-
GAMEPOD.hu
Ubiquiti hálózati eszközök - téma összefoglaló
Új hozzászólás Aktív témák
-
Kövi
csendes tag
válasz MasterMark #1543 üzenetére
Amikor ezt írtad: "Szerintem vedd fel static DNS-be a 0.0.0.0-ra mutatva." pontosan mire gondoltál?
-
MasterMark
titán
Webconfig-ban wizards - DNS host names. Itt felveszed statikusan, hogy a 0.0.0.0-ra oldja fel a DNS szerver annak a weboldalnak a címét. Így a kliens visszakapja, hogy 0.0.0.0 az oldal, és kiírja:
DNS_PROBE_FINISHED_NXDOMAIN
Ez ugye könnyen kijátszható, ha valaki elállítja a DNS szervert a routerről, ez ellen le kell tűzfalazni, hogy DNS kéréssel csak a router tudjon kimenni a netre.
szerk.: A youtube az HTTPS, úgyhogy azzal nem nagyon fog menni a webproxy-s megoldás.
szerk.2: A fenti az én kendácsolt megoldásom abból amiket már próbáltam. Szépen a DPI + tűzfal szabályokkal lehet megcsinálni. (Ilyet én még nem csináltam.)
[ Szerkesztve ]
Switch Tax
-
#19482368
törölt tag
válasz MasterMark #1553 üzenetére
És a rá fordított időt, energiát, egy VPN kapcsolat létrehozásával ki lehet kerülni.
-
#19482368
törölt tag
válasz MasterMark #1555 üzenetére
Igen, sajnos ez van.
Nincs tökéletes megoldás már napjainkban. Illetve, figyelni a forgalmat, és ha olyan van, akkor jól nyakon vágni az illetőt. -
rekop
Topikgazda
Ha a youtube-ot akarod tiltani, akkor az elég egyszerű DPI segítségével.
Engedélyezed, ha esetleg még nincsen:set system traffic-analysis dpi enable
set system traffic-analysis export enableLétrehozol egy saját DPI kategóriát, modjuk "drop_youtube" néven:
configure
set system traffic-analysis custom-category drop_youtube name youtube
commit
Nem kell megijedni, egy Unexpected duplicate application üzenetet ad vissza, ez csak azt jelenti, hogy a youtube egy másik DPI kategóriában már szerepelEzekután létrehozzuk a tűzfal szabályokat
set firewall name DROP_SITES default-action accept
set firewall name DROP_SITES rule 10 application custom-category drop_youtube
set firewall name DROP_SITES rule 10 action drop
commitBeállítjuk a szabályhoz az interface-t, és az irányt(ha erl3-ad van, és eth1 a lan)
set interfaces ethernet eth1 firewall in name DROP_SITES
És végül mentjük
commit; save; exit
Így elég sok lehetőség van a tiltásra, a tűzfal módosításával lehet akár időzíteni a szabályt, IP-re alkalmazni, stb...Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#19482368
törölt tag
Mondjuk amire nem jöttem rá, illetve nem tudom hogyan lehet megoldani, és hátha van valakinek megoldása rá az a DPI -ba való egyedi site felvétel.
Csak a pl kedvéért, én tiltani akarom a DPI keresztül, segítségével a prohardver.hu-t.
De a DPI-ban mint site nem jelenik meg. Akkor hogyan tudom megadni a DPI-nak, hogy ismerje fel, hogy utána tiltani, szabályozni tudjam.
És én mondjuk ezt nagyon hiányolom, hogy nem tudok felvenni egy pl custom kategóriát, amibe egyedi site tiltásokat tudok megadni. Mert hogyan tiltom, ha nem ismeri fel.Erre marad az IP-alapú tiltás, ami addig működik amíg nem változik az IP, vagy IPV6-on szépen meg nem kerüli.
-
#19482368
törölt tag
válasz MasterMark #1560 üzenetére
ok és hogyan?
Mert én eddig erre vonatkozóan nem találtam semmit.
Főleg mert a DPI-ba csak App -ra van lehetőség felvenni, de nem URL-re.[ Szerkesztve ]
-
rekop
Topikgazda
válasz MasterMark #1563 üzenetére
Egyéni címet/URL-t nem lehet hozzáadni, a meglevőkböl lehet összerakni custom group-okat igény szerint.
Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
Kövi
csendes tag
A custom-category-nál alkalmazást adhatok meg, de site-ot, pl. fakeoldal esetében (mindenegybenblog.hu)-t akarom tiltani, ott az alkalmazásnál azt írja a commit után:
Unknown application [....]
Value validation failed
Set failed -
Kövi
csendes tag
válasz MasterMark #1566 üzenetére
És nem láttam. akkor pedig mi van?
-
Kövi
csendes tag
válasz MasterMark #1563 üzenetére
Szia a traffic analysisben úgy szerepelnek a böngészős kérések, hogy "Web - Other" - szóval ez nem járható út, mert akkor mindent tiltasz szerintem.
-
Kövi
csendes tag
válasz MasterMark #1569 üzenetére
szóval custom-ot nem, ami lenne a lényeg.
-
rekop
Topikgazda
Configure módban a set firewall name drop rule 10 application category majd a kétszer TAB billentyűre előhozza milyen kategóriák vannak.
Jelenleg ezek:rekop@ubnt# set firewall name drop rule 10 application category
Business Security-Update TopSites-News
Bypass-Proxies-and-Tunnels Social-Network TopSites-Recreation
Database-tools Stock-Market TopSites-Reference
File-Transfer Streaming-Media TopSites-Regional
Games TopSites-Adult TopSites-Science
Instant-messaging TopSites-Arts TopSites-Shopping
Mail-and-Collaboration TopSites-Business TopSites-Society
Management-tools-and-protocols TopSites-Computers TopSites-Sports
Network-protocols TopSites-Games Voice-over-IP
P2P TopSites-Health Web
Private-protocols TopSites-Home Web-IM
Remote-Access-Terminals TopSites-KidsnTeensA
/usr/sbin/ubnt-dpi-util show-cat-apps [kategória neve]
-el pedig meg lehet nézni mik tartoznak bele. Ezekből lehet csak válogatni.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
#19482368
törölt tag
Erre van egy olyan nem túl elegáns megoldás amit úgy hívnak hogy OPEN DNS.
Ha beregisztrálod magad, és a sz.gépre feltelepíted az open dns klienst hogy napra készen tartsa a külső címedet, és létrehozol a WAN_OUT-ot, amibe berakod mint tűzfalszabály hogy csak az OPENDNS címen menjen ki a forgalom, akkor az OPENDNS web felületén lehet tiltani DNS szinten oldalakat. De az is korlátozott.
Vagy saját DNS szerver használata, és azon tiltod. Az a baj, hogy minden tiltásra, van valami okosság amivel megkerüli az egészet. Lásd fentebb a VPN használata.
Tehát ez egy nagyon érdekes kérdés, hogyan is lehet lakossági szinten, relatív biztonságos hálózatot kiépíteni, üzemeltetni. Mert a valóság azt mutatja, minden tiltásra van ellenszer, amivel meg lehet kerülni. -
#19482368
törölt tag
válasz MasterMark #1575 üzenetére
Pontosan, de ennek a megvalósítása sok esetben egyáltalán nem költséghatékony. És lakossági szinten, hát ....
Szigorúan lakkossági szinten, még mindig a hálózat védelem a leggyengébb láncszem. És nincs biztonság, csak biztonság érzet. A több beállítással rendelkező eszközökön, meg csökkenteni lehet a visszaélési lehetőségeket. Tudod elgondolkoztam lakossági szinten rendelkezésre álló url szűrökön, és iszonyatos átverés az is, sok esetben. És nagyon nincs is értelme, sok esetben. -
Kövi
csendes tag
válasz #19482368 #1576 üzenetére
Érdekes, hogy a neten felelhetőek olyan megoldások amelyek ERlite3-on futnak, viszont sajnos - mint írtam korábban - egyik sem működött.
Ez az egyik legjobb cucc (lehetne), mert jól paraméterezhető, könnyen telepíthető, de nem akar működni.
https://britannic.github.io/blacklist/#contentsNem vagyok hálózatos, bizonyára jobban értetek hozzá, de kliens oldalon mégis megoldották valahogy, ha fut egy tűzfal program, a tűzfal, meg tiltja az oldalt:
Router oldalon is meglehetne ezt oldani, hiszen resolválni lehet minden kérésben szereplő IP címet és a resolvált címet pedig vagy engedik, vagy nem. Egyszerűen hangzik, nem?
