The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"DNS и разные форвардеры для разных групп пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (DNS / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от asphinx (?), 05-Ноя-18, 22:44 
Добрый день всем!

В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача - обрезАть нежелательные ресурсы в сети для разных групп пользователей: для преподавательского состава днём обрезать кинчики и баннеры, студентам, особенно первых-вторых курсов, перекрыть порнуху и т.д. - всё по спискам доступа, утверждённым руководством... В качестве одного из инструментов для борьбы с порнухой мы выбрали Яндекс.ДНС - прописали его в качестве основного форвардера нашего bind-a. Но недавно задание было доработано - появилась группа из руководства факультета и отдела безопасности при институте, для которых должны быть сняты все ограничения. И вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером назначить полный ДНС.
Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме дискуссия в 14 году, но там решения не нашли.
Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно быть решение на одном bind-e - ведь мощная штука-то...

PS: Может, не на бинде такое можно сделать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DNS и разные форвардеры для разных групп пользователей"  +2 +/
Сообщение от ACCA (ok), 06-Ноя-18, 01:29 
> PS: Может, не на бинде такое можно сделать?

Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя бы DNS сервер.

Первые-вторые курсы ведь справляются сами и таки смотрят порнуху.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "DNS и разные форвардеры для разных групп пользователей"  +1 +/
Сообщение от Pahanivo (ok), 06-Ноя-18, 13:16 
> Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела
> безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя
> бы DNS сервер.

А куда они пойдут? Выдумывать новые "запрещенные списки" на правительственном уровне? :-)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Andrey (??), 06-Ноя-18, 08:56 
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?

802.1x

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от ыы (?), 06-Ноя-18, 09:31 
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?

Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал в свое время эту самую бзд... которую обладатели большого ума лепят куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...

на бинде есть зоны видимости. rtfm

Но вообще - у вас там глубокий системный кризис...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от ыы (?), 06-Ноя-18, 09:53 
>[оверквотинг удален]
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
> на бинде есть зоны видимости. rtfm
> Но вообще - у вас там глубокий системный кризис...

И кстати решать проблему через манипуляции с ДНС - плохо. Это и легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов- станете хорошо известны)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от asphinx (?), 06-Ноя-18, 15:06 
>[оверквотинг удален]
>>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>>> быть решение на одном bind-e - ведь мощная штука-то...
>>> PS: Может, не на бинде такое можно сделать?
>> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
>> в свое время эту самую бзд... которую обладатели большого ума лепят
>> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
>> на бинде есть зоны видимости. rtfm
>> Но вообще - у вас там глубокий системный кризис...
> И кстати решать проблему через манипуляции с ДНС - плохо. Это и

Возможно, но реализация Яндекса нам, в принципе, понравилась. Есть и там свои проблемы, но нас пока устраивает.

> легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед
> начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов-
> станете хорошо известны)

Мы не являемся монопольным поставщиком интернета в общаги - мы стараемся отвечать за трафик, проходящий через сеть факультета. Да, нашего канала тоже недостаточно для всех желающих, но он шире и стабильнее чем мобильный интернет.

В общем, как и всё в нашей современной жизни - всё совсем не просто и не однозначно. :(

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от asphinx (?), 06-Ноя-18, 14:51 
>[оверквотинг удален]
>> назначить полный ДНС.
>> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...

Ну, вообще, проект когда-то задумывался как полигон для обучения студентов. Совместить приятное с полезным - заинтересовать студентов, научить принципам администрирования в наших жизненных реалиях (когда есть желание, но не достаточно финансирования), научить корректному взаимодействию и сосуществованию с "властями" - руководством факультета и пр. Да, мы попытались перенять кое-что из опыта Беркли, но нам до них ещё как до Луны. :( Спонсирование частично ведётся за счёт факультета, частично - дополнительная внеурочная деятельность самих студентов. Ограничения были вынуждены накладывать по требованию нынешнего законодательства, т.к. сеть находится под крылом учебного заведения, а не все студенты совершеннолетние. Скажем, так - неформально задача стоит, чтобы через наш канал некорректный трафик не ходил. В общагах есть свои доп.каналы в интернет, но на всех желающих их не хватает. И там свои админы из числа студентов. Как там проходят расчёты и делится трафик - мы стараемся вмешиваться умеренно. Доступ к ресурсам сети факультета предоставляется по заявлению с подписанием договора-соглашения об ответственности клиента (студента) с назначением ответственного за его действия из числа сотрудников факультета. Наверняка, система не совершенна, но мы стараемся найти разумный компромисс.

> на бинде есть зоны видимости. rtfm

Этим мы активно пользуемся - внутренние зоны кафедры и факультета отдаются в мир и в студгородок выборочно, по заявкам, в зависимости от цели проекта. Но вот привязать вид к форвардеру у меня до сегодняшнего дня не получалось. Сегодня на свежую голову переписал конфиг немного по другому - заработало! Теперь надо аккуратно всё переделать и оттестировать...

