|
|
我想在BIND域名級禁止內部網訪問某些外部網址,如何作?
|
|
因為外部網站有些很可恨(亂出窗口,修改ms註冊表,等等)
我希望在DNS設一個靜態表
將這些該死的網址放在裡面
使之不能作正確解析(指向另外一個地址)
從而使之無法訪問外部網站
我原想通過修改hosts文件來做,
它只對我的機有作用
不符我的要求
|
|
|
Re: 我想在BIND域名級禁止內部網訪問某些外部網址,如何作?
|
|
可以實現,不過不很方便。
1,在named.conf文件裡定義想要禁止的網址的域。
2,然後在zone文件裡把網址定義為www.sina.com.cn或者別的什麼的。
3,重起服務。
btw:局域網別的用戶必須用你的dns server。
|
|
|
|
我試著作了,封殺整個網站,但是我並不希望這樣,請大俠再指教!!!
|
|
現在的結果是
ping gtnz.myrice.com 指向 194.0.2.1
ping www.myrice.com 則找不到主機
這不符合,我希望我沒有列明的網址,應仍然可以正確解析才是
請大俠再幫忙
===============================================================
在/etc/named.conf增加
zone "myrice.com" {
type master;
file "myrice.com.zone";
};
**************************************************************
在/var/named/下加文件myrice.com.zone
$TTL 86400
@ IN SOA @ myrice.com (
2 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttl
)
IN NS localhost.
gtnz IN A 194.0.2.1
*****************************************************************
現在的結果是
ping gtnz.myrice.com 指向 194.0.2.1
ping www.myrice.com 則找不到主機
這不符合,我希望我沒有列明的網址,應仍然可以正確解析才是
請大俠再幫忙
|
|
|
|
Re: 我試著作了,封殺整個網站,但是我並不希望這樣,請大俠再指教!!!
|
|
笨笨,你可以在zone文件裡給出www.myrice.com正確的a指向。
|
|
|
|
有方向性的錯誤
|
|
其實你的這個問題,不應該使用DNS的配置來解決。有方向性的錯誤。
最好的辦法使用過濾,比如防火牆
不管你是使用代理、使用路由器、使用交換機,絕對有個口子可以管住
|
|
|
|
我也感覺有點方向性的錯誤, 但是不知應在那一個方向上作文章?
|
|
我這裡沒有路由,也沒有交換機
防火牆用的是iptables
內部網訪問外部網是通過iptables的轉發和偽裝代理
好像沒法設域名, 但可以設定IP 地址不可訪問
但有同樣的問題,
如你所見
myrice.com
126.com
都是個人主頁空間網站同一個IP下也有若干個二級域名,
若封IP 則還是有更多的網址被封
請大俠指教!!!
|
|
|
|
要不寧可錯殺一千絕不放過一個
|
|
有時候這種事情也沒辦法,要不寧可錯殺一千絕不放過一個
|
|
|
Re: 霍霍,夠血腥的阿〔空〕
|
|
|
|
|
|
Re: 可行的方案
|
|
http://cr.yp.to/djbdns/dnscache.html
...........
If there are addresses listed in servers/moon.af.mil, for example, then dnscache will send queries for anything.moon.af.mil to those addresses, and will not cache records for anything.moon.af.mil from outside servers such as the root servers.
...........
so,you can:
echo 192.168.0.13 >servcers/xxx.yyy.com.cn
192.168.0.13不運行任何DNS,甚至可以不存在,也就是說,對於xxx.yyy.com.cn,將的不到正確的解析。
|
|
|
|
沒辦法的辦法啊,如果客戶端把DNS指向其他IP,上面那個辦法也不行的
|
|
沒辦法的辦法啊,如果客戶端把DNS指向其他IP,上面那個辦法也是不行的
當然也讓我知道了,還有這麼一招
|
|
|
|
Re: 可以
|
|
控制只有運行dnscache的server可以向外部網絡發送UDP53請求,這應該很簡單吧:)
|
|
|
|
Re: 我想在BIND域名級禁止內部網訪問某些外部網址,如何作?
|
|
可以試試 Internet Junkbuster (http://internet.junkbuster.com/)
它是一個proxy,你可以在它的config文件裡指定哪些url被block。
|
