[Guest 80 247 100]

ну это вряд ли из-за ДНС, это скорей всего как-то не так запрещаете, напишите как...

а чтобы запретить доступ к ДНС провайдера нужно подънять файрволл и закрыть доступ на 53 порт во внешней сети из внутренней сети...

[Ak74]

Guest 80 247 100
пока я еще никак не запрещаю клиентам доступ к DNS провайдера, ищу варианты - как это можно сделать.

Файрволл - ipchains, но в правилах я не могу полностью разобраться, на два интерфейса eth0, eth1 их прописано примерно 200 - это нормально?

а 53 порт я могу закрывать только файрволом?

[Guest 80 247 100]

Ak74

Цитата:

eth0, eth1 их прописано примерно 200 - это нормально?

да это нормально.
Я имел ввиду покажите конфиг squid-а в том месте где вы пытаетесь запретить

Цитата:

доступ к интернет в сквиде для конкретного IP, а у клиента в свойствах прописан DNS провайдера, то он все равно ходит в интернет (в логе сквида есть записи куда ходит этот IP).

и то место в логе тоже покажите

[Guest]

1. Можно установить внутренние днс сервера(лучше два)
Один на шлюзе для внешней и внутренней сети(если например есть свой домен аля 2-3 уровня), второй во внутренней сети и для нее предназначенный во сновном(secondary dns, подойдет любой старый комп ибо на нем будет только днс). Итого:
а) на клиентах мы прописываем только наши днс - этим мы снимаем трафик к днс от клиентов во внешнюю сеть
б) на первом сервере(шлюзе) мы указываем днс провайдера в resolv.conf и соответственно через опции для наймеда - forward
в) на втором сервере мы указываем только днс к шлюзу...(он для этого и служит чтоб держать клиентов внутренней сети, заадно будет еще и кэшировать их запросы...)
2. Читаем книгу Брондмауэры в линукс и идем на сайт авторов там берем файло для настройки firewall-а для ipchains (Он очень подробный.... только немного подправить под себя...)
3. Нужно - еще желательно настороить нат... для заворота всех запросов от клиентов по 80 порту на 3128(аля прозрачное проксирование, и для всех остальных используемых портов -21 итд)
_____________________
by sergleo

[Ak74]

Guest 80 247 100
В сквиде я никак не запрещаю доступ от клиента с прописанным ДНС провайдера - я не знал, что можно такое делать :-(

Цитата:

Я имел ввиду покажите конфиг squid-а в том месте где вы пытаетесь запретить

В конфиге сквида в acl прописано имя файла - перечень IP, которым разрешено ходить в инет. Когда пользователь выбирает свой месячный лимит - я комментирую его IP до следующего месяца. Но несколько умных узнали ДНС провайдера, прописали его у себя и ходят в интернет, когда доступ в сквиде для них закрыт, причем сквид ведет на закрытые IP- адреса лог. Вот я и хочу запретить им такой трюк. Только ipchains?

[Guest 80 247 100]

Цитата:

Только ipchains?

да так просче будет

[Ak74]

Почитал ipchains-howto

Насколько я понял - надо клиентам внутренней сети закрыть порт 53 (eth0-внутренний интерфейс, eth1-наружный)

ipchains -A input -p tcp 53 -i eth0 -s 10.0.0.0/255.255.255.0 -j DENY
так?

[ooptimum]

Ak74
Ну, примерно так. Только надо написать еще точно такое же правило, но для протокола UDP. И потом, если у тебя на eth0 висит только сеть 10.0.0.0/255.255.255.0, то либо условие "-s", либо условие "-i" являются избыточными. В принципе, наличие обоих условий одновременно не является ошибкой, но можно обойтись и более простым правилом.

Хотя, как тут правильно указали, проблема не в том, как запретить доступ к DNS средствами ipchains, а в том, как правильно закрывать доступ squid'ом. Т.е. не надо пытаться удалить гланды через задний проход.

[Ak74]

ooptimum
Плиз, подскажите хать в каком направлении рыть в squid, чтобы закрыть клиентам DNS-запросы. В доках по squid я не встречал такой возможности, у меня стоит squid 2.3