Ahoj
Na koleji máme internet přes školu… tedy stejný jako je ve škole se všemi výhodami i nevýhodami. Výhody mě zrovna nenapadají, ale nevýhoda je, že je tam blokováno mnoho stránek. Především sociální sítě, ale i mnoho dalších, kde bych to ani nečekal… třeba lupa.cz a další zpravodajské weby. Správce sítě říkal, že blokování po skončení školy vypne, abychom na koleji měli necenzurovaný internet a zprvu to skutečně dělal, ale teď už na to kašle a stejně chodí domů dříve, kdy výuka ještě probíhá, takže to nevypne nikdo a z internetu je značný kus blokovaný.
Funguje to tak, že blokovaná stránka přesměrovává na http://www.blocked-website.com/… na úrovni DNS. Kupodivu ale nejde nastavit vlastní DNS, pokud není přidělováno serverem, tak se nepřipojím vůbec nikam.
Jediné, co fungovalo na obcházení je najít si IP adresu daného serveru a zapsat si ji do hosts souboru Windows. Pak se tam bez problémů dostanu.
Takže bych potřeboval nasbírat IP adresy všeho možného a uložit si je do hosts. Není na to nějaký software?
Případně také možná nějaký jednoduchý lokální DNS server, který bych provozoval přímo na své mašině. Ale s tímhle je trochu potíž, zkoušel jsem Acrylic DNS Proxy a problém byl, že může nasbírat i ty podvržené domény a pak i doma mi to přesměrovává na http://www.blocked-website.com/… a taky ještě něco horšího nějak mi 'zamrzly' některé weby v předchozích verzích. Třeba zpravodajství… já se divím, proč tam už několik dní nevyšel žádný článek a ono to mám nevímkde nacachované a proto to nenačítá aktuální obsah. Zkoušel jsem mazat cache v prohlížeči, jiné prohlížeče… stále nic až pak po vypnutí Acrylic DNS Proxy byly konečně na webu aktuální informace. Takže moc spokojený jsem s tím nebyl.
obcházení cenzury internetu / vlastní DNS server
Moderátor: Moderátoři Živě.cz
Stránka 1 z 1
od gepardic 21. 10. 2013 14:59
Jasný… přes ping jsem taky ty IP adresy zjistil… a když se napíšou do hosts, tak ten problém se sdílením adres pro více webů nebo naopak z důvodů více adres pro jeden web samozřejmě odpadá.
Mě šlo spíše o to, abych nemusel ručně zjišťovat přes ping IP adresy všech webů a někam (do hosts) si je zapisovat.
Nějakou automatiku, že bych zapnul záznam a ono si to zapsalo všechny IP adresy webů, které navštívím.
Nebo sehnat balík už přeložených domén na IP adresy (ale může tohle být důvěryhodné?)
Mě šlo spíše o to, abych nemusel ručně zjišťovat přes ping IP adresy všech webů a někam (do hosts) si je zapisovat.
Nějakou automatiku, že bych zapnul záznam a ono si to zapsalo všechny IP adresy webů, které navštívím.
Nebo sehnat balík už přeložených domén na IP adresy (ale může tohle být důvěryhodné?)
@iiic
- gepardic
- Junior
od gepardic 21. 10. 2013 18:02
Jak jsem psal z nějakého důvodu si nemůžu jakoukoliv jinou než automaticky přidělenou DNS adresu nastavit. Pokud to udělám, tak internet nefunguje vůbec. Je to jakási ochrana toho způsobu blokace internetu, jinak by byl opravdu slabý.
VPN tunel by byl jistě pěkné řešení, ale bohužel doma nemám veřejnou IP, takže tam si ho nenastavím.
VPN tunel by byl jistě pěkné řešení, ale bohužel doma nemám veřejnou IP, takže tam si ho nenastavím.
@iiic
- gepardic
- Junior
od vladimir 21. 10. 2013 21:03
Odhadem blokovaný port 53 UDP.gepardic píše:Jak jsem psal z nějakého důvodu si nemůžu jakoukoliv jinou než automaticky přidělenou DNS adresu nastavit.
Edit: a síť TOR (onion) vám tam nefunguje? Musela by se pochopitelně nakonfigurovat tak, aby i DNS požadavky chodily přes TOR.