A fenti program beállításait vagy én szúrtam el, vagy nem egészen működik jól. Ha esetleg kipróbálná valaki és ha működik, kérem írja le hogy sikerült. Köszönöm.
-
#19482368
törölt tag
Szerintem félre érted, amit írok.
Persze, le lehet tiltani, sok mindent, de minden tiltásra van olyan megoldás, amivel meg lehet kerülni.
Önmagában a tiltás sok esetben nem elegendő, megfelelő megoldás. Így különböző + beállítások, és további tiltások kellenek ahhoz, hogy amit valóban tiltani akarunk, az valóban tiltva is legyen. És pont az egyik ilyen kategória az url tiltás.
Egyébként én ki próbáltam edge a webproxy keresztüli tiltást, nálam is működött, de az önmagban semmi, illetve gyakorlatilag csak önámítás.
DPI szinten, csak azokat tudod tiltani amit bele rakott az ubnt. Így egyéni url tiltásra esélyed nincs.
Fentebb írták a edge router 0.0.0.0 dns tiltást, ez 1-2 oldal esetében még csak csak, de ha több oldalról van szó akkor .....
Fentebb írtam, az open DNS mint külső szolgáltató által biztosított dns alapú tíltás lehetőséget. De ahhoz hogy hatékony legyen, szükséges minden hálózatra csatlakozott eszközt rá kényszeríteni hogy csak azon a dns címen menjen a forgalom. Ez a megoldás ugyan már globális megoldásnak minősül. Viszont az internet szokásaid egy külső, cégen keresztül történik. Tehát, ha ott kaki van a palacsintába, akkor...
Vannak különböző vírus keresők által biztosított url szűrési lehetőségek, viszont az lokális megoldás. Azaz minden eszközön külön be kell állítanod. Hacsak nem központilag felügyeled a vírus keresőt. Viszont annak licenc költsége, nem lakossági pénztárcára szabták.
És mindezt egy vpn csatlakozással mind kidobod a kukába. Főleg ha a vpn kapcsolat a 443 porton megy, mert ebben az esetben gyakorlatilag adtál a ...... És ha ezt egy támadó használja ki akkor szintén.
És ez a probléma, több megoldás áll rendelkezésre ahhoz mit hogyan tudsz megkerülni, mint hatékonyan védekezni. -
Kövi
csendes tag
válasz #19482368 #1578 üzenetére
Értem. Legalább is azt gondolom, hogy értem.
Nekem van beállított DNS címem a routerben, nem a klasszikus 8.8.8.8, hanem a szolgáltató DNS címe és így minden kliens, amikor csatlakozik a hálózatra, attól kap infót.
Olyat nem lehet tenni, hogy a routeren fut egy kvázi DNS szolgáltatás és bizonyos címeket onnan kap meg a kliens, amelyek nincsenek a DNS szerveren, azt pedig az IPS által biztosított DNS szervertől kapná meg, egy másodlagos DNS címtől.
Amúgy a router konfigurációban ez benne van:
>show configuration commands | grep name-server
set interfaces ethernet eth0 pppoe 0 name-server auto
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set system name-server 193.110.57.4
set system name-server 193.110.56.8
set system name-server 127.0.0.1
set system name-server '::1'[ Szerkesztve ]
-
MasterMark
titán
A routeren alapból fut egy alap színtű DNS szerver, ehhez mondtam a beállításokat. Ezt be lehet állítani, hogy amit nem tud, azt hova forwardolja.
A blacklisten neked mi nem megy? Ez ugyanazt csinálja amit én mondtam.
Az megvan, hogy ha a router DNS szerverét használod, akkor a routert kellene beállítani DNS szervernek a klienseken? (Vagyis DHCP-vel azt osztod nekik...)
Itt minden működik, csak a felét nem érted a dolgoknak.
szerk.: Kliens oldalon szoftveres tűzfal fut, abban azt csinálsz meg amit akarsz, cserébe baromi lassú lesz a neted.
