Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Разные DNS для пользователей в одной подсети  (Прочитано 2654 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dmidokov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Всем доброго времени суток.

Есть небольшая проблема. Хочется узнать можно ли ее решить (желательно) используя только те средства которые имеются в наличии, а именно:
Ubuntu server 13.04
isc-dhcp-server
две сетевухи
одна смотрит в локал 192.168.1.125
другая в роутер 192.168.0.127


Суть проблемы такова:

В роутер приходит инет и тот раздает в сеть настройки, в частности, в качестве DNS указаны SkyDNS.
В один порт роутера подключен свич, ну а к свичу несколько клиентов (с ними ничего делать не надо, можно на этом этапе забыть)
В другой воткнут прокси 192.168.0.127. За прокси еще один свич и клиенты.

Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.

На данный момент я понимаю как сделать так, чтобы все ходили мимо SKYDNS или наоборот только через него.
Как я понял все зависит от того, что указано в interfaces прокси.

Если в моих подключениях есть принципиальные ошибки подскажите.

Заранее спасибо.

Оффлайн xei

  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Я конечно не такой гуру - как другие
Но поясните , лично для меня
Я как понял - у Вас инет раздаёт роутер
После него подкючён - линуховский сервер - который опять же через прокся раздаёт также инет
Не логичней ли было бы - просто раздавать инет с роутера ???


Пользователь решил продолжить мысль 01 Январь 2014, 08:51:26:
да и на самом роутере - также должна быть возможность выставлять какие-то ограничения для раздачи
Для чего такая цепочка построена ???
роутер(с инетом) - прокси(разрающий тот же инет) - пользователь
« Последнее редактирование: 01 Январь 2014, 08:51:26 от xei »

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
да и на самом роутере - также должна быть возможность выставлять какие-то ограничения для раздачи
Вообще, я бы сделал общий прокси для всех. А на прокси разными ACL выставил бы доступ к разным сайтам пользователям. Заодно, кальмарчиком можно резать рекламу, запрещать медиаконтент и т.д. Было бы правильней, чем давать разные ДНС. Авторизоваться на прокси можно по ИП или логином и паролем. Если делать по ИП, то DHCP сервером можно резервировать адрес для определенного MAC адреса, чтоб каждый комп имел один и тот же ИПшник в течении всей жизни. Тогда ACL можно сделать по ИП адресу и никаких авторизаций не надо.
С уважением, Юрий.

Оффлайн dmidokov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Немного поясню всем отвечающим.

К несчастью, моя зона ответственности не распространяется на всю сеть, у меня лишь кусок из одного свича, прокси и 26 клиентов за которыми я слежу. Я никаким образом не могу повлиять на роутер и тех пользователей, о которых я говорил нам забыть. Как-то так.

Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д. - суеверный он короче. Ну и вообще считает, что проксировать 50 компов и быть для них шарой способен только комп за 80 тыщ (он его приобретает в данный момент), а мой Pentium 3 способен только ломаться (чего не происходило с 2002 года).

По поводу первого ответа скажу следующее. Не помню уже от чего, но так исторически сложилось, что раздается с прокси. Это еще связано с тем, что роутер своим SkyDNS режет весь инет, да так, что однажды я не смог отыскать в интернете слово "фабула". Тогда терпение лопнуло и я поставил этот комп с прокси и DHCP. Стал раздавать себе настройки в подсеть с нормальными DNS и наконец-то смог пользоваться интернетом.
« Последнее редактирование: 01 Январь 2014, 13:37:16 от dmidokov »

