Como bloquear sites pelo DNS (BIND9) Response Policy Zones

Ouvir tutorial

Neste tutorial vamos aprender a configurar um DNS Response Policy Zones (RPZ) para que retornem resultados de resoluções de nomes modificados de uma foma simples pensando em grandes escalas, pois parece que no Brasil vai virar modinha solicitar que os provedores fiquem bloqueando sites. Diga olá a censura!.

Não irei ensinar instalar o bind até porque já tem tutorial explicando aqui no blog.

Se você deseja configurar que toda vez que o domínio bloqueado for traduzido, traduza um IP da sua rede qual tenha um serviço web rodando com alguns dizerem por exemplo, será necessário configurar um subdomínio no seu DNS Autoritativo. Exemplo:

Exemplo “umbrella” , ou então apontando para os IPs de localhost mesmo 127.0.0.1 e ::1

Agora basta criar uma zona chamada rpz.zone em seu /etc/bind/named.conf.local.

Criaremos o diretório rpz, bem como o arquivos de hosts quais serão bloqueados

Se você está resolvendo para subdomínio exemplo umbrella.cursodns.com.br, crie o arquivo da seguinte forma:

Ou se só ta querendo jogar para o infinito e além, aponte para localhost mesmo.

Sendo que para cada domínio que você deseja bloquear, siga o formato:

Assim qualquer subdomínio (*).domino.com seja traduzido sempre irá ser apontado para seu IP ou Localhost.

Agora adicione o response-policy dentro do seu /etc/bind/named.conf.options

Deve ficar dentro de options { … } adcione:

Se usou os ips de localhost use:

Altere as permissões do diretório /var/cache/bind/rpz/ para que o bind consiga ler o mesmo e reinicie o serviço.

Testes

Agora faça um teste para ver o que seu servidor ira traduzir corretamente:

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Rudimar Remontti

Trabalho atualmente como Gerente de Redes em um Provedor de Internet no Rio Grande do Sul.

Você pode gostar...

5 Resultados

  1. Elias Moreira disse:

    Como sempre o conteúdo é rico em conhecimento. Parabeéns!

  2. Marcelo Gondim disse:

    Quem quiser fazer com o unbound precisa ser versão >= 1.10.0. No unbound.conf você habilita assim:
    Carregando o respip:

    Ainda no unbound.conf:

    Cria o arquivo /etc/unbound/rpz.block.hosts.zone conforme esse conteúdo de exemplo:

    Pronto só reiniciar o unbound.

  3. Herivaldo Junior disse:

    Parabéns pelos conteúdos!
    Sempre acompanho, e sempre fico esperando, para poder ver o que de bom você traz de novidade, para poder aprender mais com o que você ensina.

  4. Rodrigo Steinhorst disse:

    Top!
    ótimo material.

  5. Cláudio Lemes disse:

    show de bola Rudimar mais uma vez compartilhando conhecimento.

Deixe um comentário

O seu endereço de e-mail não será publicado.