Разные DNS для пользователей в одной подсети

[dmidokov]

Всем доброго времени суток.

Есть небольшая проблема. Хочется узнать можно ли ее решить (желательно) используя только те средства которые имеются в наличии, а именно:
Ubuntu server 13.04
isc-dhcp-server
две сетевухи
одна смотрит в локал 192.168.1.125
другая в роутер 192.168.0.127


Суть проблемы такова:

В роутер приходит инет и тот раздает в сеть настройки, в частности, в качестве DNS указаны SkyDNS.
В один порт роутера подключен свич, ну а к свичу несколько клиентов (с ними ничего делать не надо, можно на этом этапе забыть)
В другой воткнут прокси 192.168.0.127. За прокси еще один свич и клиенты.

Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.

На данный момент я понимаю как сделать так, чтобы все ходили мимо SKYDNS или наоборот только через него.
Как я понял все зависит от того, что указано в interfaces прокси.

Если в моих подключениях есть принципиальные ошибки подскажите.

Заранее спасибо.

[xei]

Я конечно не такой гуру - как другие
Но поясните , лично для меня
Я как понял - у Вас инет раздаёт роутер
После него подкючён - линуховский сервер - который опять же через прокся раздаёт также инет
Не логичней ли было бы - просто раздавать инет с роутера

Пользователь решил продолжить мысль 01 Января 2014, 08:51:26:да и на самом роутере - также должна быть возможность выставлять какие-то ограничения для раздачи
Для чего такая цепочка построена
роутер(с инетом) - прокси(разрающий тот же инет) - пользователь

[Yuriy_Y]

да и на самом роутере - также должна быть возможность выставлять какие-то ограничения для раздачи

Вообще, я бы сделал общий прокси для всех. А на прокси разными ACL выставил бы доступ к разным сайтам пользователям. Заодно, кальмарчиком можно резать рекламу, запрещать медиаконтент и т.д. Было бы правильней, чем давать разные ДНС. Авторизоваться на прокси можно по ИП или логином и паролем. Если делать по ИП, то DHCP сервером можно резервировать адрес для определенного MAC адреса, чтоб каждый комп имел один и тот же ИПшник в течении всей жизни. Тогда ACL можно сделать по ИП адресу и никаких авторизаций не надо.

[dmidokov]

Немного поясню всем отвечающим.

К несчастью, моя зона ответственности не распространяется на всю сеть, у меня лишь кусок из одного свича, прокси и 26 клиентов за которыми я слежу. Я никаким образом не могу повлиять на роутер и тех пользователей, о которых я говорил нам забыть. Как-то так.

Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д. - суеверный он короче. Ну и вообще считает, что проксировать 50 компов и быть для них шарой способен только комп за 80 тыщ (он его приобретает в данный момент), а мой Pentium 3 способен только ломаться (чего не происходило с 2002 года).

По поводу первого ответа скажу следующее. Не помню уже от чего, но так исторически сложилось, что раздается с прокси. Это еще связано с тем, что роутер своим SkyDNS режет весь инет, да так, что однажды я не смог отыскать в интернете слово "фабула". Тогда терпение лопнуло и я поставил этот комп с прокси и DHCP. Стал раздавать себе настройки в подсеть с нормальными DNS и наконец-то смог пользоваться интернетом.

[Yuriy_Y]

Ну и вообще считает, что проксировать 50 компов и быть для них шарой способен только комп за 80 тыщ (он его приобретает в данный момент), а мой Pentium 3 способен только ломаться (чего не происходило с 2002 года).

