Fórum Root.cz
Hlavní témata => Server => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 11. 11. 2025, 12:35:49
-
Jak zablokovat domény které začínají znaky pah na koncovce tech? Došla mi trpělivost v případě minimálně 3 znaků pah***.tech jde o 27^3 kombinací, ale je to sparse (odhadem 27^1.5 až 27^2) a nechce se mi zjišťovat tolik záznamů jestli A mají nebo je to NXDOMAIN a za druhé by to zabíralo mmnoho bajtů (address=/pah123.tech/#) krát 27 namocninu. a navíc by to znečitelnilo .conf soubor.
PS : není jisté že to je jenom trojka v pah[a-z]{3}.tech
PS: problém 2: pro pár desítek záznamů se točí třeba 15 IP adres (a ještě s tím zamíchá, že jedo jméno může mít 1-3 A záznamy) ale že jde o false positive, že na jedné z těchto IP běží i české servery, které bych odstřihl, zřejmě jde o komplice cloudflare, který rotuje IP adresy a slučujě do svého portofilia kriminální služby k normálním
-
a co chcete pouzit za nastroj pro blokovani?
nginx proxy s nejakymi pravidly?
-
Pardon, přehlédl jsem, že jsem nenapsal, že chci blokovat na síťovém DNS pro ostatní zařízení v LAN.
-
dnsmasq? v tom případě bych se podíval třeba na https://github.com/lixingcong/dnsmasq-regex
-
pihole regex
-
Bind cosi umi "Response Policy Zones" ... tezko rict estli to splnuje tvoje touhy.
-
RPZ tohle nesplňuje, neumí to vyjádřit.
-
Záleží, jak máte DNS použití. Doma mi na tohle stačí Pihole, tam už dávno regexp používám na "nejmenované" reklamy.
-
ten dnsmasq-regex se mi zamlouvá, kéž by existoval i dnmasq-cname.... Zkoušel někdo, zda to funguje stabilně, nezatuhává démon?
A dodám, že domény ukazují pouze na ip adresy, pročež nějaká chytřejší logika(cname) nejde použít.
-
Pardon, přehlédl jsem, že jsem nenapsal, že chci blokovat na síťovém DNS pro ostatní zařízení v LAN.
Takže zařízení z vnitřní sítě lezou ven na ty domény, ale tobě se to nelíbí a chceš je na úrovni DNS bloknout?
A nemůže se stát, že po úspěšném zavedení DNS blokace, si provinilci nastaví DNS over HTTPS?
-
ten dnsmasq-regex se mi zamlouvá, kéž by existoval i dnmasq-cname.... Zkoušel někdo, zda to funguje stabilně, nezatuhává démon?
A dodám, že domény ukazují pouze na ip adresy, pročež nějaká chytřejší logika(cname) nejde použít.
Rozvedl byste prosim myslenku s chytrtejsi logikou?
Na zablokovani dns dotazu totiz staci i velmi jednoduche nftables pravidlo, ktere dotaz tise zahodi.
Pripadne ho muze presmerovat treba na jinou instanci dns serveru, kde muzete delat s odpovedi psi kusy.
Zalezi pouze na predpokladane zatezi.
-
Provinilci ani neví, že na takové domény se weby v adresním řádku připojují takové natož takové 3rd party domen existují nebo že když mají otevřený abc.cz tak se jim to připojuje na i na pahxyf.tech ... A dost , nebudu dávat příklad abyste mě neobviňovali, že blokují neco čo je součástí stránky ale oni není
Jo vtip, s nastavením jiného (přistupu)k DNS je dobrý. Tím by nikomu neprospěli,ani motoristé Sobě.
Rozvedl bych, ale, ale ale chytřejší logika není kde brát , právě proto že ty domény odkazují jen na IP adresy a taky že zpětnou analýzou se zjistilo, že na těchto IP běží žádoucí jiné domény, (což jsem psal hned v prvním příspěvku), jediná logika kterou zde vidím , je , chvilka napětí , vzorec PaH***.tech. ale není oddělené tečkou je to a-z. Něco jako když přepravní společnost jednou převáží přepravky banánů, občas v některých je k0ka1n, jindy kuřata a některá kuřata jsou třeba žraloci maso nebo shnilé maso z Polska pro káfckáře nebo i v těch skeletech je vložený k0k@in.
Disclaimer: nemám nic společného s STAN ani Vítem "dozimetrem" k-Rak-USAnem .
Poradíte která instance si poradí s vzorcem xyz***.TLD?
Jako že bych měl nftables pravidlo, který dropne UDP provoz kde na 85.bajtu je p 86 a, 87 h,92t,93e,94c,95h ? Co když zjistím že to není Pah*{3,3},ale pah{3,8}?
Zátěž je nízká, max 2000 Uniqatních dotazů denně celkem max 40000 denně, když vyjmu
Ddos od smartphonů cpg.huawei.com 1500 denně, ddos update.sls.microsoft.com 17000 dnně, ddos samsungcloud.com 86400*denňě. (Ty názvy nejsou úplně přesně), který mi zbytečně zaneřádí log a řešením opravdu není logovat vše "protože tak to má být protože tak je to správné™"