DNS封鎖Facebook技術

版主: Steve

DNS封鎖Facebook技術

文章門神 » 週二 6月 18日, 2013年 12:13 pm

DNS封鎖Facebook技術

公司的防火牆只能擋IP
不能擋FQDN
該怎麼封鎖Facebook/Line/Dropbox…
首先我們需要了解電腦上網的原理
IP/Submask/Gateway和DNS
前三項是上網要素的絕對值
無法更動(除非是AnyRoute,啥米是AnyRoute可以洽詢我們公司各區服務處)
所以MIS/IT人員可以動手腳的部份是在 DNS
我們簡單說明打開一個Facebook網頁的動作原理
PC一打開網頁
他會先問DNS Server
Hello DNS Server
請告訴我 http://www.facebook.com 的IP在那邊
我要打開他的網頁
所以當知道網路是這樣的運作方式之後我們可以掌控的是DNS Server的查詢和回應
所以我們只要把我們當成是root DNS就可以了
圖檔

回應WWW的URL或是FQDN方法很多
DNS/DNS Proxy/LMHOST…都是
我們先示範DNS Proxy方式
圖檔
如果您的Firewall防火牆設備有像我們公司所用的MH/MS/MHG/UTM系列一樣
有DNS Proxy功能
在您DHCP Server配發DNS Server IP時
配發Firewall的IP
或是自定DNS Server IP
圖檔

系統管理 > 組態 > 主機名稱表
自定一筆
<a href="http://www.facebook.com/">www.facebook.com</a> &gt;&gt; 127.0.0.1
127.0.0.1在定義上是指向自己的IP

當然比較厲害的工程師可以架一個Web Server
Ip填入Web Server的IP回應他
[公司政策禁止連線該網址]
但是…
貴公司的Firewall防火牆可能連DNS Proxy的功能都沒有
這時後該怎麼辦
我們教簡單的方式
使用Windows 2003 Server 把DNS Server功能裝起來
當然您可以用其他系統都可以達到同樣的目地
比如BIND DNS server
Windows XP/7/8也有其他可以架設DNS Server的工具
DHCP Server配發DNS Server IP時候記得要改配發這一台DNS Server
當您架好Windows 2003 Server的DNS Server Service之後
您可以新增
Facebook.com的DNS 區域
圖檔

一樣自定一筆 http://www.facebook.com 指向127.0.0.1或是公司的Web Server
圖檔

這樣他查詢DNS
圖檔

就會是我們指定的IP
MIS/IT要記得把對外的DNS查詢封掉
只留這一台DNS Server可以對外
當然如果沒有DNS Server還有LMHOST的作法
但是要一台一台匯入
太麻煩了
還是架一台DNS Server最快
以上如果有其他問題
請洽本公司各區服務處
http://www.ublink.org
ps:求助順序請直接
(1)電洽 04-2260-5121 / 0963-685-121
(2)http://line.naver.jp/ti/p/%40xat.0000132120.jmw 技術客服 LINE
(3)問題請優先洽詢 help@ublink.org
Telegram 頻道 Channel https://t.me/ublinkorg 韌體更新發佈
其他線上聯絡方式,http://www.ublink.org/index.php/contact
頭像
門神
 
文章: 6265
註冊時間: 週五 12月 8日, 2006年 11:10 am
來自: 台中
送出感謝: 16
擁有感謝: 0 次

回到 Nusoft 應用問題區

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 8 位訪客

cron