Может, ваш админ не совсем адекватный человек? Брать за 80 тыщ компа для раздачи инета, видимо у вас очень не бедная контора. Может тогда лучше приобрести что-то от циски?
У меня стоит в одной конторе прозрачный шлюз между роутером с инетом и локалкой, стоит простой AMD Athlon(tm) II X4 640, хотел вообще взять двухядренный, небыло у поставщика на данный момент. Рамы 2 гига. На нем прозрачный прокси с кешем, DNS, DHCP, NTP серверы, АТСка на Asterisk. Загрузка самая большая - 3%. И то, больше всех жрет построение отчета sarg-reports. Локалка около 30 компов. Расход памяти 288М из 2Г. И половина из этого для буфера и для кеша. Исходя из этого, можно примерно рассчитать, сколько потребуется для кеширования инета для твоей локалки, учитывая отсутствие Астериска.

Так что, я бы посоветовал бы поставить 12.04, как более стабильный дистр, и кешировать свою часть локалки через прозрачный прокси.

[koshev]

Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.

Можете. С помощью isc-dhcp, isc-dhcp+bind9 или прокси-сервера.
Админы они разные бывают. Человеку вот такой попался, суеверный

[dmidokov]

Можете. С помощью isc-dhcp, isc-dhcp+bind9 или прокси-сервера.
Админы они разные бывают. Человеку вот такой попался, суеверный

А можно ли чуть подробнее. У меня стоит isc-dhcp и он действительно раздает разные DNS. Основная загвоздка в том, что если на сетевухе прокси (той что в инет) поставить в качестве DNS адрес роутера, то все клиенты, независимо от того, что я им раздал ходят по SkyDNS, а если на ней выставить адреса публичных DNS, то все клиенты, ходят мимо SkyDNS (независимо от того что я им раздал).

[koshev]

Поподробнее Вам, скорее всего, к документации обратиться нужно.
Если обходится только DHCP-сервером, то в кратце нужно отдавать разные адреса NS, в соответствии с MAC-адресом.

(Нажмите, чтобы показать/скрыть)

Код: (text) [Выделить]

shared-network my-net {
# skip
                group {
                        host my-pc {
                                hardware ethernet aa:bb:cc:dd:ee:ff;
                                fixed-address 192.168.0.2;
                                option domain-name-servers 192.168.0.1;
                        }
                        host my-note {
                                hardware ethernet ff:ee:dd:cc:bb:aa;
                                fixed-address 192.168.0.3;
                                option domain-name-servers 8.8.8.8;
                        }
                }
}


[Artif]

Вопрос в том, могу ли я раздать части клиентов настройки такие чтобы они ходили через SkyDNS, а другим иные DNS сервера, дабы интернет не резался.

На данный момент я понимаю как сделать так, чтобы все ходили мимо SKYDNS или наоборот только через него.

Как я понял все зависит от того, что указано в interfaces прокси.

Что называть прокси, что называть шлюзом. Прокси - всего кеш содержимого, просмотренного ранее. Есть более широкие возможности. Но именно шлюз полностью разделяет сети, способен полностью экранировать внутреннее от внешнего. Шлюз может содержать прокси. Я так понимаю, что мы тут говорим о шлюзе с функциями прокси.

Каким ПО организован шлюз? В пару слов, в одно предложение. Не надо подробностей, возможно.

Насколько я смутно помню, по DHCP можно раздать любые настройки. Причём в самом глупом варианте Вам придётся делать не более чем прописать 26 (или сколько там компов) MAC адресов и нужные прочие адреса в конфиге на сервере. Если как-то что-то подподумать, то это можно сделать "нормально". Раздавать каждой карте отдельно какой-нибудь DNS на выбор - точно можно. Да, это ISC DHCP сервер, именно он раздаёт настройки, именно им пользуются. Можно начать с просмотра библиотеки http://www.opennet.ru

Можно отдельно поднять собственный DNS - это BIND сервер. Но, как я понимаю, Вам отлично подходят гугловые DNS 8.8.8.8, 8.8.4.4. В этом случае BIND не нужен. Свой DNS полезен если есть кучка сервисов в сети, сервисы на разных машинах и IP столько, что их не помнят. Естественно, свой BIND на связи с внешним миром и умеет "разрешать" внешние доменные имена.

