[vadblm]

Ваша затея ничего не даст, т.к. squid резольвит сам и делает это вовсе не на внутреннем интерфейсе. Именно ему и нужно подпихивать сервера от этой Netpolice через директиву dns_nameserves. Но лучше поднять кэширующий DNS сервер с upstream серверами от Netpolice, принудив локалку средствами фаервола использовать только его (закрыть доступ в мир TCP/53 и UDP/53 из локалки, оставив доступ только к своему DNS-серверу); прописать его в указанную директиву сквида dns_nameservers и на нужные локальные машины, не прописывая, однако, в resolv.conf на самом сервере, чтобы его службы по умолчанию продолжали пользоваться нормальными, "необрезанными" DNS. По поводу сложности настройки на сотне машин, есть такая штука DHCP, ею можно раздавать сетевые настройки, в т.ч. DNS, также можно сделать жёсткую привязку по мак-адресу, тут придётся повозиться, переписывая мак-адреса, зато потом сетевые настройки на всём зопарке можно будет менять лёгким движением руки, одновременно не давая ушлым студентам свободы действий.

[CJ F.A.N.]

спасибо! попробую по колдовать. Правильнее конечно dhcp сделать. Просто там ужас творится такой, не знаю за что браться. С прокуратурой, проверками этими... Я сторонник свободного ПО, поэтому хочу перевести весь колледж на Linux. Но проблем 2 штуки есть: Компас 3D v.12 под Вайном глючит, MS Access не работает вовсе....
Ну лан, что то уже ушел от темы сабжа))) в общем спасибо за советы, как сделаю-отпишусь

[CJ F.A.N.]

Все отлично, прописал в Сквиде dns_nameservers 81.176.72.82, перечитал конфигурацию squid -k reconfigure, и теперь все компьютеры локальной сети ходят через DNS NETPOLICE. Пока что к компьютерам-клиентам подходить не буду, оставлю как есть. А подскажите еще пожалуйста, если закрыть доступ в мир TCP/53 и UDP/53 из локалки, то поможет ли это в случае того, если вдруг кто-то на компьютере-клиенте вручную забьет "правильный " DNS, например, 8.8.8.8?

***
Вопрос в моем случае отменяется, попробовал на компьютере-клиенте поставить dns сервер, отличный от 192.168.1.1, - интернет не работает, как раз то, что нужно!) а iptables настроен всего лишь на перенаправление 80 порта TCP на порт 7145, где dansguardian сидит

[vadblm]

Цитата CJ F.A.N.:

Вопрос в моем случае отменяется »

Я конечно не в курсе, как у вас там настроен фаервол, но по первому взгляду, не отменяется - кто мешает выставить в браузере левый прокси, коих кучи?

[CJ F.A.N.]

А командами
# ufw default DENY
# ufw ALLOW 8080
# ufw enable
насколько я понял, разрешается только порт 8080 (там сидит у меня Dansguardian, который в свою очередь соединяется с Кальмаром) ? Этим разве не перекроется "ходьба" через левые прокси?

Да и плюс ко всему, NAT у меня не включен

[vadblm]

Цитата CJ F.A.N.:

Этим разве не перекроется "ходьба" через левые прокси? »

Перекроется. Тем более, что

Цитата CJ F.A.N.:

NAT у меня не включен »

Кстати, неплохо бы и с наружи доступ к прокси перекрыть, возможно, его и так невозможно использовать снаружи, запрещено ACL'ами, но лучше искателей халявных прокси не соблазнять.

[CJ F.A.N.]

Цитата vadblm:

Кстати, неплохо бы и с наружи доступ к прокси перекрыть »

ну, у меня Squid обслуживает только конкретный сетевой интерфейс и конкретную подсеть, так что, думаю, и так нормально)))