Как заблокировать доступ пользователям к определенной доменной зоне?

Question

[Anton Kolisnyk]

Интерисуют существующие возможности такого рода ограничения. Какие есть варианты в принципе?

Answer 1

[Владимир Дубровин]

Доступ по каким протоколам?

В простейшем случае, чтобы универсально и независимо от протокола, можно завернуть весь DNS-трафик от пользователей на свой DNS, на своем DNS прописать эту доменную зону, тогда разрешения имен в ней проходить не будут, даже если пользователи поменяют настройки DNS. Но способы обхода все равно будут.

Answer 2

[CityCat4]

Вы теоретически интересуетесь?

Можно нарушить цепочку "имя->IP", подставив вместо нормального IP адрес своего сервера или 127.0.0.1, как это делают провайдеры - проверяют DNS-запрос и в случае запроса закрытого ресурса тупо отдают вместо него адрес сервера с картинкой типа "CENSORED". Путь простой, но эффективный, хотя и обойти его несложно.
Обходится шифрованием DNS-трафика (например, пускаешь его в туннель до VPS в Гейропе)

Можно поставить прокси, на котором будут банится указанные домены. Чтобы успешно банить по https, понадобится бампинг и собственный СA - поэтому обычно этот способ для энтерпрайза. Как правило, если в конторе контролируют тырнет, то есть и средства контроля за обходом ограничений и попытавшись их обойти, можно попасть например на лишение премии :D

Мо;но использовать L3-фильтры - но нужна приличной мощности железяка - при включении L3-фильтра стандартный микротик RB2011 мгновенно захлебывается.