1. Accueil
  2. Question et réponse
  3. Bloquer tout le trafic vers tous les sous-domaines possibles sur RHEL?

Bloquer tout le trafic vers tous les sous-domaines possibles sur RHEL?

2017-03-28 2 views
0

Je rencontre un problème. Essentiellement, mon entreprise utilise un logiciel de sécurité qui effectue une requête sur ses serveurs principaux pour vérifier les dernières mises à jour. Cependant, notre environnement sur lequel cet hôte est activé n'a pas d'accès Internet, par conception, pour un client spécifique à des fins de sécurité. Chaque fois que ce logiciel essaie de "téléphoner à la maison", nous recevons une alerte de sécurité de la part de notre équipe de sécurité parce qu'elle essaie d'interroger/chercher la maison quand elle n'est pas supposée le faire. Le principal problème, c'est que les noms de domaine complets qu'il recherche sont basés sur un hachage MD5, donc c'est un sous-domaine différent à chaque fois, donc la première fois, 5215-af.domain.com, la deuxième fois ce sera comme gz5q-fjs.domain.com. Donc je ne peux pas faire une simple modification du fichier/etc/hosts. Alors, comment puis-je bloquer un domaine et tous les sous-domaines possibles? Je veux renvoyer tout à l'hôte local, car le serveur DNS est ce qui déclenche l'alarme, et l'hôte a toujours besoin du serveur DNS pour lui parler des choses locales (dans un environnement cloud, de nouveaux hôtes lancent tous les temps donc j'ai besoin DNS)Bloquer tout le trafic vers tous les sous-domaines possibles sur RHEL?

Source

2017-03-28 Mallachar

Répondre

0

Juste une mise à jour, j'ai résolu ceci avec dnsmasq.

adresse =/domain.com/127.0.0.1

J'ai alors changé le resolve.conf à utiliser nameserver 127.0.0.1 premier.

Enfin, j'ai désactivé DHCP pour apporter des modifications à resolve.conf

Source

2017-04-18 20:26:37 Mallachar

0

pas la solution parfaite, mais vous pouvez donner un essai à la string match iptables,

 iptables -t nat -A OUTPUT -p udp --dport 53 \ 
    -m string --hex-string "domain|03|com" --algo bm \ 
    -j REDIRECT 

    iptables -t nat -A OUTPUT -p tcp --dport 53 \ 
    -m string --hex-string "domain|03|com" --algo bm \ 
    -j REDIRECT

Cette règle redirigent les DNS pétitions pour tout sous-domaine « domain.com "à localhost, le nombre entre les barres est la longueur de la chaîne qui suit à la place de fullstops commeLe protocolecode les chaînes.

Source

2017-03-29 15:15:15 xae

 Questions connexes

  • Aucun problème connexe^_^