» Общие вопросы по FreeBSD

Привет всем.
Поднял днс-сервер Unbound для блоирования сайтов по SSL.
Теперь если набрать https://vk.com браузер бесконечно грузит страницу, а я хочу чтобы выдавалась страница с ошибкой. Никто случаем не знает в интернете сайт с 404-ой ошибкой?
И еще вопрос, я, как администратор, тоже не могу зайти на сайт. Можно ли как-то настроить unbound чтобы с моего адреса он слал всегда рекурсивные запросы.

Ichigo2

Цитата:

Теперь если набрать https://vk.com браузер бесконечно грузит страницу, а я хочу чтобы выдавалась страница с ошибкой. Никто случаем не знает в интернете сайт с 404-ой ошибкой?
И еще вопрос, я, как администратор, тоже не могу зайти на сайт. Можно ли как-то настроить unbound чтобы с моего адреса    он слал всегда рекурсивные запросы.

Злой вы. Себе хотите а другим не даете.
Не решается это средствами DNS, проще всего делается через прокси сервер с фильтрацией.
Я вообще не понимаю как можно закрыть https через DNS.

goletsa
Цитата:

Я вообще не понимаю как можно закрыть https через DNS.

простейшая и наираспространённейшая ошибка начинающих "резателей".
DNS https://vc.com = 127.0.0.1
Вот и "зарезали".... тоьлко народ давно не глупый и по IP ходить начинает, или через "яндекс".

gryu

Цитата:

DNS  https://vc.com = 127.0.0.1  

А где вы протокол укажите в DNS?
Там нет таких записей.

goletsa

Цитата:

Злой вы. Себе хотите а другим не даете.

Начальство поставило задачу закрыть соцсети и развлекательные ресурсы - пожалуйства. За техникой дело не встанет.


Цитата:

Не решается это средствами DNS, проще всего делается через прокси сервер с фильтрацией.

Разумеется прокси сервер Squid 3 у меня есть и он успешно банит сайты из черного списка. Однако прямой бан соцсетей можно обойти использованием https, потому что squid не мониторит трафик на 443 порту. Пытался запихнуть через ipfw 443 порт в squid - не взлетело.


Цитата:

Я вообще не понимаю как можно закрыть https через DNS.

Цитата:

А где вы протокол укажите в DNS?
Там нет таких записей.

mpd5 при подключении клиентов раздает им адреса DNS-серверов, т.е. адрес моего unbound, а дальше я сам решаю какой ip-адрес им дать. https уже не играет никакой роли, т.к. сначала dns возвращает ip-адрес ресурса, а только потом браузер пытается установить соединение на 443 порт.

gryu

Цитата:

Вот и "зарезали".... тоьлко народ давно не глупый и по IP ходить начинает, или через "яндекс".

Вкратце:
acl urltoip url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
http_access deny urltoip

Ichigo2

Цитата:

Вкратце:
acl urltoip url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
http_access deny urltoip

Резонно.
А через всякие яндексы/майлру/гуглы? Те давно предоставляют услуги входа в соцсети и мессаджры "через себя". Как раз с целью обхода корпоративной блокировки. (по поводу механизма не в курсе ибо не интересует данный контент)


Добавлено:

Цитата:

Однако прямой бан соцсетей можно обойти использованием https, потому что squid не мониторит трафик на 443 порту.

Понятно что сквид привычен. Но может тогда проще подумать на тему другого прокси?

gryu

Цитата:

А через всякие яндексы/майлру/гуглы?

Нашел замечательный редиректор - DansGuardian. Позволяет блокировать страницы по содержимому. Теперь можно указать, например, ключевое слово "ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек." взятое с главной страницы - и ни какие анонимайзеры уже не помогут.
Я пожалуй остановлюсь только на dns.

доброе время суток,

есть сервер на FreeBSD 7.1 настроен как:
1. шлюз
2. почта

им много лет никто не занимался, в итоге большая часть функция КАК ТО отключена, не факт что правильно, не все правила грузятся из ipfw (если посадить школьников за сервак, дать им root и сказать делайте все что хотите - будет то что у меня есть сейчас)

я сам не особо мастер в FreeBSD и прошу рассказать / показать как грамотно вырубить все что связано со шлюзом не тронув почту

skynet120
Не ясно, тебе нужно выключить шлюз или ipfw?
IPFW - это фаервол, а шлюз это все таки несколько другое.

