DHCP, DNS, блокировка сайтов. Поделитесь идеями.

[rebootgrey]

Всем добра!

Ситуация:
Есть машина, на которой установлен DHCP, раздающий динамические и фиксированные адреса. На этой же машине есть DNS исправно работающий как кэширующий сервер и мастер локальной зоны. Их совместную работу можно считать идеальной.
Допустим машина имеет адрес 192.168.1.10, тогда все клиенты получают:

• ip-адрес - пусть будет диапазон 192.168.1.101-200
• адрес шлюза - 192.168.1.1 (это роутер, рассматриваемая машина интернет не раздаёт)
• и адрес DNS - 192.168.1.10

есть в сети также компьютер системного администратора (это я), для него на DHCP есть фиксированный IP, вместе с которым он получает другие адреса DNS серверов (DNS провайдера). Сделано это для того, что бы сайты, замкнутые на локальный адрес имеющимся DNS-сервером, были доступны администратору.
То есть, если для всех пользователей сайт (например) ubuntu.ru недоступен, в связи с тем, что DNS сервер 192.168.1.10 замыкает его на 127.0.0.1 (например), то для администратора, который получает адреса DNS отличные от остальных (адреса DNS провайдера) этот сайт будет доступен.

Меня, как системного администратора, всё устраивает. Но это пока в зоне за которую отвечает DNS на вышеописанной машине нет жизненно важных ресурсов.
Пусть "mynet.loc" - это и есть наша зона.
Пусть в недалёком будущем в сети появится ресурс "res.mynet.loc" - который будет жизненно важен для всех пользователей в нашей сети.
Для любого пользователя в сети не составит труда подключиться к ресурсу, так как они используют DNS, отвечающий за зону, в которой этот ресурс находится.
Все, кроме администратора.

Вопрос:
Как быть администратору, что бы тоже без труда подключаться к ресурсу "res.mynet.loc"?

Очевидный ответ:
Использовать тот же DNS сервер, что и другие - 192.168.1.10. Но при этом сайт (например) ubuntu.ru будет не доступен так же как и всем.

Итак, ради чего я всё это писал? Хочется услышать ещё варианты ответов на поставленный вопрос. Возможно кто то уже сталкивался с чем то подобным?
Собственно, вопрос то простой - как заблокировать некоторые сайты для некоторых пользователей? В случае с прокси-сервером это было бы просто, но как это сделать без него?

p.s. На машине установлена ОС ubuntu server 12.10

[ArcFi]

Правильные методы контентной фильтрации:
1) на уровне DNS: https://www.skydns.ru, http://rejector.ru, https://www.opendns.com
2) по спискам и контенту: squid + squidGuard / DansGuardian / Rejik
3) программно-аппаратные решения: http://www.aladdin-rd.ru/catalog/esafe/

[Vitsliputsli]

Если я правильно понял, нужно чтобы было 2 группы пользователей:
1) С ограниченным доступом в инет, но неограниченным по локальным ресурсам;
2) C неограниченным доступом и в инет, и по локальным ресурсам.

Можно решить все это на сервере DNS, вот пример настройки Bind, немного под другие задачи делал, так что нужно будет переделать. Но принцип одинаковый - 2 группы, каждой разные ответы в зависимости от ip:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

acl "uwws" { 10.0.250.0/24; };
acl "def" { 10.0.222.0/24; 127.0.0.1; };

view "uwws" {
match-clients { uwws; };
zone "." {
type master;
file "/etc/bind/db.uwws";
allow-update { none; };
allow-query { uwws; };
};
};

view "def" {
match-clients { def; };
zone "orbita" {
        type master;
        file "/etc/bind/db.orbita";
        allow-update { none; };
allow-query { def; };
};
};Пользователи группы uwws при любых запросах обрабатываются в db.uwws
Пользователи группы orbita при запросах в локальную зону orbita обрабатываются в db.orbita

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$TTL    1H
@       IN      SOA     @ none (
                                0      ; serial
                                1H             ; refresh
                                1H              ; retry
                                1H              ; expire
                                1H              ; ncache
                        )
        IN      NS      @
        IN      A       10.0.0.1
localhost       IN      CNAME   localhost.
* IN A 10.0.0.1На любые запросы DNS возвращает 10.0.0.1

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$TTL    1D
@       IN      SOA     dns.orbita. root.dns.orbita. (
                                2012022900      ; serial
                                1H             ; refresh
                                1H              ; retry
                                1H              ; expire
                                1H              ; ncache
                        )
        IN      NS      localhost.
        IN      A       127.0.0.0
localhost       IN      CNAME   localhost.
vitsliputsli           IN      A       10.0.222.4
* IN A 10.0.0.1Здесь обрабатываются только запросы *.orbita. Т.е. на vitsliputsli.orbita DNS вернет 10.0.222.4, а на любое другое с доменом orbita 10.0.0.1. Иные запросы здесь не обрабатываются, т.е. запросы в инет будут обрабатываться как надо.

[absent]

а как Вы запретите пользователям прописать в своем собственном DNS (в файле hosts) соответствия ip-адресов нужным сайтам? если нет прокси и пользователи прозрачно натятся, то проще блокировать по ip в файрволе, правда гиблое это дело в случае, если сайт резолвится в разные ip. думаю, многие тысячи адресов без напряжения выдержит, если не в основной ветке расположить.
еще, если блокировать по ip, то может быть ситуация, когда на этом же адресе будут находиться другие, нужные ресурсы...
проще использовать прозрачный прокси.
еще мысль: если админ один, или их достаточно мало, то может по умолчанию запрещать всё как и планировалось, а для избранных организовать туннель на сервер (openvpn например). если им хочется "клубнички" - соединяются по vpn и смотрят

[censor]

а как Вы запретите пользователям прописать в своем собственном DNS (в файле hosts) соответствия ip-адресов нужным сайтам?

а кто вообще даст права править системные файлы? пользователь должен быть пользователем и подобных прав у него быть не должно.

[absent]

а кто вообще даст права править системные файлы? пользователь должен быть пользователем и подобных прав у него быть не должно.

так эти права никто и не спросит. есть флешка в конце концов.
а вот наличие прозрачного прокси и логирования кто чего и сколько раз посещает - немного страшит. тут и без блокирования лишний раз не полезут. хотя зависит от системы наказаний...

[Vitsliputsli]

Варианты, коненчо, нужно все рассмотреть. Но ТС вполне хватало уже существующей блокировки на уровне DNS, значит и цели тотального контроля не было. Так что на том же DNS с минимум усилий можно получить то, что нужно. Ведь для блокировки обычных пользователей вполне достаточно, ну а если пользователи подменяют ip-mac, создают icmp-туннели... Тут уже мало что их остановит.
Кстати, мой пример к блокировке вообще отношения не имеет, там была другая задумка. В общем, все зависит от задач ТС.

[tagilchanin]

а что мешает сделать прокси с авторизацией, авторизировался получи инет, нет сиди в локалке.