Какие фаерволы могут блокировать приложениям доступ по домену при этом не соединяясь с этими доменами?
Пробовались разные фаерволы, например comodo. Там есть функция запрета приложению или всей системе доступа к заданному домену (например music.com).
Проблема в том, что перед тем как запретить доступ к домену фаервол сначала все же позволяет соединение к этому домену и только потом блокирует доступ к нему. Как минимум сам фаервол соединяется с ним.
Вариант использовать файл hosts не подходит, так как нужно создавать запреты для отдельных приложений, а не только для всей системы.
1. Какие фаерволы могут блокировать приложениям доступ по домену при этом не соединяясь с этими доменами?
2. Почему запреты по ip адресам в фаерволах работают как надо (то есть чтобы заблокировать ip адрес с ним не нужно предварительно соединяться), а для запрета домена с ним идет предварительное соединение?
Полагаю это как то связано с разным типом работы фаерволов. Примечательно, что если заблокировать домен в файле hosts, то его блокировка осуществляется без предварительного соединения с ним. Почему в фаерволах нельзя реализовать похожий принцип?
Drno, outpost firewall тоже пробовался, там ситуация аналогичная с comodo.
"для того чтобы заблокировать доступ к домену, надо узнать его IP" - да, но при этом почему если заблокировать домен в файле hosts, то его блокировка осуществляется без предварительного соединения с ним? То есть система даже не пытается узнать какой ip у домена. Видит, что идет запрос на доменное имя, которое есть в запретном списке и блокирует его.
> Какие фаерволы могут блокировать приложениям доступ по домену при этом не соединяясь с этими доменами?
Любые. Чтобы узнать IP не нужен запрос к серверу для которого резолвится это доменое имя
Может не надо лезть в дебри?. Самый простой вариант блокировать по домену, это контролировать DNS. Если DNS будет возвращать 0.0.0.0 на заблокированное имя, то никакого подключения не будет.
mureevms, приложению запрещен доступ к определенному домену в фаерволе. Само приложение при попытке соединиться с этим доменом не имеет к нему доступа. Но сам фаервол соединяется непосредственно с этим доменом (в том числе с его ip). Это отображается и в интерфейсе самого фаервола.
Ранее писали, что для того чтобы заблокировать домен, нужно узнать его ip. Это вроде имеет смысл, но при этом остается вопрос, почему когда в файле hosts прописывается список запрещенных доменных имен, то они блокируются без предварительного узнавания их ip?
books14, Что-то не так. Смысл фаервола фильтровать трафик, а не ходить и проверять, что там. Как тестировали, кто именно шлет запрос? Быть может это не фаервол, а просто какая-то веб защита, которая так и должна работать.
Файл hosts это локальный типа "DNS сервер". Когда системе надо сопоставить IP с доменом, сначала она ищет соответствие в hosts и если не находит, то идет искать на DNS сервер. Это ничего не блокирует. Домен резлвится в какой-нибудь 127.0.0.1 и запрос просто не выходит дальше lo интерфейса
mureevms, на внешнем роутере отображается установленное соединение на заблокированный домен + сам фаервол без зазрения совести показывает у себя в интерфейсе, что соединялся с этим доменом.
Тут стоит отметить, что даже если не само приложение (которому запрещен домен), а просто какая то служба или что то еще соединяется с запрещенным доменом - это не то, что нужно.
Нужно, чтобы соединения с заблокированным доменом не было вообще.
"Это ничего не блокирует. Домен резлвится в какой-нибудь 127.0.0.1 и запрос просто не выходит дальше lo интерфейса" - это вполне устаривает. Главное, чтобы запросы не выходили во "внешнюю" сеть, интернет.
Вариант с использованием DNS неплох, но создавать запреты по доменам нужно не всей системе, а только определенным приложениям. Если есть варианты с DNS, которые позволяют такое, то с рассмотрел бы их.
books14, значит это не фаервол а какой-нить анализатор трафика или контен фильр или как еще это называется.
А встроенный чем не устраивает, он вполне себе умеет такое.
Вариант с использованием DNS неплох, но создавать запреты по доменам нужно не всей системе, а только определенным приложениям. Если есть варианты с DNS, которые позволяют такое, то с рассмотрел бы их.
Нет, это не так работает. Почитайте про ДНС подробнее