Добрый день!
Вот такая ситуация.
Школа.
Задача: Нелья пускать учеников на злосайты и тп. Учителям можно всё.Решил ограничивать ресурсы интернет с помощью skydns (https://www.skydns.ru/).
Есть сервер SRV на FreeBSD9.3. Он шлюз для школьной сети в интернет. На нём настроены dhcp, кэширующий dns, vpn, nat (isc-dhcp43-server-4.3.0_2, mpd5-5.7_1, BIND 9.9.5, pf).
Локальный адрес SRV 192.168.1.100.Все школьные ПК получают адреса от dhcp:
#/usr/local/etc/dhcpd.conf
option domain-name "school.local";
default-lease-time 600;
max-lease-time 7200;
authoritative;
ddns-update-style none;
log-facility local7;subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.60;
option domain-name "school.local";
option domain-name-servers 192.168.1.100;
option broadcast-address 192.168.1.255;
option routers 192.168.1.100;
option subnet-mask 255.255.255.0;
}Настройки dns:
#/etc/resolv.conf
search school.local
nameserver 127.0.0.1#/etc/namedb/named.conf
...
listen-on { 127.0.0.1; 192.168.1.100; };
...
forwarders {
193.58.251.251; //SKYDNS
};
...Использую пакетный фильтр PF, NAT в нём:
#/etc/pf.conf
#MACROS
ext_if="sis0" #WAN (default)
int_if="em0" #LANvpn_net="172.16.2.0/24"
local_net="192.168.1/24"
icmp_types = "echoreq"#TABLE
table <private> const {10/8, 172.16/12, 192.168/16}
table <trust_host> {1.1.1.1}
table <sshguard> persist
table <badhost> persist file "/etc/pf.badhost"#SETS
set block-policy drop
set skip on lo
scrub in all#NAT RDR
nat on $ext_if from $local_net to !$local_net -> $ext_if:0
nat on $ext_if from $vpn_net to !$local_net -> $ext_if:0#RULES
antispoof quick for $ext_ifblock inet6
block in quick on {$ext_if} from <sshguard> to any label "Ssh bruteforce"
block from <badhost> label "Block badhost"
block in on {$ext_if}
block out on {$ext_if} from <private> to any label "Block out private addr"pass in on {$ext_if} from <trust_host> label "Trust hosts"
pass in on {$ext_if} proto tcp to port ssh
pass in on {$ext_if} inet proto icmp from any to any icmp-type $icmp_types keep state
pass out on {$ext_if}
Всё работает, ресурсы запрещённые skydns блокируются.Для тех, кому нужно посещать все ресурсы интрернета сделал vpn сервер, в настройках которого задаём для vpn-клиентов другой днс (от Яндекса http://dns.yandex.ru):
#/usr/local/etc/mpd5/mpd.conf
startup:default:
load pptp_serverpptp_server:
set ippool add poolsat 172.16.2.5 172.16.2.20
create bundle template B
set iface enable proxy-arp
set iface idle 0
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 172.16.2.1/32 ippool poolsat
set ipcp dns 77.88.8.88 #Яндекс днсset bundle enable compression
set ccp yes mppc
set mppc yes compress e40 e56 e128 stateless
create link template L pptp
set link enable multilink
set link yes acfcomp protocomp
set link action bundle B
set link no pap chap
set link enable chap
set link enable chap-msv1
set link enable chap-msv2
set link mtu 1460
set link keep-alive 10 75
set pptp self 0.0.0.0
set link enable incomingВПН работает, пользователи выходят в интернет. Но несмотря на то что для них установлени днс от яндекса, днс-запросы всё равно приходят от skydns. Т.е. ресурсы блокируются.
В тоже время утилита nslookup при запуске сообщает, что использует адрес от яндекса (задаётся при подключении к впн серверу).
Создаётся впечатление, что windows запомнила/предпочитает днс сервер полученный при получении динамического адреса, а днс сервер задаваемый при подключении к впн использовать не хочет.
Надеюсь не запутал вас.Вопросы:
Почему ПК не используют днс прописанный в конфигурации впн сервера и что сделать что бы заработало?
Может есть другие не сложные решения подобной задачи?
http://technet.microsoft.com/en-us/library/dd197552(WS.10).aspx