DNS封鎖Facebook技術
對外DNS查詢全擋
包含 DoH DoT DoQ
公司的防火牆只能擋IP
不能擋FQDN
該怎麼封鎖Facebook/Line/Dropbox…
首先我們需要了解電腦上網的原理
IP/Submask/Gateway和DNS
前三項是上網要素的絕對值
無法更動(除非是AnyRoute,啥米是AnyRoute可以洽詢我們公司各區服務處)
所以MIS/IT人員可以動手腳的部份是在 DNS
我們簡單說明打開一個Facebook網頁的動作原理
PC一打開網頁
他會先問DNS Server
Hello DNS Server
請告訴我 www.facebook.com 的IP在那邊
我要打開他的網頁
所以當知道網路是這樣的運作方式之後我們可以掌控的是DNS Server的查詢和回應
所以我們只要把我們當成是root DNS就可以了
回應WWW的URL或是FQDN方法很多
DNS/DNS Proxy/LMHOST…都是
我們先示範DNS Proxy方式
Vigor Router Firewall 防火牆
LAN DNS 功能
如果您的Firewall防火牆設備有像我們公司所用的MH/MS/MHG/UTM系列一樣
有DNS Proxy功能
在您DHCP Server配發DNS Server IP時
配發Firewall的IP
或是自定DNS Server IP
系統管理 > 組態 > 主機名稱表
自定一筆
www.facebook.com >> 127.0.0.1
127.0.0.1在定義上是指向自己的IP
當然比較厲害的工程師可以架一個Web Server
Ip填入Web Server的IP回應他
[公司政策禁止連線該網址]
但是…
貴公司的Firewall防火牆可能連DNS Proxy的功能都沒有
這時後該怎麼辦
我們教簡單的方式
使用Windows 2003 Server 把DNS Server功能裝起來
當然您可以用其他系統都可以達到同樣的目地
比如BIND DNS server
Windows XP/7/8也有其他可以架設DNS Server的工具
DHCP Server配發DNS Server IP時候記得要改配發這一台DNS Server
當您架好Windows 2003 Server的DNS Server Service之後
您可以新增
Facebook.com的DNS 區域
一樣自定一筆www.facebook.com指向127.0.0.1或是公司的Web Server
這樣他查詢DNS
就會是我們指定的IP
MIS/IT要記得把對外的DNS查詢封掉
只留這一台DNS Server可以對外
當然如果沒有DNS Server還有LMHOST的作法
但是要一台一台匯入
太麻煩了
還是架一台DNS Server最快
Gimy劇迷
相關文章閱讀
Gimy劇迷 使用 Vigor LAN DNS 阻擋 設定教學 Vigor3910 Vigor3912S 阻擋deepseek
Gimy劇迷 使用 NUSOFT MHG NFW UTM NGFW 防火牆 阻擋 設定教學