Amikor ezt írtad: "Szerintem vedd fel static DNS-be a 0.0.0.0-ra mutatva." pontosan mire gondoltál?

Ez van most beállítva:

Webconfig-ban wizards - DNS host names. Itt felveszed statikusan, hogy a 0.0.0.0-ra oldja fel a DNS szerver annak a weboldalnak a címét. Így a kliens visszakapja, hogy 0.0.0.0 az oldal, és kiírja: DNS_PROBE_FINISHED_NXDOMAIN

Ez ugye könnyen kijátszható, ha valaki elállítja a DNS szervert a routerről, ez ellen le kell tűzfalazni, hogy DNS kéréssel csak a router tudjon kimenni a netre.

szerk.: A youtube az HTTPS, úgyhogy azzal nem nagyon fog menni a webproxy-s megoldás.

szerk.2: A fenti az én kendácsolt megoldásom abból amiket már próbáltam. Szépen a DPI + tűzfal szabályokkal lehet megcsinálni. (Ilyet én még nem csináltam.)

[ Szerkesztve ]

Switch Tax

És a rá fordított időt, energiát, egy VPN kapcsolat létrehozásával ki lehet kerülni.

Ha a youtube-ot akarod tiltani, akkor az elég egyszerű DPI segítségével.
Engedélyezed, ha esetleg még nincsen:
set system traffic-analysis dpi enable
set system traffic-analysis export enable

Létrehozol egy saját DPI kategóriát, modjuk "drop_youtube" néven:
configure
set system traffic-analysis custom-category drop_youtube name youtube
commit
Nem kell megijedni, egy Unexpected duplicate application üzenetet ad vissza, ez csak azt jelenti, hogy a youtube egy másik DPI kategóriában már szerepel

Ezekután létrehozzuk a tűzfal szabályokat
set firewall name DROP_SITES default-action accept
set firewall name DROP_SITES rule 10 application custom-category drop_youtube
set firewall name DROP_SITES rule 10 action drop
commit

Beállítjuk a szabályhoz az interface-t, és az irányt(ha erl3-ad van, és eth1 a lan)
set interfaces ethernet eth1 firewall in name DROP_SITES

És végül mentjük
commit; save; exit
Így elég sok lehetőség van a tiltásra, a tűzfal módosításával lehet akár időzíteni a szabályt, IP-re alkalmazni, stb...

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

Mondjuk amire nem jöttem rá, illetve nem tudom hogyan lehet megoldani, és hátha van valakinek megoldása rá az a DPI -ba való egyedi site felvétel.

Csak a pl kedvéért, én tiltani akarom a DPI keresztül, segítségével a prohardver.hu-t.
De a DPI-ban mint site nem jelenik meg. Akkor hogyan tudom megadni a DPI-nak, hogy ismerje fel, hogy utána tiltani, szabályozni tudjam.
És én mondjuk ezt nagyon hiányolom, hogy nem tudok felvenni egy pl custom kategóriát, amibe egyedi site tiltásokat tudok megadni. Mert hogyan tiltom, ha nem ismeri fel.

Erre marad az IP-alapú tiltás, ami addig működik amíg nem változik az IP, vagy IPV6-on szépen meg nem kerüli.

Lehet csinálni custom kategóriát, és ott felveheted szerintem.

Switch Tax

ok és hogyan?
Mert én eddig erre vonatkozóan nem találtam semmit.
Főleg mert a DPI-ba csak App -ra van lehetőség felvenni, de nem URL-re.

[ Szerkesztve ]

Köszönöm a szép megoldásokat, mindjárt ki is próbálom.

Hmm, szerintem a DPI csak azt tudja felismerni, amire be van programozva. Ha nézed a DPI statisztikát, ott listázza, hogy mik vannak. Onnan esetleg ki lehet választani, és onnan berakni saját group-ba.

Switch Tax

Egyéni címet/URL-t nem lehet hozzáadni, a meglevőkböl lehet összerakni custom group-okat igény szerint.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

A custom-category-nál alkalmazást adhatok meg, de site-ot, pl. fakeoldal esetében (mindenegybenblog.hu)-t akarom tiltani, ott az alkalmazásnál azt írja a commit után:

Unknown application [....]
Value validation failed
Set failed

És nem láttam. akkor pedig mi van?