> Но вообще - у вас там глубокий системный кризис...

Кризис - в нашей жизни, мы в нём постоянно живём... :( Мы просто пытаемся дать понять нашим студентам, что в жизни бывает очень всякое... :(

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Pahanivo (ok), 06-Ноя-18, 16:09 
Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл, товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от asphinx (?), 06-Ноя-18, 17:02 
> Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл,

С чего вы взяли? Право мониторинга потока данных мы вынуждены вписать в соглашение с пользователем. Всё открыто и оговорено. Право пользователя (студента, преподавателя, лаборанта) подключаться к нашей сети, соглашаясь с нашими условиями, основанными на требованиях законодательства, или использовать любую другую (мобильный интернет, диал-ап, радиоканал и пр.). Преподавательский состав более зажат ограничениями - на него налагаются требования работодателя, плюс расплывчатые понятия преподавательской, "корпоративной" и прочей этики. За просмотр той же самой г-г-нухи на лабораторном компьютера студента пожурят, преподавателя будут долго песочить в ректорате-деканате, "разберут" на педсовете и в *ОНО, "ославят" на разных уровнях и, в итоге, он лишится работы с практически волчьим билетом и записью в личном деле. Я молчу про "славу" для учебного заведения в определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и обязательно не один раз укажут, что "интернет нам государство оплачивает для целей образования молодёжи, а не для..."

> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.

Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном случае мы лишимся лицензии. Проще всего в нашем мире от всего отказаться и ничего не делать.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Andrey (??), 06-Ноя-18, 17:38 
>[оверквотинг удален]
> в итоге, он лишится работы с практически волчьим билетом и записью
> в личном деле. Я молчу про "славу" для учебного заведения в
> определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае
> в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и
> обязательно не один раз укажут, что "интернет нам государство оплачивает для
> целей образования молодёжи, а не для..."
>> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
> случае мы лишимся лицензии. Проще всего в нашем мире от всего
> отказаться и ничего не делать.

Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.
Все остальное это попытки прикрутить костыли к велосипеду.
Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от asphinx (?), 06-Ноя-18, 17:57 
>>[оверквотинг удален]
>> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
>> случае мы лишимся лицензии. Проще всего в нашем мире от всего
>> отказаться и ничего не делать.
> Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.

У нас стоит прозрачный прокси - как часть комплекса мер. Но как одна из доп.мер, пару лет назад был прикручен Я.ДНС. Получилось неплохо. Лучше чем режик.

> Все остальное это попытки прикрутить костыли к велосипеду.
> Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.

Согласен абсолютно. Но сервера у нас тоже не стоечные. Да и стойка не фирменная - металлический стеллаж на роликах, купленный вскладчину из скудных пожертвований и студенческих бонусов. Потому и PPPoE нам пока не потянуть. :(

PS: Про mpd знаю, пользуем с некоторыми особо ценными студентами по рекомендации преподавателей, но по нашим прикидкам наш шлюз не потянет всех клиентов общаги. Костылим из того, что есть на рынке.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Pahanivo (ok), 07-Ноя-18, 10:05 
Сложно понять что вы несете. При чем тут вид серверов? Почему не потянуть pppoe?
Хотите сделать нормально - дак делайте.
1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае вы будите знать кто, что и куда ходит.
2) Прокси это хорошо, и он у вас уже есть.
3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от ыы (?), 07-Ноя-18, 17:33 
> Сложно понять что вы несете. При чем тут вид серверов? Почему не
> потянуть pppoe?
> Хотите сделать нормально - дак делайте.
> 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае
> вы будите знать кто, что и куда ходит.
> 2) Прокси это хорошо, и он у вас уже есть.
> 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
> 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.

Топикстартер хочет сказать очевидно, что при их бедности - не до грамотности, компетентности, адекватности и вменяемости. Делают как получается ... Не стрелляейте в кафедру незнаю чего (но что-то профильное очевидно) :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Pahanivo (ok), 08-Ноя-18, 19:57 
К профильности тут вообще масса вопросов ...


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

5. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от tonysemail (??), 06-Ноя-18, 12:53 
> Добрый день всем!
> В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз
> с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача -

Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не Бинда, а провайдерский.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от Pahanivo (ok), 07-Ноя-18, 10:53 
> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
> Бинда, а провайдерский.

Аутентификация по маку в большой сети с общим сегментом езернет - ересь неимоверная.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "DNS и разные форвардеры для разных групп пользователей"  +/
Сообщение от ыы (?), 07-Ноя-18, 17:50 
>> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
>> Бинда, а провайдерский.
> Аутентификация по маку в большой сети с общим сегментом езернет - ересь
> неимоверная.

Это зависит от архитектуры. Если у каждого юзера свой порт управляемого свича, на котором "port security" - то почему бы и нет... Там фактически этот порт получает доступ к сети, и параметры его юзер изменить не может вообще.. а если стоит неуправялемое оборудование - то, да.. как возврат кудато в 90-е...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor