- PR -

反復問い合わせ中での接続規制について

1
投稿者投稿内容
未記入
会議室デビュー日: 2008/05/21
投稿数: 4
投稿日時: 2008-05-21 01:26
職場のLANから外部への接続をファイヤーウォールを使って規制しようと考えてるのですが、例えば反復問い合わせの過程で得たDNSサーバからのAレコード(IPアドレス)で接続規制することは可能でしょうか?接続中断によるタイムアウトは避けたいです。特定のIPアドレスをDNSから受信したとき、別のIPアドレスに変換し、別のサイト(接続拒否のお知らせ画面)に誘導する方法など、いい方法があればわかりやすく教えていただきたいのですが
すけ
会議室デビュー日: 2008/02/12
投稿数: 13
投稿日時: 2008-05-26 06:39
ファイアーウォールにどのような製品の使っているのかわかりませんが、
特定のIPアドレスを禁止にする機能は、よくある機能だと思います。
その機能をONにすれば、解決しそうですが・・・。

タイムアウトが困るのであれば、ファイアーウォールの設定にて、DROPではなく
RSTパケットを返せるようにすれば、(TCPであれば)すぐに切断されます。

ブラウザで接続拒否お知らせページを出したいのであれば、DNSに
「禁止ドメイン=お知らせWebサーバ」の登録をしておけば、禁止ドメインへの
アクセス時にはお知らせWebサーバ上のお知らせページが表示されると思います。

未記入
会議室デビュー日: 2008/05/21
投稿数: 4
投稿日時: 2008-06-03 00:14
ありがとうございます。大変感謝しております。
もう少し詳しく教えていただきたいのですが、

タイムアウトが困る場合、ファイアーウォールの設定で、RSTパケットを返せるようにすれば、(TCPであれば)とのことですが、そうすることによって、デメリットは生じるのでしょうか?それと、これは特定のIPアドレスに対してのみにも適用可能なのでしょうか?

それと、ブラウザで接続拒否お知らせページについてですが、名前解決の過程(ホストのアドレスにたどり着く前)でお知らせできるようにしたいのですが、可能なのでしょか?
1

スキルアップ/キャリアアップ(JOB@IT)