Metodo corretto per bloccare annunci / tracciamento su VPN Server for Clients

4

Sto eseguendo un servizio VPN su Debian (per pochi amici) come un progetto di autoapprendimento per acquisire più esperienza con un servizio sicuro e altamente disponibile.

Al momento OpenVPN spinge i server opendns ai client e ai client per indirizzare tutto il traffico attraverso il mio server. Vorrei implementare un qualche tipo di Tracking-Block, come un elenco di domini / IP conosciuti che vengono utilizzati dai servizi di annunci o di tracciamento (sì, so che l'elenco è tutt'altro che buono) che viene automaticamente bloccato per l'utente durante l'esecuzione del VPN. Quindi, se l'utente A visitasse per esempio un sito web shadycompany.com/wedotrackingforaliving che carica vari js che si connettono a uno dei domini nella mia lista, il traffico non verrà ritoccato o semplicemente abbandonato.

Pensare a questo mi ha lasciato con 2 opzioni valide:

  • Utilizza gli alias dnsmasq su tutti i domini per reindirizzare tutte le query DNS che contiene un dominio dall'elenco a localhost

  • Semplicemente reindirizza a localhost tramite il file hosts

Quindi la mia domanda è, ci sono limitazioni ad entrambi i metodi? Come max. numero di regole, prestazioni ( collegamento - considerando il ritardo dichiarato per le ricerche di file host come (O(log2(n)) , considerando che l'elenco contiene circa 50000 voci atm ) o di sicurezza (bypassando DNS ecc.?). Esiste una best practice per tale blocco che sia migliore dell'approccio dnsmasq e del file host?

    
posta architekt 29.12.2016 - 19:17
fonte

1 risposta

2

Guardando la pagina man dnsmasq , sembra che funzionerà sicuramente .

Come indicato nella pagina man,

It is possible to use dnsmasq to block Web advertising by using a list of known banner-ad servers, all resolving to 127.0.0.1 or 0.0.0.0, in /etc/hosts or an additional hosts file. The list can be very long, dnsmasq has been tested successfully with one million names. That size file needs a 1GHz processor and about 60Mb of RAM.

Che sembra esattamente quello che stai cercando di fare.

    
risposta data 29.12.2016 - 23:14
fonte

Leggi altre domande sui tag