По IPFW:
В /etc/rc.conf найди строчку:
firewall_enable="YES"
и поставь там "NO"
Это нужно, чтоб при перезагрузке ipfw не стартовал, теперь выключим его без перезагрузки:
/etc/rc.d/ipfw stop

Чтоб выключить шлюз (т.е. маршрутизацию пакетов с одного сетевого интерфейса на другой):
В /etc/rc.conf найди строчку:
gateway_enable="YES"
и поставь там "NO"
Теперь выключим маршрутизацию без перезагрузки:
sysctl net.inet.ip.forwarding=0

res2001
спасибо

Цитата:

Чтоб выключить шлюз (т.е. маршрутизацию пакетов с одного сетевого интерфейса на другой):
В /etc/rc.conf найди строчку:
gateway_enable="YES"
и поставь там "NO"
Теперь выключим маршрутизацию без перезагрузки:
sysctl net.inet.ip.forwarding=0

Еще остался nat, предположительно организованный (судя по возрасту) средствами natd, смотрим в /etc/rc.conf что-то типа
Код: natd_enable="YES"

Привет.
Почему-то сквид не пускает трафик с 127.0.0.1 в интернет.
В логе:

Код: 1411383480.442 2 127.0.0.1 TCP_MISS/403 3644 GET http://www.msftncsi.com/ncsi.txt - HIER_NONE/- text/html
1411383480.444 11 127.0.0.1 TCP_MISS/403 3741 GET http://www.msftncsi.com/ncsi.txt - HIER_DIRECT/127.0.0.1 text/html

Ichigo2
За сквид не скажу, т.к. не юзал его никогда, но вообще с адреса 127.0.0.1 ты никуда не сможешь попасть в принципе, не только в интернет. Никуда кроме этого же компьютера, т.е. на этот же адрес 127.0.0.1. Даже в локальную сеть предприятия или в домашнюю сеть.
127.0.0.1 - специальный адрес, выделенный для localhost, все компы в сети или в интернете считают, что localhost - это они сами и никуда более этот адрес маршрутизировать не будут.

На любом хосте, подключенном к интернет, кроме адреса 127.0.0.1 должен быть и другой IP адрес. Вот с другого адреса и надо ходить в инет, а не с localhost.

Вообще, это базовые понятия о работе IP сетей (и интернет в частности), ты пытаешься что-то сделать со сквидом на FreeBSD, а таких вещей не знаешь. Странно.

res2001
щито-то Вы не то несёте сударь-с. Если адрес прокси указан в виде 127.0.0.1 то с какого ip по Вашему клиент будет общаться с проксей?

Ichigo2
Вообще-то squid Вас пустил, и передал ответ удалённого сервера клиенту — 403.
А можно листинг всего конфига? В тэге [no][more][/more][/no], пожалуйста.
Если Вы пытаетесь настроить squid в режиме transparent и всё сделали для локальной сети что бы работало и проблемы только на localhost'е, то смотрите правила ipfw, похоже что там двойной forwarding или петля из правил.

p.s. На будущее — по squid есть отдельная тема — SQUID (только под *nix)

Alukardd
В случае, если локалхост является и проксей для самого себя, то, конечно, обращение к проксе будет через 127.0.0.1 и это будет правильно. Про такой вариант не подумал. Хотя сейчас вижу по тексту вопроса, что описывается именно такая конфигурация.
Ichigo2 прошу меня извинить за наезд.

Alukardd

Цитата:

p.s. На будущее — по squid есть отдельная тема — SQUID (только под *nix)

Последовал вашему совету.

FreeBSD 10.0 установил rsync pkg install rsync. Нужно запускать rsync --iconv пишет rsync: --iconv: unknown option. Набираю pkg info rsync выводит Options ICONV : off. Как включить поддержку iconv?

niko7
Собрать rsync с портов.

Возникла необходимость просматривать трафик в локальной сети. Каким приложением на freebsd можно это реализовать?