Szia a traffic analysisben úgy szerepelnek a böngészős kérések, hogy "Web - Other" - szóval ez nem járható út, mert akkor mindent tiltasz szerintem.

Így van. DPI-vel csak az ismert oldalakat/appokat lehet tiltani, amit ismer a rendszer.

Switch Tax

szóval custom-ot nem, ami lenne a lényeg.

Configure módban a set firewall name drop rule 10 application category majd a kétszer TAB billentyűre előhozza milyen kategóriák vannak.
Jelenleg ezek:
rekop@ubnt# set firewall name drop rule 10 application category
Business Security-Update TopSites-News
Bypass-Proxies-and-Tunnels Social-Network TopSites-Recreation
Database-tools Stock-Market TopSites-Reference
File-Transfer Streaming-Media TopSites-Regional
Games TopSites-Adult TopSites-Science
Instant-messaging TopSites-Arts TopSites-Shopping
Mail-and-Collaboration TopSites-Business TopSites-Society
Management-tools-and-protocols TopSites-Computers TopSites-Sports
Network-protocols TopSites-Games Voice-over-IP
P2P TopSites-Health Web
Private-protocols TopSites-Home Web-IM
Remote-Access-Terminals TopSites-KidsnTeens

A /usr/sbin/ubnt-dpi-util show-cat-apps [kategória neve]-el pedig meg lehet nézni mik tartoznak bele. Ezekből lehet csak válogatni.

Eladó dolgaim: https://tinyurl.com/5n7jmuvj

köszi a parancsokat. az előre definiált alkalmazásokról tudtam. régebben nézegettem, de pl. ha a HVG által leközölte fake oldalakat akarom tiltani, akkor arra nem lesz ez jó.

Én DNS-el szűrném ahogy írtam feljebb.

Switch Tax

Erre van egy olyan nem túl elegáns megoldás amit úgy hívnak hogy OPEN DNS.
Ha beregisztrálod magad, és a sz.gépre feltelepíted az open dns klienst hogy napra készen tartsa a külső címedet, és létrehozol a WAN_OUT-ot, amibe berakod mint tűzfalszabály hogy csak az OPENDNS címen menjen ki a forgalom, akkor az OPENDNS web felületén lehet tiltani DNS szinten oldalakat. De az is korlátozott.
Vagy saját DNS szerver használata, és azon tiltod. Az a baj, hogy minden tiltásra, van valami okosság amivel megkerüli az egészet. Lásd fentebb a VPN használata.
Tehát ez egy nagyon érdekes kérdés, hogyan is lehet lakossági szinten, relatív biztonságos hálózatot kiépíteni, üzemeltetni. Mert a valóság azt mutatja, minden tiltásra van ellenszer, amivel meg lehet kerülni.

Igazából annyi a lényeg, hogy az ilyesmit csak több szinten lehet normálisan kivitelezni. Csak kliens vagy csak hálózati oldalon nem megoldható.

Kell kliens oldalon is szabály, meg network oldalon is.

Switch Tax

Pontosan, de ennek a megvalósítása sok esetben egyáltalán nem költséghatékony. És lakossági szinten, hát ....
Szigorúan lakkossági szinten, még mindig a hálózat védelem a leggyengébb láncszem. És nincs biztonság, csak biztonság érzet. A több beállítással rendelkező eszközökön, meg csökkenteni lehet a visszaélési lehetőségeket. Tudod elgondolkoztam lakossági szinten rendelkezésre álló url szűrökön, és iszonyatos átverés az is, sok esetben. És nagyon nincs is értelme, sok esetben.

Érdekes, hogy a neten felelhetőek olyan megoldások amelyek ERlite3-on futnak, viszont sajnos - mint írtam korábban - egyik sem működött.
Ez az egyik legjobb cucc (lehetne), mert jól paraméterezhető, könnyen telepíthető, de nem akar működni.
https://britannic.github.io/blacklist/#contents

Nem vagyok hálózatos, bizonyára jobban értetek hozzá, de kliens oldalon mégis megoldották valahogy, ha fut egy tűzfal program, a tűzfal, meg tiltja az oldalt:

Router oldalon is meglehetne ezt oldani, hiszen resolválni lehet minden kérésben szereplő IP címet és a resolvált címet pedig vagy engedik, vagy nem. Egyszerűen hangzik, nem?

A fenti program beállításait vagy én szúrtam el, vagy nem egészen működik jól. Ha esetleg kipróbálná valaki és ha működik, kérem írja le hogy sikerült. Köszönöm.

