DNS Política de zona - RPZ
Agora o BrbOS conta com uma nova opção para poder realizar o bloqueio de domínios solicitados por órgãos como por exemplo a ANATEL.
A base do DNS do nosso BrbOS é o Unbound. Segue a explicação do Unbound RPZ
Com base na documentação, adaptamos o sistema para poder usar via interface web e facilitar a criação das zonas para bloqueio em massa dos domínios.
Adicionar Registro
Para uma nova zona RPZ basta clicar em Adicionar Registro.
Campo
|
Descrição
|
Exemplo
|
Nome
|
Nesse campo você cria um nome para a sua zona RPZ. A nomenclatura tem uma padronização, deve no final sempre colocar .rpz.(ponto, rpz, ponto).
|
block.ads.rpz.
|
TTL
|
TTL – que, como já mencionamos, significa “Time to Live” – é uma configuração que determina quanto tempo seus dados (em forma de pacote) são válidos e disponíveis de dentro de uma rede antes que o roteador os limpe.
|
3600
|
Tags
|
A tag sempre para você filtrar uma lista de bloco de IPs que iram ser aplicado essa política de bloqueio.
|
-
|
Override
|
Ação
|
A ação é tipo de registro que seja aplicado na sua lista de bloqueio de domínio:
- nxdomain: NXDOMAIN significa "No Such Domain" em inglês, ou seja, "Não Existe Domínio". É uma mensagem de erro que um servidor DNS (Domain Name System) retorna quando não consegue encontrar o registro DNS para o nome de domínio consultado.
-
host 0byv9mgbn0.com
Host 0byv9mgbn0.com not found: 3(NXDOMAIN)
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
*** UnKnown não encontrou 0byv9mgbn0.com: Non-existent domain
- nodata: Essa ação retorna uma resposta "NODATA", indicando que não há dados disponíveis para a consulta, independentemente do tipo de consulta.
-
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
*** Nenhum registro internal type for both IPv4 and IPv6 Addresses (A+AAAA) disponível para 0byv9mgbn0.com
- passthru: Esta ação é usada para isentar certas respostas DNS de uma regra de política que abrange um domínio inteiro ou um grande bloco de endereços IP.
-
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
Não é resposta autoritativa:
Nome: 0byv9mgbn0.com
Addresses: 96.126.123.244
72.14.178.174
45.33.18.44
45.33.2.79
72.14.185.43
45.33.30.197
45.33.20.235
45.56.79.23
198.58.118.167
45.33.23.183
45.79.19.196
173.255.194.134
- drop: Essa ação descarta a solicitação e a resposta, sem enviar qualquer resposta ao cliente DNS.
-
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** O tempo limite da solicitação para UnKnown expirou
- disable: Deixa desabilitado qualquer ação da zona RPZ criada.
-
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
Não é resposta autoritativa:
Nome: 0byv9mgbn0.com
Addresses: 198.58.118.167
45.56.79.23
72.14.185.43
45.33.20.235
45.33.18.44
173.255.194.134
96.126.123.244
45.33.2.79
45.33.23.183
45.33.30.197
45.79.19.196
72.14.178.174
- cname: O CNAME (Canonical Name) é um tipo de registro usado para criar aliases, ou seja, apontar um nome de domínio para outro. Ele é frequentemente utilizado quando se deseja que um determinado nome de domínio resolva para o mesmo endereço IP que outro nome de domínio já existente. No caso você pode adicionar o domínio do seu DNS no campo cname, pois agora tem uma tela que mensagem de bloqueio dentro do BrbOS.
-
nslookup 0byv9mgbn0.com 10.100.0.25
Servidor: UnKnown
Address: 10.100.0.25
Nome: dev55.brbyte.com
Address: 177.52.73.55
Aliases: 0byv9mgbn0.com
|
CNAME
|
Origem
|
URL
|
Insira a URL cujo a lista de domínios a serem bloqueados estão presentes.
|
https://api.anablock.net.br/api/domain/all
|
Dia da Semana
|
Escolha um dia da semana que deseja que a lista dessa URL seja checada novamente para saber se foram inseridos novos domínios e serem inseridos na sua zona RPZ.
|
Todos os Dias.
|
Tempo
|
Escolha o horário que o BrbOS irá consultar novamente a URL.
|
00:00:00
|
Override
|
Essa opção está interligada com a opção acima. Caso a lista de domínios presentes na sua URL já tiver um tipo de registro, ao marcar a opção override o sistema subscreve os registros pelo que foi marcado.
|
Tipo
|
Se desejar formatar os domínios com o registro específico, poderá marcar um tipo de registro e o valor que ele terá.
- A - a host address: Pode apontar a lista de domínios para um endereço de IPv4 específico.
- AAAA - ipv6 address: Pode apontar a lista de domínios para um endereço IPv6 específico.
- CNAME - the canonical name for an alias: Pode apontar para um outro domínio.
- TXT - text strings: Pode escrever um texto para que a consulta desse domínio, traga esse valor escrito.
|
CNAME
|
Valor
|
Irá preencher esse campo com base com base no tipo de registro da zona escolhido na opção anterior.
|