Route add -host "nom de domaine" et pas ip blackhole ou reject

Salut,
J'ai jamais utilisé la table de routage autrement que pour des adresses IP, idem pour iptables je sais pas si ça peut fonctionner sur du DNS.

Pour bannir sur ton poste/serveur, le plus simple c'est de définir le DNS pour ce domaine de façon statique dans le /etc/hosts, en lui mettant par exemple l'adresse 127.0.0.1 comme ça se fait souvent.


Mais tu ne nous as rien dit sur ta configuration, tu veux bloquer ces domaines pour ton serveur ou pour des utilisateurs qui passent par ton serveur via d'autres machines ?

Dans le cas on ton serveur est une passerelle ou un firewall modifier le etc/hosts ne marchera pas car les clients font la résolution avant de contacter ton serveur et vont s'adresser à lui directement avec les IP.
Dans ce cas là il faut bannir ces nom de domaine sur les DNS utilisés par les clients. Mais ils peuvent s'adresser à un autre serveur DNS ou attaquer directement l'ip pour passer outre donc c'est une solution bof, sauf si tu es sûr que les machines qui passent par ton serveur n'utiliseront pas d'autre moyen pour accéder à ces domaines.
Sinon dans ce cas là bah il reste plus qu'à trouver toutes les IP du domaine et les rejeter.

Exemple trouvé sur le net :

Example - Block Facebook.com Domain

First, find out all ip address of facebook.com, enter:
# host -t a www.facebook.com
Sample outputs:

www.facebook.com has address 69.171.228.40

Find CIDR for 69.171.228.40, enter:
# whois 69.171.228.40 | grep CIDR
Sample outputs:

CIDR:           69.171.224.0/19

To prevent outgoing access to www.facebook.com, enter:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Ou encore :

You can also use domain name, enter:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

Mais c'est une mauvaise idée
... specifying any name to be resolved with a remote query such as DNS (e.g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address ...

Salut
Bien sûr que tu as le droit de scanner le réseau des autres, c'est quelque chose de tout à fait normal pour beaucoup de services et applis. Ce qui est ouvert et répond est là pour ça. Tout comme le réseau scanné a le droit d'enregistrer toutes les traces de ce que tu fais.
Ça devient illégal à partir du moment ou tu fais cela pour provoquer un déni de service par exemple ou autre but frauduleux immédiat autre que scanner

Je n'ai toujours pas compris ce que faisait ton serveur. C'est une passerelle ? Un proxy ? un serveur DNS ? un simple firewall ?


Résoudre des dns avec iptables ou le service de routage est une mauvaise idée car ce sont des services essentiels qui doivent répondre très rapidement.
Si on doit résoudre un dns pour chaque paquet (envoie requete dns + attente réponse) les temps d'accès vont exploser et ralentir énormément ton service.
Ce qu'il faut c'est déterminer AVANT la liste de toutes les IP des domaines que tu veux interdire. Et ensuite mettre à jour cette liste régulièrement, un peu comme un cache. Mais peut être que iptables ou un autre service peut faire tout cela tout seul, je ne sais pas.