Доброго времени суток! Хочу посоветоваться, а то в ступоре малость...
Поднял прозрачный прокси\контент фильтр на Squid и Dansguardian соответственно. Все работает.
Приходила прокуратура. дали федеральный список всяких запрещенных вещей в интернете. Ессно самому это вбивать в Dansguardian долго, да и список обновляется постоянно, муторно. Нашел решение попроще - бесплатные dns серверы от Netpolice. То есть контент фильтрация будет идти как на dansguardian, так и на самом dns от Netpolice. И задался я вопросом: как для сетевого интерфейса, который раздает интернет в локалку, назначить отдельный DNS? есть способ проще - на самом сервере настроить dns и все, но мне нужно, чтобы такая супер фильтрация была только для компьютеров в локальной сети. Компьютеров всего около 100. Можно было конечно настроить отдельно на каждом компе dns сервер, но я работаю в учебном заведении, где программисты учатся, поэтому додумаются уж, да и 100 компьютеров перенастраивать - долго. Пробовал в interfaces прописывать dns-nameservers 81.176.72.82 для интерфейса, который смотрит в локалку - не работает, все равно получает dns от сервера. Подскажите, как разрулить? Заранее благодарен

Ваша затея ничего не даст, т.к. squid резольвит сам и делает это вовсе не на внутреннем интерфейсе. Именно ему и нужно подпихивать сервера от этой Netpolice через директиву dns_nameserves. Но лучше поднять кэширующий DNS сервер с upstream серверами от Netpolice, принудив локалку средствами фаервола использовать только его (закрыть доступ в мир TCP/53 и UDP/53 из локалки, оставив доступ только к своему DNS-серверу); прописать его в указанную директиву сквида dns_nameservers и на нужные локальные машины, не прописывая, однако, в resolv.conf на самом сервере, чтобы его службы по умолчанию продолжали пользоваться нормальными, "необрезанными" DNS. По поводу сложности настройки на сотне машин, есть такая штука DHCP, ею можно раздавать сетевые настройки, в т.ч. DNS, также можно сделать жёсткую привязку по мак-адресу, тут придётся повозиться, переписывая мак-адреса, зато потом сетевые настройки на всём зопарке можно будет менять лёгким движением руки, одновременно не давая ушлым студентам свободы действий.

спасибо! попробую по колдовать. Правильнее конечно dhcp сделать. Просто там ужас творится такой, не знаю за что браться. С прокуратурой, проверками этими... Я сторонник свободного ПО, поэтому хочу перевести весь колледж на Linux. Но проблем 2 штуки есть: Компас 3D v.12 под Вайном глючит, MS Access не работает вовсе....
Ну лан, что то уже ушел от темы сабжа))) в общем спасибо за советы, как сделаю-отпишусь

Все отлично, прописал в Сквиде dns_nameservers 81.176.72.82, перечитал конфигурацию squid -k reconfigure, и теперь все компьютеры локальной сети ходят через DNS NETPOLICE. Пока что к компьютерам-клиентам подходить не буду, оставлю как есть. А подскажите еще пожалуйста, если закрыть доступ в мир TCP/53 и UDP/53 из локалки, то поможет ли это в случае того, если вдруг кто-то на компьютере-клиенте вручную забьет "правильный " DNS, например, 8.8.8.8?

***
Вопрос в моем случае отменяется, попробовал на компьютере-клиенте поставить dns сервер, отличный от 192.168.1.1, - интернет не работает, как раз то, что нужно!) а iptables настроен всего лишь на перенаправление 80 порта TCP на порт 7145, где dansguardian сидит

Вопрос в моем случае отменяется »
Я конечно не в курсе, как у вас там настроен фаервол, но по первому взгляду, не отменяется - кто мешает выставить в браузере левый прокси, коих кучи?

А командами
# ufw default DENY
# ufw ALLOW 8080
# ufw enable
насколько я понял, разрешается только порт 8080 (там сидит у меня Dansguardian, который в свою очередь соединяется с Кальмаром) ? Этим разве не перекроется "ходьба" через левые прокси?

Да и плюс ко всему, NAT у меня не включен

Этим разве не перекроется "ходьба" через левые прокси? »
Перекроется. Тем более, что
NAT у меня не включен »
Кстати, неплохо бы и с наружи доступ к прокси перекрыть, возможно, его и так невозможно использовать снаружи, запрещено ACL'ами, но лучше искателей халявных прокси не соблазнять.

Кстати, неплохо бы и с наружи доступ к прокси перекрыть »
ну, у меня Squid обслуживает только конкретный сетевой интерфейс и конкретную подсеть, так что, думаю, и так нормально)))