Оффлайн Yuriy_Y

  • Старожил
  • *
  • Сообщений: 1736
    • Просмотр профиля
    • Новоишимка
Ну и вообще считает, что проксировать 50 компов и быть для них шарой способен только комп за 80 тыщ (он его приобретает в данный момент), а мой Pentium 3 способен только ломаться (чего не происходило с 2002 года).
Может, ваш админ не совсем адекватный человек? Брать за 80 тыщ компа для раздачи инета, видимо у вас очень не бедная контора. Может тогда лучше приобрести что-то от циски?
У меня стоит в одной конторе прозрачный шлюз между роутером с инетом и локалкой, стоит простой AMD Athlon(tm) II X4 640, хотел вообще взять двухядренный, небыло у поставщика на данный момент. Рамы 2 гига. На нем прозрачный прокси с кешем, DNS, DHCP, NTP серверы, АТСка на Asterisk. Загрузка самая большая - 3%. И то, больше всех жрет построение отчета sarg-reports. Локалка около 30 компов. Расход памяти 288М из 2Г. И половина из этого для буфера и для кеша. Исходя из этого, можно примерно рассчитать, сколько потребуется для кеширования инета для твоей локалки, учитывая отсутствие Астериска.

Так что, я бы посоветовал бы поставить 12.04, как более стабильный дистр, и кешировать свою часть локалки через прозрачный прокси.
С уважением, Юрий.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1705
  • חתול המדען
    • Просмотр профиля
Цитировать
Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.
Можете. С помощью isc-dhcp, isc-dhcp+bind9 или прокси-сервера.
Админы они разные бывают. Человеку вот такой попался, суеверный :)
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн dmidokov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Цитировать
Можете. С помощью isc-dhcp, isc-dhcp+bind9 или прокси-сервера.
Админы они разные бывают. Человеку вот такой попался, суеверный :)

А можно ли чуть подробнее. У меня стоит isc-dhcp и он действительно раздает разные DNS. Основная загвоздка в том, что если на сетевухе прокси (той что в инет) поставить в качестве DNS адрес роутера, то все клиенты, независимо от того, что я им раздал ходят по SkyDNS, а если на ней выставить адреса публичных DNS, то все клиенты, ходят мимо SkyDNS (независимо от того что я им раздал).

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1705
  • חתול המדען
    • Просмотр профиля
Поподробнее Вам, скорее всего, к документации обратиться нужно.
Если обходится только DHCP-сервером, то в кратце нужно отдавать разные адреса NS, в соответствии с MAC-адресом.
(Нажмите, чтобы показать/скрыть)
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн Artif

  • Участник
  • *
  • Сообщений: 211
    • Просмотр профиля
Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.

На данный момент я понимаю как сделать так, чтобы все ходили мимо SKYDNS или наоборот только через него.

Как я понял все зависит от того, что указано в interfaces прокси.

Что называть прокси, что называть шлюзом. Прокси - всего кеш содержимого, просмотренного ранее. Есть более широкие возможности. Но именно шлюз полностью разделяет сети, способен полностью экранировать внутреннее от внешнего. Шлюз может содержать прокси. Я так понимаю, что мы тут говорим о шлюзе с функциями прокси.

Каким ПО организован шлюз? В пару слов, в одно предложение. Не надо подробностей, возможно.

Насколько я смутно помню, по DHCP можно раздать любые настройки. Причём в самом глупом варианте Вам придётся делать не более чем прописать 26 (или сколько там компов) MAC адресов и нужные прочие адреса в конфиге на сервере. Если как-то что-то подподумать, то это можно сделать "нормально". Раздавать каждой карте отдельно какой-нибудь DNS на выбор - точно можно. Да, это ISC DHCP сервер, именно он раздаёт настройки, именно им пользуются. Можно начать с просмотра библиотеки http://www.opennet.ru

Можно отдельно поднять собственный DNS - это BIND сервер. Но, как я понимаю, Вам отлично подходят гугловые DNS 8.8.8.8, 8.8.4.4. В этом случае BIND не нужен. Свой DNS полезен если есть кучка сервисов в сети, сервисы на разных машинах и IP столько, что их не помнят. Естественно, свой BIND на связи с внешним миром и умеет "разрешать" внешние доменные имена.

В /etc/network/interfaces указаны только сетевые конфиги сетевых карт самой машины. Они не имеют отношения к клиентам в локалке. Я туда никогда не лазил на шлюзе/прокси. Видимо, этот комп больше кэш, чем шлюз, и кеширующая прокся (Squid?) зависит от /etc/network/interfaces, что приемлемо, но не для Вас. Настройки клиентов напрямую строго не зависят от /etc/network/interfaces шлюзующей машины.


