BrbOS/Aplicativos/DNS/Zone/RPZ
DNS Política de zona - RPZ
O sistema possui suporte para Zona Local. Isso torna possível fornecer uma resposta personalizada para nomes de domínio especificados. Embora essas opções sejam amplamente utilizadas pelos usuários, elas são específicas do sistema. Se você opera vários resolvers de diferentes fornecedores, precisa manter suas políticas para várias configurações, que terão sua própria sintaxe. Usar a configuração específica do sistema também torna desafiador consumir políticas de fontes externas.
Para fazer com que essas fontes externas funcionem manualmente, você precisa buscar as políticas externas no formato oferecido, reformatá-las de forma que o sistema compreenda e manter essa lista atualizada através da interface ou por API.
Para automatizar esse processo de forma genérica e padronizada, as Zonas de Política de Resposta (RPZ) são um formato de política que funcionará em diferentes implementações de resolvers e que tem capacidade para ser transferido e carregado diretamente de fontes externas como listas de bloqueio ou a lista da ANATEL - https://api.anablock.net.br/api/domain/all.
Adicionar Registro
Para criar uma nova zona RPZ basta clicar em Adicionar Registro.
Campo | Descrição | Exemplo |
---|---|---|
Nome | Nesse campo você cria um nome para a sua zona RPZ. A nomenclatura tem uma padronização, deve no final sempre colocar .rpz.(ponto, rpz, ponto). | block.ads.rpz. |
TTL | TTL – que, como já mencionamos, significa “Time to Live” – é uma configuração que determina quanto tempo seus dados (em forma de pacote) são válidos e disponíveis de dentro de uma rede antes que o roteador os limpe. | 3600 |
Tags | A tag sempre para você filtrar uma lista de bloco de IPs que iram ser aplicado essa política de bloqueio. | - |
Override | ||
Origem | ||
URL | Insira a URL cujo a lista de domínios a serem bloqueados estão presentes. | https://api.anablock.net.br/api/domain/all |
Dia da Semana | Escolha um dia da semana que deseja que a lista dessa URL seja checada novamente para saber se foram inseridos novos domínios e serem inseridos na sua zona RPZ. | Todos os Dias. |
Tempo | Escolha o horário que o BrbOS irá consultar novamente a URL. | 00:00:00 |
Override | Essa opção está interligada com a opção acima. Caso a lista de domínios presentes na sua URL já tiver um tipo de registro, ao marcar a opção override o sistema subscreve os registros pelo que foi marcado. | |
Tipo | Se desejar formatar os domínios com o registro específico, poderá marcar um tipo de registro e o valor que ele terá.
|
CNAME |
Valor | Irá preencher esse campo com base com base no tipo de registro da zona escolhido na opção anterior. |
RPZ Actions
A ação é tipo de registro que seja aplicado na sua lista de bloqueio de domínio:
- nxdomain: NXDOMAIN significa "No Such Domain" em inglês, ou seja, "Não Existe Domínio". É uma mensagem de erro que um servidor DNS (Domain Name System) retorna quando não consegue encontrar o registro DNS para o nome de domínio consultado.
term$ host 0byv9mgbn0.com Host 0byv9mgbn0.com not found: 3(NXDOMAIN)
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 *** UnKnown não encontrou 0byv9mgbn0.com: Non-existent domain
- nodata: Essa ação retorna uma resposta "NODATA", indicando que não há dados disponíveis para a consulta, independentemente do tipo de consulta.
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 *** Nenhum registro internal type for both IPv4 and IPv6 Addresses (A+AAAA) disponível para 0byv9mgbn0.com
- passthru: Esta ação é usada para isentar certas respostas DNS de uma regra de política que abrange um domínio inteiro ou um grande bloco de endereços IP.
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 Não é resposta autoritativa: Nome: 0byv9mgbn0.com Addresses: 96.126.123.244 72.14.178.174 45.33.18.44 45.33.2.79 72.14.185.43 45.33.30.197 45.33.20.235 45.56.79.23 198.58.118.167 45.33.23.183 45.79.19.196 173.255.194.134
- drop: Essa ação descarta a solicitação e a resposta, sem enviar qualquer resposta ao cliente DNS.
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** O tempo limite da solicitação para UnKnown expirou
- disable: Deixa desabilitado qualquer ação da zona RPZ criada.
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 Não é resposta autoritativa: Nome: 0byv9mgbn0.com Addresses: 198.58.118.167 45.56.79.23 72.14.185.43 45.33.20.235 45.33.18.44 173.255.194.134 96.126.123.244 45.33.2.79 45.33.23.183 45.33.30.197 45.79.19.196 72.14.178.174
- cname: O CNAME (Canonical Name) é um tipo de registro usado para criar aliases, ou seja, apontar um nome de domínio para outro. Ele é frequentemente utilizado quando se deseja que um determinado nome de domínio resolva para o mesmo endereço IP que outro nome de domínio já existente. No caso você pode adicionar o domínio do seu DNS no campo cname, pois agora tem uma tela que mensagem de bloqueio dentro do BrbOS.
term$ nslookup 0byv9mgbn0.com 10.100.0.25 Servidor: UnKnown Address: 10.100.0.25 Nome: dev55.brbyte.com Address: 177.52.73.55 Aliases: 0byv9mgbn0.com