[linux] modifikacia DNS response
Jan Ostrochovsky
ostrochovsky na rec.uniba.sk
Neděle Březen 5 23:19:51 CET 2006
Zdravim Vas,
potreboval by som efektne riesenie, ako na linuxovom routeri/firewalle
(alternativne na DNS serveri) menit resolvnutu IP adresu v DNS odozve,
ale len niektorym IP adresam vo vnutri siete. Touto formou chcem
presmerovat neregistrovane IP adresy na niektoru z mnoziny povolenych IP
adriest (intranetove stranky, kde najdu pokyny, ako sa zaregistrovat, a
pod.).
Algoritmus by mal byt nasledovny:
1. Spracuj DNS response ubalenu v IP pakete.
2. Ak IP adresa prijemcu nie je medzi registrovanymi, tak zmen
resolvnutu IP adresu na urcenu spravcom lokalnej siete. (S vynimkou
resolvnutych IP adries, ktore patria do mnoziny schvalenych spravcom
siete, ktore nebudu menene ani neregistrovanym IP adresam.)
Ucinok to ma mat ten, ze ked niekto neregistrovany napr. bude chciet ist
na pobox.sk, tak mu namiesto 212.47.13.16 DNSko (resp. firewall
modifikujuci jeho odpovede) vrati adminom urcenu IP adresu.
V tomto pripade nie je vhodne robit to na baze modifikacie cielovej IP
adresy odchadzajuceho IP paketu (napr. cez DNAT), nakolko ACL na portoch
aktivnych prvkov bude filtrovat pakety odchadzajuce na nepovolene IP
adresy, a schvalena bude len vyssia uvedena mnozina (bod 2.) + vybrane
DNS servery, takze take ramce sa na linuxovy firewall ani nedostanu.
Cielom tohto riesenia je ulahcit neznalemu pouzivatelovi, ktory nema
natvrdo nastavenu cudziu povolenu IP adresu, zistenie, ako sa moze
zaregistrovat a aktivovat si pripojenie.
Vopred dakujem za hocijake hinty.
ostry
--
Jan Ostrochovsky, technicky spravca IIKS
Areal v Karlovej Vsi Univerzity Komenskeho
telefon: +421 2 602 99 251, SIP: 11801 (v ramci UK)
Další informace o konferenci linux