A ještě mě napadlo, v Opeře je (býval?) nějaký akcelerační mód pro pomalá připojení, kdy stránku zpracuje nějaký server a tu pak posílá do počítače, to by asi taky měl ten server sám zpracovávat DNS překlady, ale nikdy jsem nepátral, jak ten režim funguje.
A co takhle Google Translator? Nechat si českou stránku přeložit z japonštiny do češtiny, pochopitelně se nnepřeloží nic, ale zobrazí se originál...
Naposledy upravil vladimir dne 21. 10. 2013 21:34, celkově upraveno 1
- vladimir
- Expert
-
od vanamond 21. 10. 2013 21:28
Přesně, jak píše Vladimír, na této síti je prostě jen blokovaný port 53 pro DNS ( aby nešly používat externí DNS servery, třeba od Google ). Dokazuje to ten fakt, že pokud znáte správnou IP adresu webu, tak jede.
Kdyby byla použita poněkud chytřejší blokace, např přes content filtering navázaný na IWF databáze ( běžná součást trošku lepších routerů ) tak by tohle nefungovalo.
Řešení ? No, nic nevynalézejte, dejte si dovnitř sítě nějakou krabičku, co umí IPSec VPN někam ven ( to by mohlo fungovat ) nebo alespoň GRE tunel na spřátelený server, a odkažte se na jeho DNS a je hotovo, ne ? Proč byste budoval vlastní "dns" host file celého internetu, to není dobrý nápad.
Kdyby byla použita poněkud chytřejší blokace, např přes content filtering navázaný na IWF databáze ( běžná součást trošku lepších routerů ) tak by tohle nefungovalo.
Řešení ? No, nic nevynalézejte, dejte si dovnitř sítě nějakou krabičku, co umí IPSec VPN někam ven ( to by mohlo fungovat ) nebo alespoň GRE tunel na spřátelený server, a odkažte se na jeho DNS a je hotovo, ne ? Proč byste budoval vlastní "dns" host file celého internetu, to není dobrý nápad.
Trust in God and keep your powder dry !
- vanamond
- Junior
-
od gepardic 23. 10. 2013 06:24
Pořád ty VPN, ale tohle mi připadá dost složité… už v tom, kde vezmu ten server,
na který se budu připojovat? Žádný můj to bohužel být nemůže a nějaká třetí
strana nebývá k dispozici zdarma.
Nějaké webové proxiny jsem zkoušet chtěl, ale byly blokované, a google translator
už jako proxy nefunguje, nepletu se? Operu s turbem zkusím, to by mohlo fungovat. // Tak Opera s Turbem nepomáhá… divné.
Jak to tak čtu, tak jsem ale možná měl dotaz formulovat jinak… jde totiž jakoby
o typ útoku Man in the Middle konkrétně s DNS poisoningem (DNS vrátí jinou, než pravou IP adresu).
Takže jsem se možná měl
ptát jaká je obrana proti tomuto typu útoků? I před DNSSEC se přeci lidi museli
nějak bránit ne? A DNSSEC taky není na každém serveru, takže stále je asi nějaký
typ obrany proti 'otravě DNS' být musí.
Všechny blokované stránky mají (pochopitelně) stejnou IP adresu, takže by stačilo
udělat snadnou podmínku pokud je to zlá IP vrať uložený záznam, pokud není ulož na horší časy XD
IP adresy velkých serverů se nemění téměř vůbec a aktualizace na nové správné údajde by
se mi vždy provedly z domu. Zní to jednoduše, jen škoda, že neumím programovat pro
Windows.
na který se budu připojovat? Žádný můj to bohužel být nemůže a nějaká třetí
strana nebývá k dispozici zdarma.
Nějaké webové proxiny jsem zkoušet chtěl, ale byly blokované, a google translator
už jako proxy nefunguje, nepletu se? Operu s turbem zkusím, to by mohlo fungovat. // Tak Opera s Turbem nepomáhá… divné.
Jak to tak čtu, tak jsem ale možná měl dotaz formulovat jinak… jde totiž jakoby
o typ útoku Man in the Middle konkrétně s DNS poisoningem (DNS vrátí jinou, než pravou IP adresu).
