OpenDNS alternatíva

Web, mail, IRC, IM, hálózatok

Sziasztok!

Az OpenDNS a felhasználói fiók alapján úgy ítélte, hogy nagy felhasználók vagyunk és felajánlott egy fizetős csomagot, az ingyenesben a szűrést le fogja tiltani. Észrevételük jogos, nem is ezzel van baj.

Jelenleg kb. 50 ADSL végpont szűrését kellene megoldanom elég jó hatásfokkal.

Keresek alternatívákat. Amit el tudok képzelni:

1. Saját DNS szerver készítése, a tiltani kívánt zónákat pl. 127.0.0.1-el felvinni. Meglátásom szerint kreténség.

2. VPN szerver készítés, mondjuk bérelek egy kis VPS-t. Végpontok becsatlakoznak, ott iptables tiltja a nem kívánt IP címeket. Erre mintha lennének txt fájlba gyűjtött IP címek amiket letöltve be lehet tölteni. Szűrés hatásfoka kétséges és még a legtöbb helyen a routert is ki kell cserélnem. Ha mondjuk Mikrotik 750-es routert teszek akkor is 15e körül lesz darabja, plusz a ráfordított munkaidő.

3. VPS csak proxyval. Itt sem ártana egy router csere, hogy beállítható legyen mely MAC címmel rendelkező gépek mehetnek ki közvetlen és melyek nem. Proxyhoz szintén mintha lennének közösségi gyűjtésű címlisták. Kérdés, hogy a Squid transzparens módban tudja-e már kezelni a https-t rendesen?

4. Mintha lett volna kezdeményezés egyedileg telepíthető alkalmazásra. Ez a gépek száma miatt valamint, hogy olyan gépek is használják a hálózatot amit nem mi kezelünk, de a szűrésnek ezekre a gépekre is kihatással kell lenni, kivitelezhetetlen.

Bármi ötletet szívesen fogadok. Én maradnék az OpenDNS-nél, de jelenleg felajánlott árat nem hiszem, hogy ki tudjuk fizetni.

  • 5329 megtekintés

( janoszen v | 2012. 08. 19., v – 13:20 )

A VPS-t nem ajanlanam, mert ha az az egy VPS meghal, akkor az osszes vegpontod leszakad a netrol.

( Fisher v | 2012. 08. 19., v – 14:05 )

Izé... sose használtam az OpenDNS-t, de nem az egyes pontot csinálja épp?

Ilyesmit. Megnézi az Ip címed ( előre rögzíted a rendszerben ) és a hozzá tartozó tiltásokat. A lényeg, hogy nem konkrét címeket tiltasz ( ezt is lehet ) hanem kategóriákat. Tehát pl. P2P/File sharing és megdöglött a letöltés. A kategória mögött nem látni milyen címek vannak, az részben közösségi karbantartásban lévő lista. Amennyiben tiltásra futsz akkor átirányít a saját tájékoztató oldalára, ami szintén személyre szabható. Mindezt nagyon gyorsan csinálja.

Más DNS-t nem használhat, tűzfal UDP 53-at csak az OpenDNS fele enged ki. Gépeken korlátozott felhasználóként vannak. Elhiszem, hogy te kijátszanád és megkerülnéd több módon, de ahol használnom kell nem szednek elő Hiren's-t, hogy átállítsák a felhasználót és nem telepítenek fel OpenVPN-t, hogy azzal a 443-as porton átszökve korlátlanul netezzenek. Ha mégis megtennék hamar meg lehetne fogni ki az, és az elérhető VPN szolgáltatók és azok IP címei viszont véges lista.

Webproxykat is tiltod opendns-ből? Itt van egy szép lista: http://proxy.org/cgi_proxies.shtml
Ha fel lehet építeni belülről egy ssh tunnelt, azon keresztül is lehet http proxyt kiépíteni.
Sok szervert az ip címével is el lehet érni, dögivel vannak a neten névfeloldást végző szolgáltatások.
Aztán vannak különböző p2p hálózatokhoz kapcsolódó szolgáltatások, amikkel szintén meg lehet kerülni a dns-t, pl. bittorrent dht.

( tompos v | 2012. 08. 19., v – 14:53 )

Tulajdonkeppen mit is akarsz csinalni, mi a celod?

tompos

Különböző kategóriákba sorolt weboldalak elérését megakadályozni, a lehet legegyszerűbben a lehető legnagyobb hatásfokkal. Lehetőleg kézi URL és IP lista matatás nélkül. Több ezer vagy tízezer címről beszélünk, tehát a kézzel összegyűjtjük az felejtős.

Elmondta, hogy mit szeretne. Az OpenDNS-nek van egy content filter szolgáltatása. Ha a gépeid az OpenDNS szervert használják (akár csak forwarder-en keresztül), akkor képes vagy arra, hogy az OpenDNS dashboard-on kategóriánként bekattintgasd, hogy milyen tartalmakhoz ne férjenek hozzá a hálózatodon levő gépek. Az OpenDNS ezt most több év után fizetőssé kívánja tenni. Neki egy ezt kiváltó szolgáltatásra lenne szüksége.