[ Szerkesztve ]
Switch Tax
-
Kövi
csendes tag
válasz MasterMark #1581 üzenetére
Ez a blacklist beállításaim:
set service dns forwarding blacklist disabled false
set service dns forwarding blacklist dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains source NoBitCoin description 'Blocking Web Browser Bitcoin Mining'
set service dns forwarding blacklist domains source NoBitCoin prefix 0.0.0.0
set service dns forwarding blacklist domains source NoBitCoin url 'https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txt'
set service dns forwarding blacklist domains source malwaredomains.com description 'Just Domains'
set service dns forwarding blacklist domains source malwaredomains.com url 'http://mirror1.malwaredomains.com/files/justdomains'
set service dns forwarding blacklist domains source myhosts description 'My blacklist'
set service dns forwarding blacklist domains source myhosts dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains source myhosts file /config/user-data/myblacklist.host
set service dns forwarding blacklist domains source simple_tracking description 'Basic tracking list by Disconnect'
set service dns forwarding blacklist domains source simple_tracking url 'https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt'
set service dns forwarding blacklist domains source zeus description 'abuse.ch ZeuS domain blocklist'
set service dns forwarding blacklist domains source zeus url 'https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist'
set service dns forwarding blacklist hosts source githubSteveBlack description 'Blacklists adware and malware websites'
set service dns forwarding blacklist hosts source githubSteveBlack prefix 0.0.0.0
set service dns forwarding blacklist hosts source githubSteveBlack url 'https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts'
set service dns forwarding blacklist hosts source hostsfile.org description 'hostsfile.org bad hosts blacklist'
set service dns forwarding blacklist hosts source hostsfile.org prefix 127.0.0.1
set service dns forwarding blacklist hosts source hostsfile.org url 'http://www.hostsfile.org/Downloads/hosts.txt'
set service dns forwarding blacklist hosts source openphish description 'OpenPhish automatic phishing detection'
set service dns forwarding blacklist hosts source openphish prefix http
set service dns forwarding blacklist hosts source openphish url 'https://openphish.com/feed.txt'
set service dns forwarding blacklist hosts source sysctl.org description 'This hosts file is a merged collection of hosts from Cameleon'
set service dns forwarding blacklist hosts source sysctl.org prefix 127.0.0.1
set service dns forwarding blacklist hosts source sysctl.org url 'http://sysctl.org/cameleon/hosts'
set system package repository blacklist components main
set system package repository blacklist description 'Britannic blacklist debian wheezy repository'
set system package repository blacklist distribution wheezy
set system package repository blacklist password ''
set system package repository blacklist url 'https://raw.githubusercontent.com/britannic/debian-repo/master/blacklist/'
set system package repository blacklist username ''
set system task-scheduler task update_blacklists executable arguments 10800
set system task-scheduler task update_blacklists executable path /config/scripts/update-dnsmasq-cronjob.sh
set system task-scheduler task update_blacklists interval 6h -
Kövi
csendes tag
válasz MasterMark #1584 üzenetére
Igen, ezt használom én is, ha még valami más beállításod is van, ami fontos lehet kérlek írd meg.
pl. /config/user-data/myblacklist.host fájlba felvettem az index.hu-t és mégis bejön.
de olyan oldal is, amely más listán van,a host fájlok lent vannak (mai dátumokkal):
/etc/dnsmasq.d >ls
README domains.zeus.blacklist.conf
dnsmasq-dhcp-config.conf hosts.blacklisted-servers.blacklist.conf
dnsmasq.adlist.conf hosts.githubSteveBlack.blacklist.conf
domains.NoBitCoin.blacklist.conf hosts.hostsfile.org.blacklist.conf
domains.blacklisted-subdomains.blacklist.conf hosts.myhosts.blacklist.conf
domains.malwaredomains.com.blacklist.conf hosts.openphish.blacklist.conf
domains.myhosts.blacklist.conf hosts.sysctl.org.blacklist.conf
domains.simple_tracking.blacklist.confpl.: hosts.myhosts.blacklist.conf fájlban megtalálható az index.hu:
address=/index.hu/0.0.0.0na mindegy, bizonyára valamit még elkeféltem.
-
#19482368
törölt tag
ok rendben, akkor az a rész rendben van.
Ti ennyire megbíztok ismeretlen repokban?
