https://www.opennet.me/openforum/vsluhforumID1/97310.html Добрый день всем!<br><br>В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача - обрезАть нежелательные ресурсы в сети для разных групп пользователей: для преподавательского состава днём обрезать кинчики и баннеры, студентам, особенно первых-вторых курсов, перекрыть порнуху и т.д. - всё по спискам доступа, утверждённым руководством... В качестве одного из инструментов для борьбы с порнухой мы выбрали Яндекс.ДНС - прописали его в качестве основного форвардера нашего bind-a. Но недавно задание было доработано - появилась группа из руководства факультета и отдела безопасности при институте, для которых должны быть сняты все ограничения. И вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером назначить полный ДНС.<br>Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме дискуссия в 14 году, но там решения не нашли.<br>Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, https://www.opennet.me/openforum/vsluhforumID1/97310.html#22 Thu, 14 Mar 2019 15:40:03 GMT &gt;&gt; Не хамите, любезнейший. Не красиво это!<br>&gt; Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и <br>&gt; давать ответы которые уже даны?<br><br>Ну промолчал бы. Хамить то зачем. <br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#21 Thu, 14 Mar 2019 11:48:40 GMT &gt; Не хамите, любезнейший. Не красиво это!<br><br>Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и давать ответы которые уже даны?<br><br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#20 Wed, 13 Mar 2019 13:42:48 GMT &gt;&gt; Только массовые расстрелы спасут кафедру.<br>&gt;&gt; SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.<br>&gt; Из комы вышел? Или некрофил?<br><br>Не хамите, любезнейший. Не красиво это!<br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#19 Thu, 21 Feb 2019 08:53:40 GMT &gt; Только массовые расстрелы спасут кафедру.<br>&gt; SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.<br><br>Из комы вышел? Или некрофил?<br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#18 Thu, 21 Feb 2019 08:47:02 GMT &gt;[оверквотинг удален]<br>&gt; задание было доработано - появилась группа из руководства факультета и отдела <br>&gt; безопасности при институте, для которых должны быть сняты все ограничения. И <br>&gt; вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером <br>&gt; назначить полный ДНС.<br>&gt; Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме <br>&gt; дискуссия в 14 году, но там решения не нашли.<br>&gt; Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, <br>&gt; у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно <br>&gt; быть решение на одном bind-e - ведь мощная штука-то...<br>&gt; PS: Может, не на бинде такое можно сделать<br><br>Только массовые расстрелы спасут кафедру.<br><br>SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.<br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#17 Thu, 08 Nov 2018 16:57:09 GMT К профильности тут вообще масса вопросов ...<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#16 Wed, 07 Nov 2018 14:50:59 GMT &gt;&gt; Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не <br>&gt;&gt; Бинда, а провайдерский.<br>&gt; Аутентификация по маку в большой сети с общим сегментом езернет - ересь <br>&gt; неимоверная.<br><br>Это зависит от архитектуры. Если у каждого юзера свой порт управляемого свича, на котором "port security" - то почему бы и нет... Там фактически этот порт получает доступ к сети, и параметры его юзер изменить не может вообще.. а если стоит неуправялемое оборудование - то, да.. как возврат кудато в 90-е...<br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#15 Wed, 07 Nov 2018 14:33:58 GMT &gt; Сложно понять что вы несете. При чем тут вид серверов? Почему не <br>&gt; потянуть pppoe?<br>&gt; Хотите сделать нормально - дак делайте.<br>&gt; 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае <br>&gt; вы будите знать кто, что и куда ходит.<br>&gt; 2) Прокси это хорошо, и он у вас уже есть.<br>&gt; 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.<br>&gt; 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта. <br><br>Топикстартер хочет сказать очевидно, что при их бедности - не до грамотности, компетентности, адекватности и вменяемости. Делают как получается ... Не стрелляейте в кафедру незнаю чего (но что-то профильное очевидно) :)<br><br> https://www.opennet.me/openforum/vsluhforumID1/97310.html#14 Wed, 07 Nov 2018 07:53:06 GMT &gt; Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не <br>&gt; Бинда, а провайдерский.<br><br>Аутентификация по маку в большой сети с общим сегментом езернет - ересь неимоверная.<br>