さらにパケットを転送するミニPCにはデフォルトのDebian 9がインストールされています。
ドメインごとにホストをブロックできるようにしたいです。つまり、転送されたDNSタイプのパケットが要求された場合(youtube.comなど)、そのパケットを破棄する必要があります。私はこれをiptablesルールに入れる方法があることを知っていますが、これは推奨される技術ではありません。
Googleの8.8.8.8 DNSサーバーにハードコードされたコンピュータがほとんどないため(IoTデバイスはほとんどありません)、dnsmasqまたはバインディング設定が機能しないかどうか心配です。
次の方法はありますか?
- 私のdnsmasq / bindを介して強制的にDNSを確認する(ブラックリストを設定できます)
- iptablesなしで「youtube.com」を含むDNS要求パケットを破棄する
どんなアイデアがありますか?
答え1
iptables
DNSパケットの内容だけでは決定を下すことはできず、パケットヘッダー内のアドレスとポート番号でのみ決定を行うことができます。少なくともiptables拡張が必要です。iptables-ext-dnsなど。
しかし、私の考えでは、あなたがしたいと思います。DNS透明プロキシ:コンパクトコンピュータを次のように設定できます。リダイレクトポート53(UDPまたはTCP)に送信されたすべての発信パケットは、選択したDNSサーバーに送信され、必要に応じて応答を処理するように構成できます。本質的に、コンパクトなコンピュータを通過するすべてのDNSトラフィックに対して中間者攻撃を実行しています。
また、次のようにDNSトラフィックを暗号化するように設計された新しいテクノロジがあることにも注意する必要があります。HTTPSベースのDNS(Firefox 62以降でサポートされています)またはTLSによるDNS。
クライアントがそれを使用している場合、宛先ポート53を使用した単純なトラフィックリダイレクトはこれらの要求をキャプチャしません。トラフィックをキャプチャするための追加の手順を実行しても、サーバー上の明白なDNS-over-whatサーバーが予想とは異なります。証明書はあなたの操作行為を公開します。
さらに、あなたは知る必要がありますYouTubeはyoutube.comだけでなくyoutu.beや他のドメインからもアクセスできます。