Szerintem félre érted, amit írok.
Persze, le lehet tiltani, sok mindent, de minden tiltásra van olyan megoldás, amivel meg lehet kerülni.
Önmagában a tiltás sok esetben nem elegendő, megfelelő megoldás. Így különböző + beállítások, és további tiltások kellenek ahhoz, hogy amit valóban tiltani akarunk, az valóban tiltva is legyen. És pont az egyik ilyen kategória az url tiltás.
Egyébként én ki próbáltam edge a webproxy keresztüli tiltást, nálam is működött, de az önmagban semmi, illetve gyakorlatilag csak önámítás.
DPI szinten, csak azokat tudod tiltani amit bele rakott az ubnt. Így egyéni url tiltásra esélyed nincs.
Fentebb írták a edge router 0.0.0.0 dns tiltást, ez 1-2 oldal esetében még csak csak, de ha több oldalról van szó akkor .....
Fentebb írtam, az open DNS mint külső szolgáltató által biztosított dns alapú tíltás lehetőséget. De ahhoz hogy hatékony legyen, szükséges minden hálózatra csatlakozott eszközt rá kényszeríteni hogy csak azon a dns címen menjen a forgalom. Ez a megoldás ugyan már globális megoldásnak minősül. Viszont az internet szokásaid egy külső, cégen keresztül történik. Tehát, ha ott kaki van a palacsintába, akkor...
Vannak különböző vírus keresők által biztosított url szűrési lehetőségek, viszont az lokális megoldás. Azaz minden eszközön külön be kell állítanod. Hacsak nem központilag felügyeled a vírus keresőt. Viszont annak licenc költsége, nem lakossági pénztárcára szabták.
És mindezt egy vpn csatlakozással mind kidobod a kukába. Főleg ha a vpn kapcsolat a 443 porton megy, mert ebben az esetben gyakorlatilag adtál a ...... És ha ezt egy támadó használja ki akkor szintén.
És ez a probléma, több megoldás áll rendelkezésre ahhoz mit hogyan tudsz megkerülni, mint hatékonyan védekezni.

Értem. Legalább is azt gondolom, hogy értem.

Nekem van beállított DNS címem a routerben, nem a klasszikus 8.8.8.8, hanem a szolgáltató DNS címe és így minden kliens, amikor csatlakozik a hálózatra, attól kap infót.

Olyat nem lehet tenni, hogy a routeren fut egy kvázi DNS szolgáltatás és bizonyos címeket onnan kap meg a kliens, amelyek nincsenek a DNS szerveren, azt pedig az IPS által biztosított DNS szervertől kapná meg, egy másodlagos DNS címtől.

Amúgy a router konfigurációban ez benne van:
>show configuration commands | grep name-server
set interfaces ethernet eth0 pppoe 0 name-server auto
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set system name-server 193.110.57.4
set system name-server 193.110.56.8
set system name-server 127.0.0.1
set system name-server '::1'

[ Szerkesztve ]

Ok akkor most megérlek nyiss egy cmd-t és írd be

nslookup google.com 8.8.8.8
nslookup google.com 1.1.1.1
nslookup google.com 213.46.246.53
nslookup google.com 84.2.44.1

és írd meg hogy kaptál rá választ, vagy nem.

A routeren alapból fut egy alap színtű DNS szerver, ehhez mondtam a beállításokat. Ezt be lehet állítani, hogy amit nem tud, azt hova forwardolja.

A blacklisten neked mi nem megy? Ez ugyanazt csinálja amit én mondtam.

Az megvan, hogy ha a router DNS szerverét használod, akkor a routert kellene beállítani DNS szervernek a klienseken? (Vagyis DHCP-vel azt osztod nekik...)

Itt minden működik, csak a felét nem érted a dolgoknak.

szerk.: Kliens oldalon szoftveres tűzfal fut, abban azt csinálsz meg amit akarsz, cserébe baromi lassú lesz a neted.

[ Szerkesztve ]

Switch Tax

nem kapok választ, mert kizárólag csak az IPS DNS címeit engedélyeztem. minden más 53 port tiltva van.

