 / Cloudy) perque bloquegi pàgines web de pornografia i/o malware.
Utilitzarem servidors amb filtre de DNS externs (OpenDNS o Norton ConnectSafe com a DNS externs del nostre servei DNS.
Aplicant el filtre a nivell de DNS eliminem la publicitat de les webs i també de tots els dispositius mòbils i aplicacions que l'utilitzen.
Requisits
Disposar d'un servidor linux (Proxy3 / Cloudy) basat en Debian que ha d'estar configurat com a servidor de noms.
Configuració
Crear script ad-blacklist-update.sh
Obrim una finestra ssh
Cal tenir permisos root
Ens situem al directori /etc/bind
Configurar Bind
Editem l'arxiu named.conf.options.private perquè inclogui els servidors DNS externs
- nano /etc/bind/named.conf.options.private
Afegim el contingut del requadre al final de l'arxiu editat i descomentem els servidors que ens interessin segons el nivell de filtre
# OpenDNS FamilyShield: filtra pornografia
#forwarders { 208.67.222.123; 208.67.220.123; };
# Norton ConnectSafe: malware, phishing, pnografia i altres
forwarders { 199.85.127.30; 199.85.126.30; };
# Norton ConnectSafe: malware, phishing, pnografia
#forwarders { 199.85.127.20; 199.85.126.20; };
# Norton ConnectSafe: malware, phishing
#forwarders { 199.85.127.10; 199.85.126.10; };
Forcem un reload al servidor DNS per aplicar els canvis
Nota:
Els usuaris poden saltar aquest filtre configurant manualment la IP d'un altre servidor DNS al seu dispositiu. Per evitar-ho caldrà redirigir les sol·licituds DNS de la xarxa local (port UDP 53) cap al nostre servidor dns.
Exemple:
IP servidor dnsservices 10.1.2.3
Redireccionament per Linux amb iptables
- iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 10.1.2.3:53
Redireccionament amb Routers Mikrotik
- /ip firewall nat
- chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=10.1.2.3 to-ports=53
Provar el funcionament
Per provar el funcionament cal accedir amb un navegador a webs de pornografia "porn.com" etc.., on ens ha de sortir la web de OpenDNS o Norton indicant que està bloquejada.
Veure també
|
