|
在多網絡中運行
如果用戶要在多個位置管理網絡,那請記住這一點:你可以將多個網絡添加到一個OpenDNS賬戶中�����。管理網絡更為輕松,即使內容過濾和其它的設置在網絡之間有什么不同也在話下���。例如,用戶可幫助自己的親戚在互聯網上更安全的使用,也可以管理企業世界中所有辦公網絡的內容過濾�����。
要將多個位置加入到OpenDNS的賬戶中����,用戶必須先添加一個網絡(在面板中的“Networks”選項卡上)�����,參考前圖4�。如果用戶的網絡使用動態的IP地址����,就需要在連接到網絡的一臺計算機上安裝更新客戶端或使用路由器的內置客戶端,如前文所述�。用戶還可以將DNS-O-Matic用于多個OpenDNS網絡����。正如直接將IP更新到OpenDNS一樣�,用戶需要輸入每一個網絡的名稱,作為每一個網絡更新客戶端的“Host Name”參數����。
如果用戶正使用加載有固件替換DD-WRT的路由器��,用戶會發現,即使在將網絡名作為主機名傳輸時�����,仍能更新DNS-O-Matic中所有網絡的IP��。如果用戶正試圖管理多個網絡����,這就不太好���。其實有一個解決方法:不要使用圖形用戶界面來配置動態的DNS設置(Dynamic DNS)�,用戶可以將代碼輸入到啟動命令中��,這樣就能正確地更新����。在DD-WRT 的Web界面上,單擊“Administration”/“Commands”��,將下面的代碼粘貼到命令框中��,單擊“Save Startup”按鈕:
#!/bin/sh
mount ramfs /mmc -t ramfs
mkdir /mmc/etc
mkdir /mmc/etc/config
echo "#!/bin/sh
inadyn --background --username ??? --password ??? --alias ??? --dyndns_server_name updates.dnsomatic.com --dyndns_server_url /nic/update?
sleep 3
killall -9 -w inadyn
" > /mmc/etc/config/ppp0.wanup
chmod 700 /mmc/etc/config/ppp0.wanup
當然��,用戶需要將第六行的“?”用DNS-O-Matic用戶名和口令替換之�,這與OpenDNS中的配置應當是相同的���。其后是別名����,用需要更新的網絡名稱來替換問號即可��。
用戶如何繞過OpenDNS
作為管理員需要知道���,就如同在其它的內容過濾方案中一樣,有些用戶總是要想方設法繞過OpenDNS的過濾,去訪問那結被阻止的網站�。這些用戶會試著為其計算機設置其它的DNS服務器���,這就會繞過任何內容過濾設置���。如下圖所示�����,這在Windows中是很容易配置的。如下圖9所示:
 |
| 圖9 |
用戶可能采用的另外一種方法是使用代理服務器等手段,這也會繞過網絡的DNS服務器����。這些類型的站點或程序并不總具有惡意目的��。VPN連接提供了在本地網絡上繞過DNS設置的功能。下面我們將討論如何防止用戶使用這些方法繞過OpenDNS。
強迫用戶使用OpenDNS服務器
在解決如何鎖定計算機的DNS設置之前�����,你應當保證用戶僅擁有受控制計算機上的有限特權����,這對于防止計算機上的其它問題也是有益的,如用戶隨意安裝軟件、更改設置及其它的可能影響系統安全的問題����。如果用戶無法編輯網絡屬性����,特別是TCP/IP的設置�����,那么����,也就不能使計算機使用不同的DNS 服務器�。你可以通過編輯每臺計算機的本地安全策略來管理這些用戶限制類型,在域環境中管理組安全策略,也可以簡單地將用戶指定為受限的賬戶類型�����。
如果某些或全部用戶并不受控制�����,你可以設法配置路由器阻止轉出的DNS通信,當然要排除OpenDNS服務器����。用這種方法就可以阻止非法通信�,即使用戶設置其計算機使用另外的DNS服務器也無法得逞����。它將僅準許使用OpenDNS服務的Web瀏覽。
為阻止非OpenDNS通信����,你需要研究一下你的路由器用以控制用戶服務的一些特性��,F在有許多路由器都擁有阻止服務��、訪問控制、端口過濾等特性,這準許你阻止訪問某些IP地址特定端口的發出通信。你的根本目標是阻止用戶能夠訪問任何IP地址的53號端口,除了OpenDNS的IP地址�����,即 208.67.222.222 和 208.67.220.220�。具體的方法隨路由器而有很大不同。如下圖10:
 |
| 圖10 |
該圖顯示出如何配置一臺特定的DIR-655路由器。從其配置來看�,它阻止了所有IP地址的53號端口����,除OpenDNS服務器的IP地址之外���。
如果你正使用支持iptables的高級路由器,如加載DD-WRT固件的路由器,你需要做的就是插入兩行代碼.在DD-WRT的Web界面上,單擊 “Administration”/“Commands”�,將下面的代碼粘貼到“Commands”框中���,并單擊“Save Firewall”按鈕:
iptables -t nat -A PREROUTING -p udp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
防止代理服務器/匿名工具(anonymizer)
現在你需要解決用戶通過代理/匿名工具繞過OpenDNS的內容過濾的問題�。在設置內容過濾時,一定要保證選擇“Contend Filtering”類��,而不管是選擇了預定義的級別或定制路由���。
記住�,沒有什么內容過濾方案是固若金湯的。因為每天都有許多站點聯機���,包括新的代理服務器/匿名工具站點,用戶們仍有可能找到沒有被阻止的站點來幫助其繞過OpenDNS�����。如果你看到用戶們正試圖訪問這些類型的網站�����,你可以進一步調查對付這種問題的更多方法�����。
總結
好了,到此為止�,可以說基本大功告成�。OpenDNS是一種可幫助我們保障網絡安全并免受不恰當內容危害的服務����,而且其快捷的域名解析也使得它可靠使用。我們探討了如何設置各個方面來與OpenDNS服務協同工作�。我們還討論了如何在多個網絡中運行及如何添補一些漏洞����。祝您用得順心����!【51CTO.COM 獨家特稿��,轉載請注明出處及作者���!】
本文出自:億恩科技【www.artduck.net】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