Takže jsem se možná měl
ptát jaká je obrana proti tomuto typu útoků? I před DNSSEC se přeci lidi museli
nějak bránit ne? A DNSSEC taky není na každém serveru, takže stále je asi nějaký
typ obrany proti 'otravě DNS' být musí.
Všechny blokované stránky mají (pochopitelně) stejnou IP adresu, takže by stačilo
udělat snadnou podmínku pokud je to zlá IP vrať uložený záznam, pokud není ulož na horší časy XD
IP adresy velkých serverů se nemění téměř vůbec a aktualizace na nové správné údajde by
se mi vždy provedly z domu. Zní to jednoduše, jen škoda, že neumím programovat pro
Windows.
@iiic
- gepardic
- Junior
od vanamond 23. 10. 2013 07:44
Obávám se, že Vámi požadované jednoduché a zcela beznákladové řešení neexistuje. To, že Váš poskytovatel prostě dovolí jen své DNS ( a z něj Vám vrátí co se mu hodí, tedy upravené záznamy ) a ostatní zahodí není až tak špatný mechanismus. Zjevně to funguje.
Vy ho můžete obejít tak, že si DNS dotaz zařídíte sám, např DNS dotaz
- jinudy ( dáte si do sítě mobil s připojením a ethernetem a DNS dotazy budete sypat přes něj,
nebo se dohodněte s nějakým místním WIFI poskytovatelem a posílejte DNS dotazy skrz
něj, je to pár byte, žádný enormní provoz atd. )
- jinak ( VPN šifrovaný tunel skrz stávající síť někam a DNS dotaz skrz tunel, kde není
manipulovatelný ) nebo si domluvit na nějakém serveru DNS dotaz na jiném portu, než
zrovna 53
- nebo obskurně ( ty Vaše záznamy v hosts )
Prostě musíte někudy poslat DNS dotaz. Co čekáte, že vymyslíme více ? - Vy máte daleko více informací a a i místní informace. Zcela bez nákladů to nepůjde, prostě každé opatření něco stojí, ale dnes už se dá dohodnout leccos, zkuste vymyslet elegantní řešení a dejte sem vědět, koneckonců je to zajímavé laboratorní cvičení v překonání jednoduché překážky.
Vy ho můžete obejít tak, že si DNS dotaz zařídíte sám, např DNS dotaz
- jinudy ( dáte si do sítě mobil s připojením a ethernetem a DNS dotazy budete sypat přes něj,
nebo se dohodněte s nějakým místním WIFI poskytovatelem a posílejte DNS dotazy skrz
něj, je to pár byte, žádný enormní provoz atd. )
- jinak ( VPN šifrovaný tunel skrz stávající síť někam a DNS dotaz skrz tunel, kde není
manipulovatelný ) nebo si domluvit na nějakém serveru DNS dotaz na jiném portu, než
zrovna 53
- nebo obskurně ( ty Vaše záznamy v hosts )
Prostě musíte někudy poslat DNS dotaz. Co čekáte, že vymyslíme více ? - Vy máte daleko více informací a a i místní informace. Zcela bez nákladů to nepůjde, prostě každé opatření něco stojí, ale dnes už se dá dohodnout leccos, zkuste vymyslet elegantní řešení a dejte sem vědět, koneckonců je to zajímavé laboratorní cvičení v překonání jednoduché překážky.
Trust in God and keep your powder dry !
- vanamond
- Junior
-
od vladimir 23. 10. 2013 16:39
gepardic píše:a google translator už jako proxy nefunguje, nepletu se.
Ano, máš pravdu, dívám se na Googlem přeloženou stránku a obrázky jdou z originální domény, takže jako proxy je to nepoužitelné.
A nějaký ten TOR browser jsi zkoušel? Nové TOR-browsery by měly umět přes onion síť posílat i DNS požadavky.
- vladimir
- Expert
-
od romaneone 5. 11. 2013 12:12
kup si za 200 kc clenstvi v nake VPN siti. vic http://www.hidemyass.cz/
- romaneone
- Kolemjdoucí
Příspěvků: 14 • Stránka 1 z 1
Kdo je online
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků