PDA

Показать полную графическую версию : [решено] Отдельный DNS для второго сетевого интерфейса


CJ F.A.N.
16-01-2012, 07:19
Доброго времени суток! Хочу посоветоваться, а то в ступоре малость...
Поднял прозрачный прокси\контент фильтр на Squid и Dansguardian соответственно. Все работает.
Приходила прокуратура. дали федеральный список всяких запрещенных вещей в интернете. Ессно самому это вбивать в Dansguardian долго, да и список обновляется постоянно, муторно. Нашел решение попроще - бесплатные dns серверы от Netpolice. То есть контент фильтрация будет идти как на dansguardian, так и на самом dns от Netpolice. И задался я вопросом: как для сетевого интерфейса, который раздает интернет в локалку, назначить отдельный DNS? есть способ проще - на самом сервере настроить dns и все, но мне нужно, чтобы такая супер фильтрация была только для компьютеров в локальной сети. Компьютеров всего около 100. Можно было конечно настроить отдельно на каждом компе dns сервер, но я работаю в учебном заведении, где программисты учатся, поэтому додумаются уж, да и 100 компьютеров перенастраивать - долго. Пробовал в interfaces прописывать dns-nameservers 81.176.72.82 для интерфейса, который смотрит в локалку - не работает, все равно получает dns от сервера. Подскажите, как разрулить? Заранее благодарен

vadblm
16-01-2012, 13:41
Ваша затея ничего не даст, т.к. squid резольвит сам и делает это вовсе не на внутреннем интерфейсе. Именно ему и нужно подпихивать сервера от этой Netpolice через директиву dns_nameserves. Но лучше поднять кэширующий DNS сервер с upstream серверами от Netpolice, принудив локалку средствами фаервола использовать только его (закрыть доступ в мир TCP/53 и UDP/53 из локалки, оставив доступ только к своему DNS-серверу); прописать его в указанную директиву сквида dns_nameservers и на нужные локальные машины, не прописывая, однако, в resolv.conf на самом сервере, чтобы его службы по умолчанию продолжали пользоваться нормальными, "необрезанными" DNS. По поводу сложности настройки на сотне машин, есть такая штука DHCP, ею можно раздавать сетевые настройки, в т.ч. DNS, также можно сделать жёсткую привязку по мак-адресу, тут придётся повозиться, переписывая мак-адреса, зато потом сетевые настройки на всём зопарке можно будет менять лёгким движением руки, одновременно не давая ушлым студентам свободы действий.

CJ F.A.N.
16-01-2012, 20:40
спасибо! попробую по колдовать. Правильнее конечно dhcp сделать. Просто там ужас творится такой, не знаю за что браться. С прокуратурой, проверками этими... Я сторонник свободного ПО, поэтому хочу перевести весь колледж на Linux. Но проблем 2 штуки есть: Компас 3D v.12 под Вайном глючит, MS Access не работает вовсе....
Ну лан, что то уже ушел от темы сабжа))) в общем спасибо за советы, как сделаю-отпишусь

CJ F.A.N.
17-01-2012, 12:49
Все отлично, прописал в Сквиде dns_nameservers 81.176.72.82, перечитал конфигурацию squid -k reconfigure, и теперь все компьютеры локальной сети ходят через DNS NETPOLICE. Пока что к компьютерам-клиентам подходить не буду, оставлю как есть. А подскажите еще пожалуйста, если закрыть доступ в мир TCP/53 и UDP/53 из локалки, то поможет ли это в случае того, если вдруг кто-то на компьютере-клиенте вручную забьет "правильный " DNS, например, 8.8.8.8?

***
Вопрос в моем случае отменяется, попробовал на компьютере-клиенте поставить dns сервер, отличный от 192.168.1.1, - интернет не работает, как раз то, что нужно!) а iptables настроен всего лишь на перенаправление 80 порта TCP на порт 7145, где dansguardian сидит

vadblm
17-01-2012, 18:11
Вопрос в моем случае отменяется »
Я конечно не в курсе, как у вас там настроен фаервол, но по первому взгляду, не отменяется - кто мешает выставить в браузере левый прокси, коих кучи?

CJ F.A.N.
19-01-2012, 07:13
А командами
# ufw default DENY
# ufw ALLOW 8080
# ufw enable
насколько я понял, разрешается только порт 8080 (там сидит у меня Dansguardian, который в свою очередь соединяется с Кальмаром) ? Этим разве не перекроется "ходьба" через левые прокси?

Да и плюс ко всему, NAT у меня не включен

vadblm
19-01-2012, 13:17
Этим разве не перекроется "ходьба" через левые прокси? »
Перекроется. Тем более, что
NAT у меня не включен »
Кстати, неплохо бы и с наружи доступ к прокси перекрыть, возможно, его и так невозможно использовать снаружи, запрещено ACL'ами, но лучше искателей халявных прокси не соблазнять.

CJ F.A.N.
19-01-2012, 13:44
Кстати, неплохо бы и с наружи доступ к прокси перекрыть »
ну, у меня Squid обслуживает только конкретный сетевой интерфейс и конкретную подсеть, так что, думаю, и так нормально)))




© OSzone.net 2001-2012