В /etc/network/interfaces указаны только сетевые конфиги сетевых карт самой машины. Они не имеют отношения к клиентам в локалке. Я туда никогда не лазил на шлюзе/прокси. Видимо, этот комп больше кэш, чем шлюз, и кеширующая прокся (Squid?) зависит от /etc/network/interfaces, что приемлемо, но не для Вас. Настройки клиентов напрямую строго не зависят от /etc/network/interfaces шлюзующей машины.


SKYDNS - фильтрация контента, с акцентом на безопасность. Ну, да - вилы, сложности ожидаемы... Есть приём - NetFilter IPTables. На шлюзе делать NAT. Это полноценный шлюз, скрывающий позади себя Вашу мятежную локалку. Если Ваш TCP/IP трафик выпускают без проблем, кроме DNS, то это рабочий вариант. Ещё более сильный вариант - совместить NAT с OpenVPN до дружественного шлюза (тут админ польностью теряет контроль над Вашей локалкой, на все 100%, только если питание выключит ). Это не отменяет возможности DHCP сервера, но можно и руками всё прописать. Читать начать можно на том же Опен нете -

http://www.opennet.ru/docs/RUS/iptables/
http://www.docum.org/docum.org/kptd/
http://igortiunov4unix.wordpress.com/2013/03/14/iptables-traffic-flow/
http://www.opennet.ru/search.shtml?exclude=index|%2Fman.shtml&words=iptables+howto

Обратите внимание на ссылку со схемой - http://www.docum.org/docum.org/kptd/ Таблички NetFilter просты, но их не всегда рисуют понятным образом. Эта - неплохая, вроде.

Можно по лёгкому варианту - NAT'ить запросы на 53 порт (это DNS), не скрывая локалки и т.д. Попросту, если пошёл запрос на 53-й порт, то заменить в запросе адрес на 8.8.8.8. NAT делает именно это. И запрос уйдёт на нормальный 8.8.8.8 DNS. Для одних NAT, для других - нет, прописывается в правилах 'iptables'.

Итого: как я понял, Вам интересно обратить внимание на NetFilter Iptables и NAT + DHCP. Pentium 3 должно хватить. Всё это ничуть не противоречит наличию Squid и т.п., но Squid - это ведь кеш и фильтр для ускорения, но не экран и не маршрутизатор, он для другого.

[AnrDaemon]

Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д.

А роутер из строя не может выйти в принципе, да...

[Artif]

А роутер из строя не может выйти в принципе, да...

Отклоняясь от темы, с сумасшедшими только соглашаются. Религия головного мозга, или интриги, или др. свойства личности и разумные аргументы не играют роли.

Тут ещё засада. Все, кто имеет влияние на ситуацию, хорошо понимают кто есть кто и соответственно относятся к делам участников. Если существование "мятежной локалки" привело к миру и взаимному удовольствию всех и вся. То, чё, всё намана. Тем самым - тут кто, что и как сделал. Но не доводы и внешняя логика.

[dmidokov]

Отправка нас на SkyDNS не мое решение а другого человека (нашего администратора). Прокси вместо роутера поставить он не желает так как боится, что он может выйти из строя и тогда не будет интернета какое-то время и т.д.

А роутер из строя не может выйти в принципе, да...

Рутеров у него несколько и их замена, в принципе, займет немного времени, а вот перезапуск моего компьютера эт дело такое, затяжное.
В общем и целом внутречерепные проблемы нашего админа не предмет для обсуждения, а лишь причина моих слез...

Спасибо Artif за множество советов, начну пробовать все по порядку как только закончатся праздники.

К несчастью, админ забрал ключи от ящика с железом, а компьютер перестал работать после отключения электричества (не был воткнут в ИБП), из-за чего я не могу удаленно зайти на свой чудо-сервер, а лишь только наблюдаю его через стекло.

[AnrDaemon]

Урок впрок - сервера должны включаться сами при восстановлении питания.
А ключи от шкафов часто совпадают с ключами от пожарки.