Ez a blacklist beállításaim:

set service dns forwarding blacklist disabled false
set service dns forwarding blacklist dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains source NoBitCoin description 'Blocking Web Browser Bitcoin Mining'
set service dns forwarding blacklist domains source NoBitCoin prefix 0.0.0.0
set service dns forwarding blacklist domains source NoBitCoin url 'https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt'
set service dns forwarding blacklist domains source malwaredomains.com description 'Just Domains'
set service dns forwarding blacklist domains source malwaredomains.com url 'http://mirror1.malwaredomains.com/files/justdomains'
set service dns forwarding blacklist domains source myhosts description 'My blacklist'
set service dns forwarding blacklist domains source myhosts dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains source myhosts file /config/user-data/myblacklist.host
set service dns forwarding blacklist domains source simple_tracking description 'Basic tracking list by Disconnect'
set service dns forwarding blacklist domains source simple_tracking url 'https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt'
set service dns forwarding blacklist domains source zeus description 'abuse.ch ZeuS domain blocklist'
set service dns forwarding blacklist domains source zeus url 'https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist'
set service dns forwarding blacklist hosts source githubSteveBlack description 'Blacklists adware and malware websites'
set service dns forwarding blacklist hosts source githubSteveBlack prefix 0.0.0.0
set service dns forwarding blacklist hosts source githubSteveBlack url 'https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts'
set service dns forwarding blacklist hosts source hostsfile.org description 'hostsfile.org bad hosts blacklist'
set service dns forwarding blacklist hosts source hostsfile.org prefix 127.0.0.1
set service dns forwarding blacklist hosts source hostsfile.org url 'http://www.hostsfile.org/Downloads/hosts.txt'
set service dns forwarding blacklist hosts source openphish description 'OpenPhish automatic phishing detection'
set service dns forwarding blacklist hosts source openphish prefix http
set service dns forwarding blacklist hosts source openphish url 'https://openphish.com/feed.txt'
set service dns forwarding blacklist hosts source sysctl.org description 'This hosts file is a merged collection of hosts from Cameleon'
set service dns forwarding blacklist hosts source sysctl.org prefix 127.0.0.1
set service dns forwarding blacklist hosts source sysctl.org url 'http://sysctl.org/cameleon/hosts'
set system package repository blacklist components main
set system package repository blacklist description 'Britannic blacklist debian wheezy repository'
set system package repository blacklist distribution wheezy
set system package repository blacklist password ''
set system package repository blacklist url 'https://raw.githubusercontent.com/britannic/debian-repo/master/blacklist/'
set system package repository blacklist username ''
set system task-scheduler task update_blacklists executable arguments 10800
set system task-scheduler task update_blacklists executable path /config/scripts/update-dnsmasq-cronjob.sh
set system task-scheduler task update_blacklists interval 6h

Én ugyanennek a reklámszűrő változatát használom, és működik. [link] Bár lehet ez ugyanaz.

Switch Tax

Igen, ezt használom én is, ha még valami más beállításod is van, ami fontos lehet kérlek írd meg.

pl. /config/user-data/myblacklist.host fájlba felvettem az index.hu-t és mégis bejön.
de olyan oldal is, amely más listán van,

a host fájlok lent vannak (mai dátumokkal):
/etc/dnsmasq.d >ls
README domains.zeus.blacklist.conf
dnsmasq-dhcp-config.conf hosts.blacklisted-servers.blacklist.conf
dnsmasq.adlist.conf hosts.githubSteveBlack.blacklist.conf
domains.NoBitCoin.blacklist.conf hosts.hostsfile.org.blacklist.conf
domains.blacklisted-subdomains.blacklist.conf hosts.myhosts.blacklist.conf
domains.malwaredomains.com.blacklist.conf hosts.openphish.blacklist.conf
domains.myhosts.blacklist.conf hosts.sysctl.org.blacklist.conf
domains.simple_tracking.blacklist.conf

pl.: hosts.myhosts.blacklist.conf fájlban megtalálható az index.hu:
address=/index.hu/0.0.0.0

na mindegy, bizonyára valamit még elkeféltem.

DHCP milyen DNS-t oszt?

Kliensen ipconfig /flushdns .....

