Фильтрация DNS трафика через Socks5?

Question

[SysUtils]

Добрый вечер всем, кто читает этот вопрос. Немного запутался, прошу помощи в посвящении и направлении. В общем, протокол Socks5 представляет из себя прокси-сервер для фильтрация трафика между клиентом и сервером. Работает как с TCP, так и с UDP трафиком. То есть, при подключении к Socks5, сервер к которому я обращаюсь будет видеть ip адрес proxy сервера(TCP) и ip DNS провайдера этого proxy-сервера(UDP). Получается что фильтруется TCP и UDP трафик. Вот здесь первый вопрос. Как правило proxy-сервера Socks5 не поддерживают фильтрацию UDP трафика, как быть в таком случае? Поддерживает ли 3proxy данную функцию?(может нужны специальные настройки какие-то?). Можно ли как то получить ip DNS провайдера через Socks5, если он не поддерживает UDP проксификацию?

Comments

[Axian Ltd.]

Термин "фильтрация" имхо не подходит к описанию работы socks

[SysUtils]

SyavaSyava: Я хочу, чтобы сервер, к которому я обращаюсь видел только IP прокси-сервера и DNS провайдера этого прокси-сервера. Вот

[SysUtils]

А вот повлиять на то, какой DNSбудет смотреть сервер, к которому вы обращаетесь - вы не можете никак. Какой у него в настройках стоит - такой и будет использовать.

Вот видите DNS? Допустим это мой сервер, на котором я поднял Socks5. Я подключился с другого компьютера(comp1) к этому Socks5, и хочу чтобы при обращении к любому ресурсу, ресурс думал, что у меня этот DNS адрес, а не тот что я пропишу в настройках сетевого подключения или мой DNS, который мне выдал провайдер для comp1. Такое возможно?

Answer 1

[Владимир Дубровин]

1. Если у вас стоит в SOCKS-клиенте опция разрешать имена через SOCKS, то никакой UDP-трафик не ходит, просто сокс-клиент вместо IPv4/IPv6 адреса передает серверу имя и сервер сам его разрешает. Разграничить доступ по именам при этом можно и не представляет проблем.
2. Если эта опция в SOCKS-клиенте не стоит, то DNS-запросы вообще в прокси не попадают, скорее всего даже при использовании соксификатора.
3. 3proxy умеет фильтровать любой трафик, в т.ч. UDP, но для того, чтобы дать доступ по именам хостов этого не требуется
4. 3proxy поддерживает разрешение имен по TCP (DNS-серверы поддерживают не только UDP но и TCP). В т.ч. не сложно пустить DNS-запросы (именно полноценные DNS-запросы) через родительский прокси по TCP. Пускать их по UDP через родительский прокси большого смысла нет, т.к. управляющее подключение к прокси при этом все равно устанавливается по TCP.
5. 3proxy имеет службу DNS proxy (dnspr), которая позволяет разрешать/блокировать DNS-запросы по доменам. Можно пустить DNS через эту службу и сделать так, чтобы до провайдера эти запросы никогда не доходили.

Что из этого вам надо или не надо я не представляю, т.к. вместо того, чтобы описать задачу вы описали ваши представления, которые не корректны и ваш вопрос исходит из кучи неверных предпосылок и проблема из него не понятна.

Comments

[SysUtils]

ваш вопрос исходит из кучи неверных предпосылок

Полностью с вами согласен. Обращался с конкретной задачей не на один форум не получил не одного ответа > отчаяние, неправильно сформулированный вопрос > неправильное представление.
Какая конкретная задача?
Подключиться к Socks5 на Linux так, чтобы при обращении к любым внешним ресурсам, эти ресурсы не знали мой РЕАЛЬНЫЙ ip и МОИ РЕАЛЬНЫЕ IP DNS серверов провайдера. Если проще, хочу ip Socks-a и ip DNS серверов провайдера этого Socks-a. Фуг вроде объяснил.

[Владимир Дубровин]

SysUtils: подключиться каким клиентом?

[SysUtils]

Владимир Дубровин: Я пробовал с помощью Redsocks, но не получилось, поэтому не принципиально какой клиент. Какой будет лучше для данной задачи?

[Владимир Дубровин]

redsocks для этого скорей всего не годится. Да и вообще вряд ли какой-то бесплатный соксификатор для этого пригоден, т.к. требуется достаточно хитрая логика для "подменного" разрешения имен, она бывает в платных соксификаторах. Вы можете попробовать сделать решение с локальным DNS-прокси примерно в такой конфигурации (этот прокси нужно запустить на клиенте)

auth iponly
nscache 65536
nserver 127.0.0.1:5353/tcp

dnspr -i127.0.0.1
flush
allow *
parent 1000 socks ip_of_the_socks port_of_the_socks login password
tcppm -i127.0.0.1 5353 8.8.8.8 53

на 53м порту на 127.0.0.1 будет DNS-резолвер перенаправляющий все запросы в google DNS по TCP.
Этот прокси (127.0.0.1) следует использовать вместо провайдерского DNS.
Совместно с этим DNS-прокси можно использовать соксификатор.
allow и parent нужны только в том случае, если прокси не будет попадать под соксификатор, иначе перенаправление будет делать сам соксификатор.

[Vladimir Zhurkin]

Как я уже и писал в другой теме, для клиентов поставить свой dns сервер, который будет отвечать клиентам.

В нем уже указываем нужный вам dns, там где он должен быть и не важно через чего. Будет ли это vpn, просто проброс портов не важно.
Для клиентов вы уже заворачиваете все запросы dns на ваш dns сервер.
Те, что бы в dig при запросе например 8.8.8.8 отвечал ваш dns.

Вы можете да же не использовать socks proxy dns, а тупо ssh сделать проброску 53 порта куда вам надо :)

[SysUtils]

Спасибо, я попробую

[SysUtils]

Владимир Дубровин: А Dante Client не подойдет как соксификатор? Нашел вот эту статейку, вроде про преобразование DNS имен говориться. Что скажите, стоит попробовать?

[Владимир Дубровин]

SysUtils: не знаю, попробуйте.