SKYDNS - фильтрация контента, с акцентом на безопасность. Ну, да - вилы, сложности ожидаемы... Есть приём - NetFilter IPTables. На шлюзе делать NAT. Это полноценный шлюз, скрывающий позади себя Вашу мятежную локалку. Если Ваш TCP/IP трафик выпускают без проблем, кроме DNS, то это рабочий вариант. Ещё более сильный вариант - совместить NAT с OpenVPN до дружественного шлюза (тут админ польностью теряет контроль над Вашей локалкой, на все 100%, только если питание выключит :)). Это не отменяет возможности DHCP сервера, но можно и руками всё прописать. Читать начать можно на том же Опен нете -

http://www.opennet.ru/docs/RUS/iptables/
http://www.docum.org/docum.org/kptd/
http://igortiunov4unix.wordpress.com/2013/03/14/iptables-traffic-flow/
http://www.opennet.ru/search.shtml?exclude=index|%2Fman.shtml&words=iptables+howto

Обратите внимание на ссылку со схемой - http://www.docum.org/docum.org/kptd/ Таблички NetFilter просты, но их не всегда рисуют понятным образом. Эта - неплохая, вроде.

Можно по лёгкому варианту - NAT'ить запросы на 53 порт (это DNS), не скрывая локалки и т.д. Попросту, если пошёл запрос на 53-й порт, то заменить в запросе адрес на 8.8.8.8. NAT делает именно это. И запрос уйдёт на нормальный 8.8.8.8 DNS. Для одних NAT, для других - нет, прописывается в правилах 'iptables'.

Итого: как я понял, Вам интересно обратить внимание на NetFilter Iptables и NAT + DHCP. Pentium 3 должно хватить. Всё это ничуть не противоречит наличию Squid и т.п., но Squid - это ведь кеш и фильтр для ускорения, но не экран и не маршрутизатор, он для другого.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27321
    • Просмотр профиля
Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д.
А роутер из строя не может выйти в принципе, да...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Artif

  • Участник
  • *
  • Сообщений: 211
    • Просмотр профиля
Re: Разные DNS для пользователей в одной подсети
« Ответ #10 : 05 Январь 2014, 20:20:49 »
А роутер из строя не может выйти в принципе, да...

Отклоняясь от темы, с сумасшедшими только соглашаются. :) :) Религия головного мозга, или интриги, или др. свойства личности и разумные аргументы не играют роли. :)

Тут ещё засада. Все, кто имеет влияние на ситуацию, хорошо понимают кто есть кто и соответственно относятся к делам участников. Если существование "мятежной локалки" привело к миру и взаимному удовольствию всех и вся. То, чё, всё намана. Тем самым - тут кто, что и как сделал. Но не доводы и внешняя логика.

Оффлайн dmidokov

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: Разные DNS для пользователей в одной подсети
« Ответ #11 : 06 Январь 2014, 21:45:36 »
Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д.
А роутер из строя не может выйти в принципе, да...

Рутеров у него несколько и их замена, в принципе, займет немного времени, а вот перезапуск моего компьютера эт дело такое, затяжное.
В общем и целом внутречерепные проблемы нашего админа не предмет для обсуждения, а лишь причина моих слез...

Спасибо Artif за множество советов, начну пробовать все по порядку как только закончатся праздники.

К несчастью, админ забрал ключи от ящика с железом, а компьютер перестал работать после отключения электричества (не был воткнут в ИБП), из-за чего я не могу удаленно зайти на свой чудо-сервер, а лишь только наблюдаю его через стекло.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27321
    • Просмотр профиля
Re: Разные DNS для пользователей в одной подсети
« Ответ #12 : 06 Январь 2014, 22:03:36 »
Урок впрок - сервера должны включаться сами при восстановлении питания.
А ключи от шкафов часто совпадают с ключами от пожарки.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.154 секунд. Запросов: 25.