[ Szerkesztve ]

Switch Tax

ok rendben, akkor az a rész rendben van.
Ti ennyire megbíztok ismeretlen repokban?
Ugyan én is megtaláltam ezeket a megoldásokat, de én nem merem ezeket telepíteni. Nem vonom kétségbe a hatékonyságát, se az emberi jó indulatot, és biztos minden király. De én az ilyen megoldásoktól valamiért idegenkedek. Valahogy nekem nincs bizodalmam olyan megoldásokban, amit a gyártó hivatalosan nem támogat. Inkább, más megoldásokat keresek, amit egy adott gyártó támogat. Tudom sok embernek ez fura, és mindenre van ellenpélda. De valahogy nincs bizodalmam ezekben a megoldásokban. Főleg nem egy router esetében. Akkor inkább mögé rakok egy USG-t, és abban bekapcsolom az IPS/IDS-t ami a sebesség rovására mehet. Bár, ott is a PRO-ban sokkal több szűrési lehetőség van, mint a 3P esetében. De gondolom, ez az eszköz teljesítménye miatt van.

Hogy érted, hogy nem támogatja? Ezeket mind te is megcsinálhatnád kézzel egyesével, az ebben a repoban lévő telepítő csak ebben segít, hogy helyetted beállítja a dolgokat.

Switch Tax

ipconfig /flushdns már volt, nem segített.

Nem tudom, hogy számít-e, de a windows ipconfig /all ezt írja ki:
Windows IP Configuration
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.local

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . : mydomain.local

DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.10(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 193.110.57.4
193.110.56.8

[ Szerkesztve ]

Úgy hogy nincs benne alapban, tehát ha ezeket telepíted, és most "Feltételes módban" bármi gond, probléma, merül fel, ami miatt az eszköz többet nem indul el, tönkremegy stb... Akkor a gyártó ezért felelősséget nem vállal. Tehát az rendben van, hogy mindez az orruk előtt történik, de ... szerintem érted mire gondolok.

Nem értem, de szerintem te sem. Inkább nézz bele a fájlokba, ott van githubon, minden teljesen nyíltan. Nem fogja elrontani az eszközödet, és nem is fog kecskét áldozni éjszaka a routered. Nem lesz valami szekta tagja.

Ha nem bízol ilyenben azt lehet nyugodtan. Mint mondtam ezt kézzel te is össze tudod rakni magadnak.

Kövi: Milyen DNS szerver van beállítva a gépen? A router címe, de csak a router címe?

set system name-server 193.110.57.4
set system name-server 193.110.56.8

Meg ezeket is kivenném, a system name server csak saját maga legyen. És az is csak IPv4-en, hacsak ezt nem indokolja más...

[ Szerkesztve ]

Switch Tax

A router címe: 192.168.1.1

Csak próbából, beírtam, hogy:

set service dns forwarding blacklist domains include index.hu

És DNS_PROBE_FINISHED_NXDOMAIN-re jön vissza a https://index.hu/...

szerk.: Fájlban pedig így kell megcsinálni, ezt nem próbáltam: [link]

[ Szerkesztve ]

Switch Tax

Köszi, jaja, ezt is próbáltam és nem jó. De egyébként mobilról és a gépről is néztem már az oldalt és bejön.

Tehát valami a routeren nem jó még.
A name szerverek beállítva:
show configuration commands | grep name-server
set interfaces ethernet eth0 pppoe 0 name-server auto
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set system name-server 193.110.57.4
set system name-server 193.110.56.8

A blacklist bekapcsolva:
show configuration commands | grep blacklist
set service dns forwarding blacklist disabled false
set service dns forwarding blacklist dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains include index.hu

A DNS forwarding beállítva:
set service dns forwarding listen-on eth1
set service dns forwarding listen-on eth2
set service dns forwarding listen-on eth0
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set service dns forwarding options bogus-priv
set service dns forwarding options domain-needed
set service dns forwarding options domain=mydomain.local
set service dns forwarding options enable-ra
set service dns forwarding options expand-hosts
set service dns forwarding options localise-queries
set service dns forwarding options strict-order
set service dns forwarding system

fingom nincs.

na, ez lehet az ok, hogy hiába van az ethernet kártyának megmondva a DNS:

a gép nem találja a domain-t:

Megvan az OK: a lokál vírusirtó, mert ha kikapcsolom és csinálok egy böngésző cache törlést, akkor nem jön be az oldal:

[ Szerkesztve ]

Izé, mi a tervet ezzel a mydomain.local-lal?

Illetve, milyen csoda vírusirtót használsz?

"What is the most important thing in a woman?" - "The soul."

(1) A mydomain.local a dns forwardinghoz kell, itt találsz még infót erről.

(2) Avast

[ Szerkesztve ]