[Risolto] [Proposta] Server DNS pubblico per organizzazione aziendale

[Barbo91]

Ciao a tutti, vi spiego il mio problema

Sto lavorando a un progetto, sto realizzando un DNS Server con Ubuntu 10.04 LT con un servizio di Bind9. Sulla macchina non è presente nessun altro servizio, voglio una macchina abbastanza pulita, stavo pensado di installare anche apache perchè potrebbe risultarmi utile.
Lo scopo di questo DNS server è far collegare tutti i negozi con PC fissi forniti da noi a questo server DNS in modo da poter gestire in maniera centralizzata la navigazione web degli utonti

Vi spiego la situazione, ho un client collegato al server di prova, sul server ho impostato come DNS se stesso e non ho nessun tipo di forwarding attivo. Se disattivo Bind ovviamente non funziona niente, ma se lo attivo sia il server che il client riescono a navigare!!! (come è possibile??  >:()

Ho eliminato anche i root server da bind, ma il dns continua magicamente a rispondere alle query sia del client che di se stesso!!! Cosa posso fare???
Tra l'altro mi piacerebbe anche capire se esiste il modo di salvare i record in un database mysql importando da un altro server DNS, oppure se conviene lasciare la navigazione aperta e andare poi a "censurare" certi siti web...

Grazie in anticipo

[inc0]

Ma vuoi filtrare solo la navigaizone web a certi siti e permettere comunque altro traffico tipo ssh, vpn, msn ecc oppure vuoi limitare tutto, compresa la navigazione e consentirla solo verso alcuni siti?

[Barbo91]

Devo bloccare il più possibile... o meglio, devo aprire solo cio che mi serve!!!

devo scaricare un modulo tipo dans guardian per bloccare il tutto e un qualche tipo di firewall...
Se potete aiutarmi perchè oggi ci sono diventato matto!!!

[inc0]

Lo scopo di questo DNS server è far collegare tutti i negozi con PC fissi forniti da noi a questo server DNS in modo da poter gestire in maniera centralizzata la navigazione web degli utonti

Non mi è ben chiaro se i pc di cui parli sono nella stessa lan o meno per cui:
-Stessa Lan
Configuri il server dns come gateway, gli installi iptables e cui lui filtri tutto poi abiliti cosa vuoi far uscire. Con iptables puoi fare transparent proxy e con squid + altri software puoi filtrare i contenuti che i tuoi utenti vedono.

-Non nella stessa lan
Ti conviene fornire i pc configurati in modo tale che si connettano in vpn al tuo server e che girino tutto il traffico nella vpn così potrai trattarli come pc del caso precedente.


Probabilmente ci sono soluzioni migliori ma al momento non me ne vengono in mente.

[Barbo91]

Allora mi spiego meglio:

I computer non si trovano nella stessa LAN ma sono in giro per l'italia/europa e sono già connessi con VPN (non so come siano configurati precisamente dato che non ho lavorato io a quel progetto).
Quello che mi serve è semplicemente limitare la navigazione a certi siti web, avevo pensato di usare un proxy ma ho pensato che 300+ client connessi allo stesso proxy potevano crearmi problemi di banda e oltretutto sarebbe stato facile "sorpassare" il blocco imposto (installando un altro browser ad esempio)

Ora mi ritrovo in questa situazione, ho un DNS server di prova, macchina Ubuntu server con Bind9.
Non so perchè ma il DNS server funziona già e risponde alle richieste. Ho impostato i forwarder, forse per questo va, ma non riesco a trovare il file che usa bind come database (o cache) per la risoluzione di indirizzi-nomi... Ora devo trovare un modo per fare un blacklist o whitelist in modo da limitare il tutto, ho provato a creare una zona forward su un indirizzo con una pagina di errore ma non funziona... Sto diventando pazzo...

[inc0]

IMHO la soluzione migliore è un transparent proxy + squid + dansguardian.
Se vuoi per forza usare il metodo dns, dovrei fare qualche esperimento anche io: non ho mai implementato una cosa simiel.