Ugyan én is megtaláltam ezeket a megoldásokat, de én nem merem ezeket telepíteni. Nem vonom kétségbe a hatékonyságát, se az emberi jó indulatot, és biztos minden király. De én az ilyen megoldásoktól valamiért idegenkedek. Valahogy nekem nincs bizodalmam olyan megoldásokban, amit a gyártó hivatalosan nem támogat. Inkább, más megoldásokat keresek, amit egy adott gyártó támogat. Tudom sok embernek ez fura, és mindenre van ellenpélda. De valahogy nincs bizodalmam ezekben a megoldásokban. Főleg nem egy router esetében. Akkor inkább mögé rakok egy USG-t, és abban bekapcsolom az IPS/IDS-t ami a sebesség rovására mehet. Bár, ott is a PRO-ban sokkal több szűrési lehetőség van, mint a 3P esetében. De gondolom, ez az eszköz teljesítménye miatt van. -
Kövi
csendes tag
válasz MasterMark #1586 üzenetére
ipconfig /flushdns
már volt, nem segített.Nem tudom, hogy számít-e, de a windows ipconfig /all ezt írja ki:
Windows IP Configuration
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.local
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . : mydomain.local
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.10(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 193.110.57.4
193.110.56.8[ Szerkesztve ]
-
#19482368
törölt tag
válasz MasterMark #1588 üzenetére
Úgy hogy nincs benne alapban, tehát ha ezeket telepíted, és most "Feltételes módban" bármi gond, probléma, merül fel, ami miatt az eszköz többet nem indul el, tönkremegy stb... Akkor a gyártó ezért felelősséget nem vállal. Tehát az rendben van, hogy mindez az orruk előtt történik, de ... szerintem érted mire gondolok.
-
MasterMark
titán
válasz #19482368 #1590 üzenetére
Nem értem, de szerintem te sem. Inkább nézz bele a fájlokba, ott van githubon, minden teljesen nyíltan. Nem fogja elrontani az eszközödet, és nem is fog kecskét áldozni éjszaka a routered. Nem lesz valami szekta tagja.
Ha nem bízol ilyenben azt lehet nyugodtan. Mint mondtam ezt kézzel te is össze tudod rakni magadnak.
Kövi: Milyen DNS szerver van beállítva a gépen? A router címe, de csak a router címe?
set system name-server 193.110.57.4
set system name-server 193.110.56.8Meg ezeket is kivenném, a system name server csak saját maga legyen. És az is csak IPv4-en, hacsak ezt nem indokolja más...
[ Szerkesztve ]
Switch Tax
-
Kövi
csendes tag
válasz MasterMark #1591 üzenetére
A router címe: 192.168.1.1
-
-
Kövi
csendes tag
válasz MasterMark #1593 üzenetére
Köszi, jaja, ezt is próbáltam és nem jó. De egyébként mobilról és a gépről is néztem már az oldalt és bejön.
Tehát valami a routeren nem jó még.
A name szerverek beállítva:show configuration commands | grep name-server
set interfaces ethernet eth0 pppoe 0 name-server auto
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set system name-server 193.110.57.4
set system name-server 193.110.56.8A blacklist bekapcsolva:
show configuration commands | grep blacklist
set service dns forwarding blacklist disabled false
set service dns forwarding blacklist dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains dns-redirect-ip 0.0.0.0
set service dns forwarding blacklist domains include index.huA DNS forwarding beállítva:
set service dns forwarding listen-on eth1
set service dns forwarding listen-on eth2
set service dns forwarding listen-on eth0
set service dns forwarding name-server 193.110.57.4
set service dns forwarding name-server 193.110.56.8
set service dns forwarding options bogus-priv
set service dns forwarding options domain-needed
set service dns forwarding options domain=mydomain.local
set service dns forwarding options enable-ra
set service dns forwarding options expand-hosts
set service dns forwarding options localise-queries
set service dns forwarding options strict-order
set service dns forwarding systemfingom nincs.
-
Kövi
csendes tag
na, ez lehet az ok, hogy hiába van az ethernet kártyának megmondva a DNS:
a gép nem találja a domain-t:
-
Kövi
csendes tag
válasz MasterMark #1599 üzenetére
Konkrétan amit linkeltem az példa a programozótól és attól még kellhet, vagy nem? mindenesetre nem kísérleteztem ezzel, Gondolom nem véletlenül rakta oda.