|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (8)
просмотр истории страницыДля блокировки https ресурсов, имеющих малый TTL для DNS A записей, нужно обязательно настроить DNS-spoofing. |
{toc} |
|
... |
Нужно включить опцию: {panel} |
menu -> Reductor -> Настройка алгоритма фильтрации -> Использовать фильтрацию DNS |
menu \-> Reductor \-> Настройка алгоритма фильтрации \-> Использовать фильтрацию DNS |
{panel} |
... |
{panel} |
menu -> Reductor -> Настройка алгоритма фильтрации -> IP для DNS-ответов |
menu \-> Reductor \-> Настройка алгоритма фильтрации \-> IP для DNS-ответов |
{panel} По умолчанию указан IP адрес 127.0.0.1, измените его на адрес сервера с заглушкой. |
... |
A - абонент, R - редуктор, S - блокируемый сайт, D - DNS-сервер используемый абонентом, Z - сервер страницы-заглушки |
# *A \-> dns query AAAA S \-> D* \- абонент A запрашивает DNS сервер D об IPv6 адресе заблокированного ресурса Z S |
# *R \-> dns empty query response AAAA S \-> A* \- редуктор R отправляет абоненту A пустой DNS ответ от имени DNS-сервера D |
# *A \-> dns query A S \-> D* \- абонент A запрашивает DNS сервер D об IPv4 адресе заблокированного ресурса Z S |
# *R \-> dns query response A S = Z \-> A* \- редуктор R отправляет абоненту A DNS ответ с адресом страницы-заглушки Z от имени DNS-сервера D # *A \-> http/https Host: S, \-> Z* \- абонент обращается к серверу страницы заглушки с заголовками Host = блокируемый домен, GET - без изменений, протокол - без изменений. |
... |
# *Z \-> http/200 \-> A* \- отправка содержимого страницы-заглушки. |
Дополнительная/альтернативная схема с использованием [https://github.com/carbonsoft/named_fakezone_generator] отличается тем, что в таком случае DNS-ответ присылает не Carbon Reductor, а провайдерский DNS-сервер. |