[linux] modifikacia DNS response

[Jan Ostrochovsky]

Zdravim Vas,

potreboval by som efektne riesenie, ako na linuxovom routeri/firewalle 
(alternativne na DNS serveri) menit resolvnutu IP adresu v DNS odozve, 
ale len niektorym IP adresam vo vnutri siete. Touto formou chcem 
presmerovat neregistrovane IP adresy na niektoru z mnoziny povolenych IP 
adriest (intranetove stranky, kde najdu pokyny, ako sa zaregistrovat, a 
pod.).

Algoritmus by mal byt nasledovny:

1. Spracuj DNS response ubalenu v IP pakete.
2. Ak IP adresa prijemcu nie je medzi registrovanymi, tak zmen 
resolvnutu IP adresu na urcenu spravcom lokalnej siete. (S vynimkou 
resolvnutych IP adries, ktore patria do mnoziny schvalenych spravcom 
siete, ktore nebudu menene ani neregistrovanym IP adresam.)

Ucinok to ma mat ten, ze ked niekto neregistrovany napr. bude chciet ist 
na pobox.sk, tak mu namiesto 212.47.13.16 DNSko (resp. firewall 
modifikujuci jeho odpovede) vrati adminom urcenu IP adresu.

V tomto pripade nie je vhodne robit to na baze modifikacie cielovej IP 
adresy odchadzajuceho IP paketu (napr. cez DNAT), nakolko ACL na portoch 
aktivnych prvkov bude filtrovat pakety odchadzajuce na nepovolene IP 
adresy, a schvalena bude len vyssia uvedena mnozina (bod 2.) + vybrane 
DNS servery, takze take ramce sa na linuxovy firewall ani nedostanu.

Cielom tohto riesenia je ulahcit neznalemu pouzivatelovi, ktory nema 
natvrdo nastavenu cudziu povolenu IP adresu, zistenie, ako sa moze 
zaregistrovat a aktivovat si pripojenie.

Vopred dakujem za hocijake hinty.

ostry

-- 
Jan Ostrochovsky, technicky spravca IIKS
Areal v Karlovej Vsi Univerzity Komenskeho
telefon: +421 2 602 99 251, SIP: 11801 (v ramci UK)