вопрос новичка, в свежеустановленной версии 7.0 (я книгу читаю про 7 версию, поэтому на ней и учусь) приглашение шелла tcsh выглядит как ">"
хотя перед этим для ознакомления ставил freebsd 10 и там приглашение выглядит "vasya@computer:~$"
хочу так же и в 7 версии, стал читать что надо в etc/csh.cshrc прописать set prompt="%n@%m [%/]%# "
прописал, вообще > пропал, дописал set promptchars="$#" и ничего
убрал set promptchars="$#" и и set prompt=%# все равно даже скобки нету

Посмотрел в freebsd 10, там etc/csh.cshrc пустой

ничего не пойму, почему нет значка пользователя и рут пользователя

p.s. при прописывании этого в каталог ~ в файле .cshrc начинает работать, но это для каждого юзера надо прописывать, почему глобально прописываю тоже самое и нет значки

p.p.s ага разобрался
set prompt = "%n@%m:%~ %# "
set promptchars = "%#"

FreeBSD 10.1 на VirtualBox.

Можно ли задать разрешение имени хоста если IP динамический?

Сейчас сделаны такие настройки:

Код:
# cat /etc/rc.conf
hostname=""
ifconfig_em0="DHCP"
...

# cat /etc/dhclient.conf
# $FreeBSD: release/10.0.0/etc/dhclient.conf 85575 2001-10-27 03:14:37Z rwatson $
#
# This file is required by the ISC DHCP client.
# See ``man 5 dhclient.conf'' for details.
#
# In most cases an empty file is sufficient for most people as the
# defaults are usually fine.
#
Interface "em0" {
supersede host-name "ws1.me.example.com";
append domain-name-servers MY.ISP.DNS.IP, 8.8.8.8;
}

# cat /etc/hosts
# $FreeBSD: release/10.0.0/etc/hosts 109997 2003-01-28 21:29:23Z dbaker $
#
# Host Database
#
# This file should contain the addresses and aliases for local hosts that
# share this file. Replace 'my.domain' below with the domainname of your
# machine.
#
# In the presence of the domain name service or NIS, this file may
# not be consulted at all; see /etc/nsswitch.conf for the resolution order.
#
#
::1 localhost localhost.me.example.com
127.0.0.1 localhost localhost.me.example.com
#
# Imaginary network.
#10.0.0.2 myname.my.domain myname
#10.0.0.3 myfriend.my.domain myfriend
#
...

mark74
Укажи имя хоста на стороне DHCP сервера, в опциях, отфильтровав хост по MACу.
Но тебе то необходимо правильное разыменование имени в IP в ДНС запросах.
Если ДНС твой, то можно все настроить статически, а можно включить dynamic dns.

mark74
Всё может быть проще. DHCP чей? Пропиши там по арпу выдачу на твой сервер всегда одного IP по МАС и пропиши означенный IP на сервере.

Добавлено:
Да и вообще ... Сделай выдачу IP с 50 до 250 (к примеру), остальное будут статические IP котторые ты собссно и раздашь серверам

спасибо, народ!
Заменил всё на статику.


Мне казалось, что с DHCP может быть красивее. Но так и не нашёл способа. Может в сторону named надо было смотреть?..

mark74

Цитата:

Может в сторону named надо было смотреть?

И это то же, я писал выше про dynamic dns. Оно тут в связке должно работать - DHCP сервер/клиент, DNS сервер/клиент. Но для сервера статика надежнее.

mark74

Цитата:

В итоге получаем:

фмефно
mark74, сделай всё по-человечачьи, как res2001 советует..

mark74


Цитата:

Мне казалось, что с DHCP может быть красивее. Но так и не нашёл способа. Может в сторону named надо было смотреть?..

в сторону dnsmasq надо было смотреть, куда проще коктейля из bind и isc dhcp

xuJI9k
Вроде никто и не говорил именно про
Цитата:

bind и isc dhcp

Это уж дело вкуса, что использовать, dnsmasq - то же самое, только в одном флаконе.

res2001
mark74, писал:

Цитата:

Может в сторону named надо было смотреть?..

dnsmasq настраивается на много проще, работает из каропки.

полностью согласен