A jó hír az, hogy számos ilyen szolgáltatás van. A rossz hír, hogy ezekért - amelyeket rendszeresen karban is tartanak és érdemes is lenne használni - fizetni kell.

Ha saját content filtert akar üzemeltetni, arra is van lehetőség, csak akkor az munkával jár, neki kell tutujgatnia.

--
trey @ gépház

( trey | 2012. 08. 19., v – 17:49 )

"Az OpenDNS a felhasználói fiók alapján úgy ítélte, hogy nagy felhasználók vagyunk"

Ja, én is használom több helyen is. Én is folyamatosan kapom a leveleket, hogy térjek át Enterprise level-re (vagy mire). Most szabin vagyok, úgyhogy egyelőre nem válaszoltam. Én azt hiszem, hogy megoldom NetASQ-kal.

Egyébként mi pénzt kértek a szolgáltatásért?

--
trey @ gépház

Ezek a mukik elég mulatságos dolgokat írnak: "...if a business has 100 employees who all spend an hour a day surfing non-work-related sites the total cost to the business is close to €400,000 a year". Jó, nyilván el kell adni a portékát, de nekem akkor is kicsit hiteltelen a dolog. Pláne ha ehhez mérik a szolgáltatás évi díját.

Erre írok, előző hozzászólásodra is válasz.

Gyermekvédelmi intézményekben használom, sok helyen. Még a fizetős is elfogadható lenne, mindent nem várhat el ingyen az ember. Jelenleg egy fiókra és 50 IP címre / telephelyre kértem ajánlatot. 12 000 $-nál tartunk, az mai MNB szerinti középárfolyamon kb. 2 700 000 Ft. Azt nem is említették eddig, hogy éves vagy egyszeri díj. Gondolom éves.
Azt hittem kérnek pár ezret / IP, vagy mondjuk még a 10e / IP is lenyelhető lenne, de ez a 12e $ kicsit megütött.

Ismersz akár fizetős hasonló elven működő szolgáltatást? Emberi összeget kifizetnénk érte. A minden gépre kliens szoftver megoldást kerülném, az halál.

Mivel így elszórtan vannak (és feltételezem nem oldható meg, hogy egy eszközön keresztül menjenek ki az internetre), más nemigen jut eszembe, mint a proxy. Esetleg egy SQUID + DansGuardian? Bár mostanában nem néztem, nem tudom hogy áll, vagy érdemes-e vele foglalkozni mostanában?

--
trey @ gépház

Egyszerűen biztosan nem oldható meg egy eszközre összehozni őket. Másik baj az egy eszközzel, hogy azt csak szerver hotelben lehetne elhelyezni. 50 telephely, egyenként 5/1 Mbit vagy nagyobb internet. Esti órákban átlagosan 3 Mbit/s vagy több a felhasznált sávszélesség.

Van egy nulla terhelésű VPS, eddig leállás sem volt jellemző rá. Jelenleg másodlagos dns és smtp ( csak küldésre ) fut rajta, lehet felmegy egy Squid. Még talán Ago beszélt is róla, visszakeresem a videókat. Itt viszont a szolgáltatóval kell egyezkedni ha ez marad mert nem biztos, hogy jó szemmel fogják nézni a forgalmat.

Egyrészt van a kulcsszavas rész, amit írsz, ahol egy mezőbe több domain is beírható space-szel elválasztva (tehát nem csak 10 domain-t tudsz beírni), másrészt a V2910, vagy annál magasabb típusszámúakban legtöbbször van külön kategóriánkénti szűrés is.

szerk:
ilyen kategóriák a CSM menü alatt...

Enable Web Content Filter

Groups Categories (Tick categories to block. Untick to unblock)

Child Protection
Chat Criminal Drugs/Alcohol
Gambling Hacking Hate speech
Sex Violence Weapons

Leisure
Advertisements Entertainment Food
Games Glamour Health
Hobbies Lifestyle Motor Vehicles
Personals Photo Searches Shopping
Sports Streaming Media Travel

Business
Computing/Internet Finance Job Search/Career
Politics Real Estate Reference
Remote proxies Search Engine Web Mail

Others
Education Hosting sites Kid Sites
News Religion Sex Education
Usenet news Block all uncategorised sites

> Mivel így elszórtan vannak (és feltételezem nem oldható meg, hogy egy eszközön keresztül menjenek ki az internetre)

Már miért ne?

#1. Üzemeltetni kell egy publikus névszervert ami az opendns-t forward-olja (és cache-eli is)
#2. A telephelyeken a router-t be kell állítani hogy ezt a névszervert használja.

Ez így nem jó? Persze így a source IP alapján történő szűrésnek annyi... :-(