[Barbo91]

IMHO hai ragione tu, ma nell'opinione dei miei capi no!  >:( >:( >:(

Anche io sarei per un proxy ma non vogliono, quindi ora il mio obbiettivo è creare un DNS con delle limitazioni, e non so come muovermi... Anche perchè è il primo server che tiro su, ho un esperienza scolastica e da smanettone a casa al momento! Se riesci a darmi del supporto sono anche in chat IRC su ubuntu-it

Cmq ora non so bene cosa sia un trasparent proxy, do un occhiata, cmq il problema sarebbe la banda occupata dalla connessione del proxy

MOD: ho googlato trasparent proxy e il problema rimane, troppe connessioni sullo stesso server che occupano banda... Devo per forza implementare un DNS -.- aiutoooo xD  :'(

[inc0]

Transparent proxy: le connessioni http/https (e volendo anche altre) vengono fatte passare in modo trasparente all'utente attraverso il proxy.
La banda occupata dal proxy è quella che usano i tuoi utenti con il vantaggio che il proxy farebbe caching ovvero non scaricherebbe nuovamente da internet i contenuti che ha già in memoria quindi risparmieresti anche banda.

[Barbo91]

Faccio un esempio: 40 client stanno scaricando e altri hanno un traffico basso-normale tutti connessi allo stesso proxy aziendale... Secondo me un rallentamento a livello di rete si sente, mentre se 300+ client sono connessi allo stesso DNS non ci dovrebbero essere problemi del genere...

[inc0]

Facciamo un esempio: pippo.it offre un sito web (porta 80), ssh (porta 22) ed http (porta 443).

Se tu filtri via dns, nessun servizio offerto da pippo.it sarà accessibile dalla tua rete interna dato che il tuo dns non risolverà correttamente pippo.it Ma cosa succederebbe se avessi bisogno di accedere in ssh a pippo.it ma volessi inibire l'accesso al sito web (sia porta 80 che 443)? Tramite dns non puoi farlo.

[Wilson]

Mi sfugge una cosa: ma questi negozi navigano tramite la VPN o usano direttamente la loro connessione?
E in ogni caso, come li convinci a usare il tuo DNS invece di quello del loro provider (o di google, se l'utente ha un minimo di capacità?).

[Barbo91]

Mi sfugge una cosa: ma questi negozi navigano tramite la VPN o usano direttamente la loro connessione?
E in ogni caso, come li convinci a usare il tuo DNS invece di quello del loro provider (o di google, se l'utente ha un minimo di capacità?).

i negozi sono connessi con VPN al mio reparto in modo da poter fare assistenza alle macchine (che noi forniamo ai negozi). Ogni negozio ha una sua connessione con provider proprio.

li convinco a usare il mio DNS impostandolo e limitando il loro utente xD politiche aziendali...

[Wilson]

Capito.
Così si capisce anche come mai volete usare il dns e non un proxy.
Ci sarebbe pure il controllo parentale, volendo, se c'è un modo comodo per gestirlo centralmente sul SO dei client; così si eviterebbe anche l' effetto collaterale di rendere impossibile la navigazione web quando la VPN non è attiva (cosa che non so quanto sia importante per voi).


ps: purtroppo le mie competenze in fatto di dns sono simili alle tue: posso contribuire solo con consigli di massima.

[Barbo91]

Capito.
Così si capisce anche come mai volete usare il dns e non un proxy.
Ci sarebbe pure il controllo parentale, volendo, se c'è un modo comodo per gestirlo centralmente sul SO dei client; così si eviterebbe anche l' effetto collaterale di rendere impossibile la navigazione web quando la VPN non è attiva (cosa che non so quanto sia importante per voi).


ps: purtroppo le mie competenze in fatto di dns sono simili alle tue: posso contribuire solo con consigli di massima.

