[Résolu] Blocage DNS

renaud07 · Le 29/03/2014, à 20:43

Bonsoir,

J'essaie de configurer mon DNS pour qu'il bloque les domaines de pub et ainsi éviter de renseigner le fichier hosts de chaque machine. Le seul problème c'est que je ne sais pas comment faire, j'ai essayé de mettre un enregistrement de type A dans la zone root mais ça n'a aucun effet même après redémarrage.

Merci d'avance.

PS : il est déjà configuré en tant que serveur cache avec les DNS de google et j'ai également une zone pour gérer mon nom de domaine LAN.

Dernière modification par renaud07 (Le 30/03/2014, à 15:33)

Haleth · Le 29/03/2014, à 22:12

J'ose espérer que c'est pour ton usage d'ordre personnel ?

PS : il est déjà configuré en tant que serveur cache avec les DNS de google

C'est une très mauvaise idée, utilise les root servers directement. La configuration de base de Bind est très bien à ce sujet.

Quant à ton idée, il faut utiliser la fonctionnalité "response-policy" de bind (version 9.8+).
Voici un excellent papier de Stéphane Bortzmeyer : http://www.bortzmeyer.org/rpz-faire-men … ur-dns.pdf

renaud07 · Le 29/03/2014, à 22:54

Haleth a écrit :

J'ose espérer que c'est pour ton usage d'ordre personnel ?

Oui oui, bien sûr.

Haleth a écrit :

C'est une très mauvaise idée, utilise les root servers directement. La configuration de base de Bind est très bien à ce sujet.

Ah comment dois-je faire alors ? J'ai essayé en mettant 2 IP des roots servers à la place de ceux de google, ça me renvoie un servfail

EDIT : Ah c'est bon, si je commente les deux IP, ça prend la zone root directement

Haleth a écrit :

Quant à ton idée, il faut utiliser la fonctionnalité "response-policy" de bind (version 9.8+).
Voici un excellent papier de Stéphane Bortzmeyer : http://www.bortzmeyer.org/rpz-faire-men … ur-dns.pdf

Merci je vais voir si j'y arrive.

Dernière modification par renaud07 (Le 29/03/2014, à 23:13)

renaud07 · Le 30/03/2014, à 02:15

Comme je m'en doutais, je n'arrive pas à faire fonctionner le tout Pourtant je ne pense pas m'être trompé : (la zone aoutée est "interdit.lan")

named.conf.local

// Consider adding the 1918 zones here, if they are not used in your
// organization

//include "/etc/bind/zones.rfc1918";

// déclaration de l'acl "internals" 
acl internals { 127.0.0.0/8; 192.168.1.0/24; };

// clé de controle pour la mise à jour dhcp dynamique
include "/etc/bind/rndc.key";

controls { inet 127.0.0.1 allow { localhost; } keys { "lapalisselan"; }; };

zone "lapalisse.lan" {
       type master;
       file "/etc/bind/db.lapalisse.lan";
	allow-update { key "lapalisselan"; };
	// notify yes; // Pour notifier un esclave
       forwarders{};
};

zone "1.168.192.in-addr.arpa" {
       type master;
       file "/etc/bind/db.lapalisse.lan.inv";
	allow-update { key "lapalisselan"; };
	// notify yes; // pour notifier un esclave
       forwarders{};
};

zone "interdit.lan" {
      type master; 
      file "/etc/bind/db.interdit.lan"; 
      allow-query {none;}; 
};

named.conf.options

options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.
	 response-policy { zone "interdit.lan"; };
	 forward only;
	 forwarders {
	 	// 8.8.8.8;
		// 192.228.79.201;
	 };
	listen-on { 127.0.0.1; 192.168.1.2; };
	allow-transfer { none; };
	allow-query { internals; };
	allow-recursion { internals; };
	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { none; };
};

db.interdit.lan

; Beginning of the zone, some mandatory values
$TTL 1H

@   SOA non.interdit.lan. root.interdit.lan (2011031800 2h 30m 30d 1h)
    NS non.interdit.lan.

; Filtering rules
; NXDOMAIN will be sent back
google-analytics.com         CNAME   .
*.google-analytics.com         CNAME   .

doubleclick.net			CNAME .
ad6media.fr			CNAME .
adyoulike.com			CNAME .
omnitagjs.com			CNAME .
adserverpub.com			CNAME .
pubdirect.com			CNAME .
cpmaffiliation.com		CNAME .
adcash.com			CNAME .
affiliation-france.com		CNAME .

Est-ce correct ?

Dernière modification par renaud07 (Le 30/03/2014, à 02:44)

Haleth · Le 30/03/2014, à 10:43

Regarde tes logs;

renaud07 · Le 30/03/2014, à 15:21

Je crois que j'ai trouvé, en fait pour que ça fonctionne il faut que le nom de la zone soit différent du serveur de nom :

Si en NS je mets "non.interdit.lan" et en nom de zone "interdit.lan" --> marche pas (erreur IP)
Si en NS je mets "non.interdit.lan" et en nom de zone "interdit.fr" --> ça marche

Dernière modification par renaud07 (Le 30/03/2014, à 15:24)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 29/03/2014, à 20:43

[Résolu] Blocage DNS

#2 Le 29/03/2014, à 22:12

Re : [Résolu] Blocage DNS

#3 Le 29/03/2014, à 22:54

Re : [Résolu] Blocage DNS

#4 Le 30/03/2014, à 02:15

Re : [Résolu] Blocage DNS

#5 Le 30/03/2014, à 10:43

Re : [Résolu] Blocage DNS

#6 Le 30/03/2014, à 15:21

Re : [Résolu] Blocage DNS

Pied de page des forums