|
在多网络中运行
如果用户要在多个位置管理网络,那请记住这一点:你可以将多个网络添加到一个OpenDNS账户中。管理网络更为轻松,即使内容过滤和其它的设置在网络之间有什么不同也在话下。例如,用户可帮助自己的亲戚在互联网上更安全的使用,也可以管理企业世界中所有办公网络的内容过滤。
要将多个位置加入到OpenDNS的账户中,用户必须先添加一个网络(在面板中的“Networks”选项卡上),参考前图4。如果用户的网络使用动态的IP地址,就需要在连接到网络的一台计算机上安装更新客户端或使用路由器的内置客户端,如前文所述。用户还可以将DNS-O-Matic用于多个OpenDNS网络。正如直接将IP更新到OpenDNS一样,用户需要输入每一个网络的名称,作为每一个网络更新客户端的“Host Name”参数。
如果用户正使用加载有固件替换DD-WRT的路由器,用户会发现,即使在将网络名作为主机名传输时,仍能更新DNS-O-Matic中所有网络的IP。如果用户正试图管理多个网络,这就不太好。其实有一个解决方法:不要使用图形用户界面来配置动态的DNS设置(Dynamic DNS),用户可以将代码输入到启动命令中,这样就能正确地更新。在DD-WRT 的Web界面上,单击“Administration”/“Commands”,将下面的代码粘贴到命令框中,单击“Save Startup”按钮:
#!/bin/sh
mount ramfs /mmc -t ramfs
mkdir /mmc/etc
mkdir /mmc/etc/config
echo "#!/bin/sh
inadyn --background --username ??? --password ??? --alias ??? --dyndns_server_name updates.dnsomatic.com --dyndns_server_url /nic/update?
sleep 3
killall -9 -w inadyn
" > /mmc/etc/config/ppp0.wanup
chmod 700 /mmc/etc/config/ppp0.wanup
当然,用户需要将第六行的“?”用DNS-O-Matic用户名和口令替换之,这与OpenDNS中的配置应当是相同的。其后是别名,用需要更新的网络名称来替换问号即可。
用户如何绕过OpenDNS
作为管理员需要知道,就如同在其它的内容过滤方案中一样,有些用户总是要想方设法绕过OpenDNS的过滤,去访问那结被阻止的网站。这些用户会试着为其计算机设置其它的DNS服务器,这就会绕过任何内容过滤设置。如下图所示,这在Windows中是很容易配置的。如下图9所示:
 |
| 图9 |
用户可能采用的另外一种方法是使用代理服务器等手段,这也会绕过网络的DNS服务器。这些类型的站点或程序并不总具有恶意目的。VPN连接提供了在本地网络上绕过DNS设置的功能。下面我们将讨论如何防止用户使用这些方法绕过OpenDNS。
强迫用户使用OpenDNS服务器
在解决如何锁定计算机的DNS设置之前,你应当保证用户仅拥有受控制计算机上的有限特权,这对于防止计算机上的其它问题也是有益的,如用户随意安装软件、更改设置及其它的可能影响系统安全的问题。如果用户无法编辑网络属性,特别是TCP/IP的设置,那么,也就不能使计算机使用不同的DNS 服务器。你可以通过编辑每台计算机的本地安全策略来管理这些用户限制类型,在域环境中管理组安全策略,也可以简单地将用户指定为受限的账户类型。
如果某些或全部用户并不受控制,你可以设法配置路由器阻止转出的DNS通信,当然要排除OpenDNS服务器。用这种方法就可以阻止非法通信,即使用户设置其计算机使用另外的DNS服务器也无法得逞。它将仅准许使用OpenDNS服务的Web浏览。
为阻止非OpenDNS通信,你需要研究一下你的路由器用以控制用户服务的一些特性。现在有许多路由器都拥有阻止服务、访问控制、端口过滤等特性,这准许你阻止访问某些IP地址特定端口的发出通信。你的根本目标是阻止用户能够访问任何IP地址的53号端口,除了OpenDNS的IP地址,即 208.67.222.222 和 208.67.220.220。具体的方法随路由器而有很大不同。如下图10:
 |
| 图10 |
该图显示出如何配置一台特定的DIR-655路由器。从其配置来看,它阻止了所有IP地址的53号端口,除OpenDNS服务器的IP地址之外。
如果你正使用支持iptables的高级路由器,如加载DD-WRT固件的路由器,你需要做的就是插入两行代码.在DD-WRT的Web界面上,单击 “Administration”/“Commands”,将下面的代码粘贴到“Commands”框中,并单击“Save Firewall”按钮:
iptables -t nat -A PREROUTING -p udp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
防止代理服务器/匿名工具(anonymizer)
现在你需要解决用户通过代理/匿名工具绕过OpenDNS的内容过滤的问题。在设置内容过滤时,一定要保证选择“Contend Filtering”类,而不管是选择了预定义的级别或定制路由。
记住,没有什么内容过滤方案是固若金汤的。因为每天都有许多站点联机,包括新的代理服务器/匿名工具站点,用户们仍有可能找到没有被阻止的站点来帮助其绕过OpenDNS。如果你看到用户们正试图访问这些类型的网站,你可以进一步调查对付这种问题的更多方法。
总结
好了,到此为止,可以说基本大功告成。OpenDNS是一种可帮助我们保障网络安全并免受不恰当内容危害的服务,而且其快捷的域名解析也使得它可靠使用。我们探讨了如何设置各个方面来与OpenDNS服务协同工作。我们还讨论了如何在多个网络中运行及如何添补一些漏洞。祝您用得顺心!【51CTO.COM 独家特稿,转载请注明出处及作者!】
本文出自:亿恩科技【www.enkj.com】
服务器租用/服务器托管中国五强!虚拟主机域名注册顶级提供商!15年品质保障!--亿恩科技[ENKJ.COM]
|
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