Si sinceramente non so neanche perchè mi abbiano affidato un compito del genere guarda secondo me son degli incompetenti!
non vogliono aggiungere niente sui client vogliono centralizzare con un server...
Alla fine secondo me il proxy resta l'idea migliore in quanto NON ESISTE MODO di gestire decentemente un DNS server... Cosa devo fare inserire tutti i record a mano?!? Mah... sono veramente stufo.
Se qualche buon'anima ha consigli/suggerimenti per questo benedetto progetto postate qualcosa... Di guide ne ho provate tante ho provato anche a usare powerdns con db mysql ma... cambia poco da bind...

[inc0]

Andando con ordine, dato che i pc ai negozi li fornite voi, basta che configuriate iptables per fare in modo che ogni richiesta dns in uscita (identificata dalla porta 53) venga rediretta verso uno specifico indirizzo ip: in questo modo tutti useranno il vostro dns per risolvere i nomi.
Detto questo rimane il dns: c'è da capire come configurarlo per permettere la risoluzione solo dei domini che vi interessano: a tal proposito, al momento, non ho idee

[Barbo91]

carissimi intanto grazie per le risposte tempestive.
a ip tables ci avevo già pensato, ma questo benedetto DNS non riesco a implementarlo, non capisco come funziona (e dir che l'ho studiato sia a scuola sia in questi giorni, DNS e Reverse). L'unica cosa che riuscirei a fare è un bel proxy configurato a dovere ma non posso fare altro...
Bind è difficile da configurare e non capisco veramente niente -.-
devo dire che iniziare a lavorare così è veramente una schifezza... uff...

[Wilson]

Qui c'è qualcosa per bind: http://npr.me.uk/dnsextras.html

È per win e lo scenario è diverso, ma riesce a censurare la pubblicità usando bind: potrebbe fare al caso tuo.

Resta il problema di avere una lista di siti vietati, ma dovrebbero trovarsene, in rete.

L'altra possibilità è usare i sistemi di controllo parentale già presenti sui sistemi operativi (cos'hanno?) dei client (vista la configurazione degli utenti dovrebbero essere efficaci), dovrebbero avere un modo per aggiornare le liste di siti vietati e ammessi, se si riesce a farlo puntare su un vostro server...

[Barbo91]

i client sono tutti windows xp oppure 7... Dipende dal modello.
Conta che sia che fai una blacklist o una whitelist risulta scomodo
I DNS sono in continuo aggiornamento, e dover aggiungere manualmente i record diventa un lavoro assurdo e inutile, se potessi impostare un forwarder e lasciare lavorare lui sarebbe molto meglio!!! Però da bind non capisco come fare a "dirgli" di non andare su quel dominio, di cambiare il record e di non eseguirlo e di non inviarlo al forwarder... boh guarda secondo me è una cagata o si fa un proxy ma questa soluzione sec me è http://www.youtube.com/watch?v=-Koe-L3LDGU

[Wilson]

Questi sembrano riuscirci (c'è anche un link a un sito che fornisce blacklist aggiornate): http://groups.google.com/group/comp.pro ... 383a?pli=1

Da quel che ho capito si dovrebbe impostare bind aggiungendo una "zona" per la quale invece di cercare la risposta da un dns esterno deve dare la sua (che potrebbe essere l'inoltro a una pagina web aziendale che spiega la cosa o un semplice "dominio inesistente").
A logica dovrebbe essere il suo comportamento base, però non saprei dirti bene che files modificare (a parte quanto scritto nei link che ho trovato, che con un po' di studio del manuale di bind potrebbe essere sufficiente)

[inc0]

Wilson ha azzeccato
Crei un file di zona "fake" che risolve ip locale o, addirittura, 127.0.0.1 oppure, come suggerito da wilson, fai risolvere un ip della lan su cui c'è un webserver con una pagina che spiega il motivo di quella risoluzione e poi, per ogni dominio che NON vuoi venga risolto correttametne, crei una zona sul tuo Bind aziendale che ha come file di zona il file che hai creato prima.

Ora però, almeno a me, sorge un dubbio: è fattibile, nel tuo caso, lasciare passare tutte le risoluzione e blacklistarle i domini man mano OPPURE vorresti blacklistare tutto e lasciar passare solo alcune risoluzioni?