Salut tout le monde,
 
A la manière d'OpenDNS qui renvoie dans certains cas une adresse ip qui n'a rien à voir avec la réalité, je cherche à configurer pour ma boîte un serveur DNS cache récursif menteur, je m'explique :
 
Considérons:
A le site web non productif "www.poitrines.org" d'adresse IP "1.2.3.4",
B Le site web interne sur lequel il y a marqué "va bosser feignasse !" d'adresse "192.168.0.1"
C Et enfin l'adresse IP d'un collègue "192.168.0.42"  
 
Quand C fait une requête dns sur A, l'adresse de B est renvoyée et c'est le mauvais site qui est affiché, par contre pour toute autre requête légitime les réponses DNS ne sont pas manipulées. Le but à terme est de pouvoir créer une blacklist avec dedans youtube, facebook... pour filtrer au niveau du DNS.
 
Certains me diront que je peux faire ça facilement avec un proxy squid, mais je cherche un fonctionnement 'à la OpenDNS'
 
Donc si quelqu'un peut m'aiguiller sous BIND ou PowerDNS... Merci d'avance.

comment tu définis les requêtes légitimes ?

Et bien les requêtes légitimes portent sur les domaines qui ne sont pas "blacklistés"
 
1 le client émet une requete DNS au resolveur/cache
2 le resolveur consulte sa blacklist:

• si le domaine y est mentionné il renvoie une fausse IP (page web de blocage)
• sinon il fait son boulot normal de DNS récursif et renvoie l'ip réelle du site

regarde à "DNS view"

et si c'est pas du web ?

t'es niqué

voilà pk je déteste les dns menteurs

lol!

sinon, faut te mettre autoritaire sur les zones que tu veux blacklister .. et là, tu as de boulot

c'est facile à contourner non?
si j'ai un patron sadique comme toi, je me ssh sur n'importe quelle machine ailleurs (en web dans le pire des cas), je fais ping youtube.fr, ping fellation.com, je note les IP..
et encore, si j'étais incompétent je ferais ça de chez moi et je les noterais sur un bout de papier.

Ceux qui savent faire ça bossent au SI, pas dans un autre service ...

 
Question bête, tu n'as pas de proxy ? Au boulot, on a squid+squiguard, et du coup, les personnes essayant des adresses interdites sont redirigées sur une page précise.
 
edit : mince j'avais lu trop vite ton message.

Il y a baleine sous cailloux... ça se sent à plein nez.
 
Le monsieur a surement une autre idée derrière la tête... idée non louable(type phishing au sein de la boite)?
Parcequ'il y a vraiment d'autres moyens d'empecher les utilisateurs d'aller sur grosseins.com ou sur facebook.
Surtout que je vois mal quelqu'un se palucher toutes les url "non productive" pour les interdire par la manière demandée.
Etrange demande

D'accord avec toi sur l'usine à gaz à mettre en place pour ce qu'il veut, mais avec mon simple proxy squid au boulot, je peux déjà faire du phishing si je veux.
Vu que je redirige les utlisateurs vers une page d'avertissement en fonction du type de site qu'ils veulent aller voir, je peux très bien créer des copies des sites de banques/FAI et les rediriger vers des copies des sites en question, sans qu'ils ne voient rien (d'ailleurs, je n'y avais même pas pensé avant que tu n'en parles, merci

Il y a mieux que ça.
 
1. Faire signer aux utilisateurs une Charte, interdire les accès qui sortent du cadre professionnel (y compris eMails) et mettre un filtre.
2. Laisser travailler les gens
3. Au 2e avertissement ---> Mise à pied provisoire.
 
Généralement le point 1 calme déjà la chose.
 
.... c'était pourtant tellement simple comme solution.
 
ah la la ces jeunes il faut tout leur expliquer !

Chez les Bisounours ça marche ça, mais dans la vraie vie, les règlements n'ont que peu de valeur et sont rarement appliqués (chez nous en tout cas).
Donc autant filtrer à la base, le résultat est le même et personne n'ose venir se plaindre parce que tel ou tel site ne sont pas accessibles.

Désolé de te contredire.
Je ne crois pas qu'on ait éthiquement parlant une attitude responsable en filtrant (ou fliquant) le personnel.
Juridiquement c'est illégal et même pénal.
 
Tu ne peux pas mettre une Policy au hasard sans la faire contre-signer.
 
Les grosses (et moyennes) entreprise le font systématiquement à l'entrée d'un employé lors de la signature du contrat de travail. La procédure est correcte et suffit amplement.
 
Et il faut bien comprendre que ce ne sont pas les sites "cuculs" qui vont faire réduire la production du personnel.  
 
Il faudrait alors commencer par faire interdire les fumeurs de sortir prendre le clope et virer la machine à café .. tu gagnerais en temps de production (et quelques années de taule aussi).

Je n'ai pas dit que ce n'était pas officiel !
Il y a une charte, elle a été signée, il est marqué noir sur blanc que certains sites n'ayant aucun rapport avec l'activité sont verrouillés.
S'ils essaient, ils arrivent sur une page explicite indiquant une tentative d'accès à un site verrouillé.
Tu crois qu'une feuille signée, sans verrouillage et logs derrière, ça suffit ?
Bien sûr puisque tu n'as pas de preuves des fautes ensuite.
Et je te contredis en disant que facebook et compagnie foutent en l'air la productivité.
Faut pas déconner, il y en a qui passent facilement des heures par jour sur ces sites au lieu de bosser.
Après les clopes et compagnie, je m'en tape, je suis informaticien et pas DRH.

Les logs c'est pour la justice en cas de problème, dans un cadre informatique classique où les dirigeants ont autre chose à faire que d'espionner leurs employés, bien sûr.

 
C'est illegal.
Une charte doit être validé par le CE puis par la CNIL pour être légal, sinon elle ne vaut rien.
Mais ça ne veux pas dire que tu peux mettre à pied quelqu'un parcqu'il va voir un site porno par ex... sauf si le contenu est penalement condamnable Mais comme tu ne peux pas exploiter les logs, tu dois les conserver 1 an en cas de demande judiciare: c'est la loi anti-terroriste de 2002 ou 2004 (toute personne ou organisme donnant accès à internet est considéré comme FAI devant la loi).
Il y a un droit au respect de la vie privé (droit français et droit europeen) qui ne te permets pas de faire ce que tu veux et mêm dans le cadre de l'entreprise.
Pire, tu t'exposes toi même à des poursuites.
 
Il faut peut être tout leur expliquer à ces jeunes, mais pas leur expliquer n'importe quoi non plus.

 
Exact, les employés comme les patrons n'ont pas le droit de les exploiter.
L'employé sanctionné se retournera facilement contre l'entreprise et si le patron n'a pas donné d'ordre écrit pour faire ça, c'est ce con (en général l'informaticien) qui récuperera les logs qui mangera.
 
Si le patron impose, et qu'on est cadre (donc penalement responsable) de faire quelque chose d'illegal on doit faire valoir son droit de baillonette(refuser un ordre manifestement illegal... et nul n'est sensé ignorer la loi).
Pour les non cadres, la reponsabilité penale est limité... encore faut il prouver que c'est sur ordre du patron qu'on a fait ça.
 
Je vous recommande grandement d'aller sur le site de la CNIL est de récupérer tous les documents sur le sujet.