Frage: Blockieren von URLs bei laufendem lokalen DNS
Hallo Liste, wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ? Auf einer SuSE 8.2 läuft ein caching DNS und der liefert brav IPs an die LAN-Rechner. Dummerweise soll ich das jetzt für einige URLs (webmail Portale) verhindern. Ich habe die URLs auf dem DNS-Host in die /etc/hosts mit 127.0.0.1 eingetragen, aber das wird offenbar völlig ignoriert. Wie kriege ich das hin ? Gruß Andreas
Hallo Andreas, * Andreas schrieb am 11.11.2003:
Hallo Liste,
wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ? Auf einer SuSE 8.2 läuft ein caching DNS und der liefert brav IPs an die LAN-Rechner. Dummerweise soll ich das jetzt für einige URLs (webmail Portale) verhindern.
Ich habe die URLs auf dem DNS-Host in die /etc/hosts mit 127.0.0.1 eingetragen, aber das wird offenbar völlig ignoriert.
Lösung 1 ======== Für solche Aktionen verwende ich dnshijacker [1]. Ist ein DNS-Sniffer, der DNS-Anfragen mit einer eigenen (!) hosts-Datei faked. Funktioniert prima, solange man nicht darüber stolpert, die hosts-Datei mit CRLF-Zeilenumbrüchen (d.h. DOS-Format) zu versehen. Dies ist mir nämlich aus unerfindlichen Gründen passiert. Und ich bekam nur 255.255.255.255 als Antwort auf etwaige DNS-Anfragen. Es sind auch noch andere nützliche Tools auf jener Seite ;-)). Lösung 2 ======== Wäre es nicht vielleicht einfacher, jene IP-Adressen der Portale, einfach via Firewall zu sperren? Eine Datei wo alle drin stehen: gmx.de freenet.de ... Und dann ein Script, das diese Liste abarbeitet und sie als iptables-Regeln einträgt... cat denied-webmailer-hosts | while read Host; do iptables -O OUTPUT -d $Host -j REJECT done (Es gelangt kein einziges Päckchen an die Webmailer und der Anfragende bekommt eine Fehlermeldung a la "Connection refused".) Die Firewall muss natürlich Zugriff auf DNS haben, sonst können die Namen nicht aufgelöst werden... Bei "freenet.de" habe ich z.B. festgestellt, die Adresse ändert sich ab und an. Daher ist es sinnvoll, die FW vielleicht jede Stunde neu zu starten. ;-)) Grüße, Tom [1] http://pedram.redhive.com/download.php?file=dnshijacker
Hallo Thomas,
* Andreas schrieb am 11.11.2003:
wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ?
Thomas Preissler schrieb:
Lösung 1 [...]
Erstmal will ich nur Boardmittel benutzen ;)
Lösung 2 ======== Wäre es nicht vielleicht einfacher, jene IP-Adressen der Portale, einfach via Firewall zu sperren?
Klingt gut, aber das funktionuert hier nur teilweise. Ich gab zuerst mal zum Probieren folgendes ein /etc/sysconfig/scripts/SuSEfirewall2-custom im Block fw_custom_before_masq() { # could also be named "after_port_handling()" # these rules will be loaded after the IP protocol and TCP/UDP port # handling, but before any IP forwarding (routing), masquerading # will be done. [...] iptables -A OUTPUT -j REJECT -d 62.153.159.140 [...] Das ist der Webmail.T-Online.de iptables -L OUTPUT liefert: [...] REJECT all -- anywhere webmail.t-online.dereject-with icmp-port-unreachable Auf dem Router/DNS/Firewall kann ich nun den Webmailer, wie erwartet, nicht mehr anpingen aber die Browser der Kisten im LAN mogeln sich an dieser Regel vorbei. Da komme ich nach wie vor gut an dieses Portal dran. Könnte das am verwendeten Masquerading liegen? h++ps://62.153.159.140/ h++ps://webmail.t-online.de/ Geht beides einwandfrei, auch wenn ich den Browser-Cache lösche um das Zeug wirklich neu laden zu müssen. Wenn das Sperren mit dem Paketfilter klappte, wäre Deine Lösung 2 prima. :) Danke für die prompte Antwort nachts um kurz nach 3 :) :) Gruß Andreas
On Tue, Nov 11, 2003 at 05:25:56AM +0100, Andreas wrote:
Auf dem Router/DNS/Firewall kann ich nun den Webmailer, wie erwartet, nicht mehr anpingen aber die Browser der Kisten im LAN mogeln sich an dieser Regel vorbei.
Kein Wunder, da du die OUTPUT-Regel verwendest. Nimm FORWARD dazu. -- Have fun, Peter
Guten Morgen, Liste Am Dienstag, 11. November 2003 02:35 schrieb Andreas:
Hallo Liste,
wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ? Auf einer SuSE 8.2 läuft ein caching DNS und der liefert brav IPs an die LAN-Rechner. Dummerweise soll ich das jetzt für einige URLs (webmail Portale) verhindern.
Ich habe die URLs auf dem DNS-Host in die /etc/hosts mit 127.0.0.1 eingetragen, aber das wird offenbar völlig ignoriert.
Wie kriege ich das hin ?
Möchtest du den Web-Zugriff sperren? Warum konfigurierst du nicht Squid als Transparenten-Proxy, da kann man ganz prima Zugriffsregeln definieren und die User merken vom Proxy nix. Zudem hast du eine gute Übersicht, was wirklich "raus" geht und wie viel MB/GB so täglich über die Leitung gehen...natürlich alles anonym. Was hilft es dir, wenn eine Adresse gesperrt ist? I.d.R. sind die Benutzer so kreativ und finden andere Möglichkeiten, z.B. ein (anonymer) Proxy im Internet, dann ist deine lokale Lösung hinfällig. Gruß Wolfgang E.
Am Dienstag November 11 2003 02:35 schrieb Andreas:
Hallo Liste,
wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ? Auf einer SuSE 8.2 läuft ein caching DNS und der liefert brav IPs an die LAN-Rechner. Dummerweise soll ich das jetzt für einige URLs (webmail Portale) verhindern.
Ich habe die URLs auf dem DNS-Host in die /etc/hosts mit 127.0.0.1 eingetragen, aber das wird offenbar völlig ignoriert.
Wie kriege ich das hin ?
Ein Eintrag in die /etc/hosts 0.0.0.0 deine.zusperrende.url Dann ußt du nur noch bekannt geben das die /etc/hosts vor dem DNS befragt wird. Ist aber defaulteinstellung. cu -- Roland Kruggel mailto: rk-liste@gmx.de System: AMD 1200Mhz, Debian woody, 2.4.20, KDE 3.1.4
Hallo Roland, * Roland schrieb am 11.11.2003:
Am Dienstag November 11 2003 02:35 schrieb Andreas:
Hallo Liste,
wie kann ich das Auflösen von Adressen ausgehend aus einem LAN verhindern ? Auf einer SuSE 8.2 läuft ein caching DNS und der liefert brav IPs an die LAN-Rechner. Dummerweise soll ich das jetzt für einige URLs (webmail Portale) verhindern.
Ich habe die URLs auf dem DNS-Host in die /etc/hosts mit 127.0.0.1 eingetragen, aber das wird offenbar völlig ignoriert.
Wie kriege ich das hin ?
Ein Eintrag in die /etc/hosts
0.0.0.0 deine.zusperrende.url
Dann ußt du nur noch bekannt geben das die /etc/hosts vor dem DNS befragt wird. Ist aber defaulteinstellung.
Das greift nur lokal, nur auf dem Rechner, wo man arbeitet. Und auch wenn man das so macht, Opera z.B. kriegt das nie zu sehen, da der offensichtlich gleich den DNS frägt. Grüße, Tom
participants (5)
-
Andreas
-
Peter Wiersig
-
Roland M. Kruggel
-
Thomas Preissler
-
Wolfgang Erlenkötter