|
Отдельный DNS для второго сетевого интерфейса
Доброго времени суток! Хочу посоветоваться, а то в ступоре малость...
Поднял прозрачный прокси\контент фильтр на Squid и Dansguardian соответственно. Все работает. Приходила прокуратура. дали федеральный список всяких запрещенных вещей в интернете. Ессно самому это вбивать в Dansguardian долго, да и список обновляется постоянно, муторно. Нашел решение попроще - бесплатные dns серверы от Netpolice. То есть контент фильтрация будет идти как на dansguardian, так и на самом dns от Netpolice. И задался я вопросом: как для сетевого интерфейса, который раздает интернет в локалку, назначить отдельный DNS? есть способ проще - на самом сервере настроить dns и все, но мне нужно, чтобы такая супер фильтрация была только для компьютеров в локальной сети. Компьютеров всего около 100. Можно было конечно настроить отдельно на каждом компе dns сервер, но я работаю в учебном заведении, где программисты учатся, поэтому додумаются уж, да и 100 компьютеров перенастраивать - долго. Пробовал в interfaces прописывать dns-nameservers 81.176.72.82 для интерфейса, который смотрит в локалку - не работает, все равно получает dns от сервера. Подскажите, как разрулить? Заранее благодарен |
Ваша затея ничего не даст, т.к. squid резольвит сам и делает это вовсе не на внутреннем интерфейсе. Именно ему и нужно подпихивать сервера от этой Netpolice через директиву dns_nameserves. Но лучше поднять кэширующий DNS сервер с upstream серверами от Netpolice, принудив локалку средствами фаервола использовать только его (закрыть доступ в мир TCP/53 и UDP/53 из локалки, оставив доступ только к своему DNS-серверу); прописать его в указанную директиву сквида dns_nameservers и на нужные локальные машины, не прописывая, однако, в resolv.conf на самом сервере, чтобы его службы по умолчанию продолжали пользоваться нормальными, "необрезанными" DNS. По поводу сложности настройки на сотне машин, есть такая штука DHCP, ею можно раздавать сетевые настройки, в т.ч. DNS, также можно сделать жёсткую привязку по мак-адресу, тут придётся повозиться, переписывая мак-адреса, зато потом сетевые настройки на всём зопарке можно будет менять лёгким движением руки, одновременно не давая ушлым студентам свободы действий.
|
спасибо! попробую по колдовать. Правильнее конечно dhcp сделать. Просто там ужас творится такой, не знаю за что браться. С прокуратурой, проверками этими... Я сторонник свободного ПО, поэтому хочу перевести весь колледж на Linux. Но проблем 2 штуки есть: Компас 3D v.12 под Вайном глючит, MS Access не работает вовсе....
Ну лан, что то уже ушел от темы сабжа))) в общем спасибо за советы, как сделаю-отпишусь |
Все отлично, прописал в Сквиде dns_nameservers 81.176.72.82, перечитал конфигурацию squid -k reconfigure, и теперь все компьютеры локальной сети ходят через DNS NETPOLICE. Пока что к компьютерам-клиентам подходить не буду, оставлю как есть. А подскажите еще пожалуйста, если закрыть доступ в мир TCP/53 и UDP/53 из локалки, то поможет ли это в случае того, если вдруг кто-то на компьютере-клиенте вручную забьет "правильный " DNS, например, 8.8.8.8?
*** Вопрос в моем случае отменяется, попробовал на компьютере-клиенте поставить dns сервер, отличный от 192.168.1.1, - интернет не работает, как раз то, что нужно!) а iptables настроен всего лишь на перенаправление 80 порта TCP на порт 7145, где dansguardian сидит |
Цитата:
|
А командами
# ufw default DENY # ufw ALLOW 8080 # ufw enable насколько я понял, разрешается только порт 8080 (там сидит у меня Dansguardian, который в свою очередь соединяется с Кальмаром) ? Этим разве не перекроется "ходьба" через левые прокси? Да и плюс ко всему, NAT у меня не включен |
Цитата:
Цитата:
|
Цитата:
|
| Время: 08:25. |
Время: 08:25.
© OSzone.net 2001-