Для блокировки https ресурсов, имеющих малый TTL для DNS A записей, нужно обязательно настроить DNS-spoofing.
h1. 1. Страница-заглушка
Для настройки DNS-spoofing сначала необходимо установить и настроить страницу-заглушку для перенаправления абонентских запросов.
Можно сделать на [отдельном сервере|https://github.com/carbonsoft/reductor_blockpages] (мы рекомендуем), либо [прямо на редукторе|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51708283] (не очень рекомендуем).
h1. 2. Настройка DNS-spoofing
Нужно включить опцию:
{code}
menu > настройка алгоритма фильтрации > Использовать фильтрацию DNS
{code}
IP адрес, на котором заглушка доступна для всех абонентов, укажите в опции:
{code}
menu > настройка алгоритма фильтрации > IP для DNS-ответов
{code}
По умолчанию указан IP адрес 127.0.0.1, измените его на адрес сервера с заглушкой.
h1. 3. Зеркало трафика
# Необходимо, чтобы в "зеркале" трафика присутствовал исходящий от абонентов DNS трафик udp dst port 53. Трафик самого DNS-сервера в зеркале не нужен.
# В качестве альтернативы/дополнения п.1 можно использовать [набор скриптов на DNS-сервере для интеграции с Carbon Reductor|https://github.com/carbonsoft/named_fakezone_generator].
h1. 1. Страница-заглушка
Для настройки DNS-spoofing сначала необходимо установить и настроить страницу-заглушку для перенаправления абонентских запросов.
Можно сделать на [отдельном сервере|https://github.com/carbonsoft/reductor_blockpages] (мы рекомендуем), либо [прямо на редукторе|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51708283] (не очень рекомендуем).
h1. 2. Настройка DNS-spoofing
Нужно включить опцию:
{code}
menu > настройка алгоритма фильтрации > Использовать фильтрацию DNS
{code}
IP адрес, на котором заглушка доступна для всех абонентов, укажите в опции:
{code}
menu > настройка алгоритма фильтрации > IP для DNS-ответов
{code}
По умолчанию указан IP адрес 127.0.0.1, измените его на адрес сервера с заглушкой.
h1. 3. Зеркало трафика
# Необходимо, чтобы в "зеркале" трафика присутствовал исходящий от абонентов DNS трафик udp dst port 53. Трафик самого DNS-сервера в зеркале не нужен.
# В качестве альтернативы/дополнения п.1 можно использовать [набор скриптов на DNS-сервере для интеграции с Carbon Reductor|https://github.com/carbonsoft/named_fakezone_generator].