Sto eseguendo un servizio VPN su Debian (per pochi amici) come un progetto di autoapprendimento per acquisire più esperienza con un servizio sicuro e altamente disponibile.
Al momento OpenVPN spinge i server opendns ai client e ai client per indirizzare tutto il traffico attraverso il mio server. Vorrei implementare un qualche tipo di Tracking-Block, come un elenco di domini / IP conosciuti che vengono utilizzati dai servizi di annunci o di tracciamento (sì, so che l'elenco è tutt'altro che buono) che viene automaticamente bloccato per l'utente durante l'esecuzione del VPN. Quindi, se l'utente A visitasse per esempio un sito web shadycompany.com/wedotrackingforaliving che carica vari js che si connettono a uno dei domini nella mia lista, il traffico non verrà ritoccato o semplicemente abbandonato.
Pensare a questo mi ha lasciato con 2 opzioni valide:
-
Utilizza gli alias dnsmasq su tutti i domini per reindirizzare tutte le query DNS che contiene un dominio dall'elenco a localhost
-
Semplicemente reindirizza a localhost tramite il file hosts
Quindi la mia domanda è, ci sono limitazioni ad entrambi i metodi? Come max. numero di regole, prestazioni ( collegamento - considerando il ritardo dichiarato per le ricerche di file host come (O(log2(n))
, considerando che l'elenco contiene circa 50000 voci atm ) o di sicurezza (bypassando DNS ecc.?).
Esiste una best practice per tale blocco che sia migliore dell'approccio dnsmasq e del file host?