Раздача DNS по MAC-адресу

[svich123]

есть сеть на несколько десятков компов. есть isc-dhcp-server и 2 DNS от провайдера. нужно чтобы определенным компам выдавался первый DNS, а остальным второй.
что сделано:

(Нажмите, чтобы показать/скрыть)

subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.1 192.168.2.254;
option netbios-name-servers 192.168.2.230;


option domain-name-servers DNS1
#option domain-name-servers DNS2;


option domain-name "blablabla.lan";
option routers 192.168.2.230;
option broadcast-address 192.168.2.255;
default-lease-time 600;
max-lease-time 1200;
}


group first{
use-host-decl-names on;

host kudr {
   option host-name "kudr";
   hardware ethernet  00:19:66:E7:84:D4;
   fixed-address 192.168.2.11;
}
}

group second {
use-host-decl-names on;

host stor {
option host-name "stor";
hardware ethernet 00:25:11:1F:91:FB;
fixed-address 192.168.2.102;
}
}

завел 2 группы и раскидал по ним компы.
как развести DNS?
пока все ходят через 1.

[Azure]

2 DNS от провайдера

выдавался первый DNS, а остальным второй

Или что-то напутали, или не понимаете что делаете. Попробуйте объяснить зачем (может так получится)

[svich123]

образовательная организация. необходимо фильтровать инет. 1 днс ведет на систему фильтрации второй днс без фильтрации.
соответственно ученикам подсовывается 1 днс, а учителя и администрация без фильтров и используют второй днс

[Azure]

Строку

option domain-name-servers DNS1

убрать из общих настроек и перенести в разделы групп?
Хотя такое ограничение легко обходится. Я бы строил систему на политиках файрвола.

[svich123]

попробую в группы перенести
как обойти это ограничение?
что почитать про политики файервола?

[Azure]

как обойти это ограничение?

На клиентской машине изменить настройки DNS
Пользователь добавил сообщение 28 Марта 2017, 14:24:51:

что почитать про политики файервола?

Начните с https://help.ubuntu.ru/wiki/iptables , https://forum.ubuntu.ru/index.php?topic=233895.msg1834991#msg1834991

[AnrDaemon]

Просто пример.

(Нажмите, чтобы показать/скрыть)

#
# Sample configuration file for ISC dhcpd for Debian
#
# Attention: If /etc/ltsp/dhcpd.conf exists, that will be used as
# configuration file instead of this file.
#
# $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $
#

server-name "daemon1";
server-identifier daemon1.darkdragon.lan;

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style interim;

# option definitions common to all supported networks...
#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;

#default-lease-time 600;
#max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.

#subnet 10.152.187.0 netmask 255.255.255.0 {
#}

# This is a very basic subnet declaration.

#subnet 10.254.239.0 netmask 255.255.255.224 {
#  range 10.254.239.10 10.254.239.20;
#  option routers rtr-239-0-1.example.org, rtr-239-0-2.example.org;
#}

# This declaration allows BOOTP clients to get dynamic addresses,
# which we don't really recommend.

#subnet 10.254.239.32 netmask 255.255.255.224 {
#  range dynamic-bootp 10.254.239.40 10.254.239.60;
#  option broadcast-address 10.254.239.31;
#  option routers rtr-239-32-1.example.org;
#}

# A slightly different configuration for an internal subnet.
#subnet 10.5.5.0 netmask 255.255.255.224 {
#  range 10.5.5.26 10.5.5.30;
#  option domain-name-servers ns1.internal.example.org;
#  option domain-name "internal.example.org";
#  option routers 10.5.5.1;
#  option broadcast-address 10.5.5.31;
#  default-lease-time 600;
#  max-lease-time 7200;
#}

# Hosts which require special configuration options can be listed in
# host statements.   If no address is specified, the address will be
# allocated dynamically (if possible), but the host-specific information
# will still come from the host declaration.

#host passacaglia {
#  hardware ethernet 0:0:c0:5d:bd:95;
#  filename "vmunix.passacaglia";
#  server-name "toccata.fugue.com";
#}

# Fixed IP addresses can also be specified for hosts.   These addresses
# should not also be listed as being available for dynamic assignment.
# Hosts for which fixed IP addresses have been specified can boot using
# BOOTP or DHCP.   Hosts for which no fixed address is specified can only
# be booted with DHCP, unless there is an address range on the subnet
# to which a BOOTP client is connected which has the dynamic-bootp flag
# set.
#host fantasia {
#  hardware ethernet 08:00:07:26:c0:a5;
#  fixed-address fantasia.fugue.com;
#}

# You can declare a class of clients and then do address allocation
# based on that.   The example below shows a case where all clients
# in a certain class get addresses on the 10.17.224/24 subnet, and all
# other clients get addresses on the 10.0.29/24 subnet.

#class "foo" {
#  match if substring (option vendor-class-identifier, 0, 4) = "SUNW";
#}

#shared-network 224-29 {
#  subnet 10.17.224.0 netmask 255.255.255.0 {
#    option routers rtr-224.example.org;
#  }
#  subnet 10.0.29.0 netmask 255.255.255.0 {
#    option routers rtr-29.example.org;
#  }
#  pool {
#    allow members of "foo";
#    range 10.17.224.10 10.17.224.250;
#  }
#  pool {
#    deny members of "foo";
#    range 10.0.29.10 10.0.29.230;
#  }
#}

# MS classless static routes
option ms-classless-static-routes code 249 = array of unsigned integer 8;

include "/etc/bind/rndc.key";

zone darkdragon.lan. {
   primary 127.0.0.1;
   key DHCP_UPDATE;
   }

zone 1.168.192.IN-ADDR.ARPA. {
   primary 127.0.0.1;
   key DHCP_UPDATE;
   }

shared-network darkdragon.lan. {
   option domain-name "darkdragon.lan";
   option domain-search "darkdragon.lan", "rootdir.org";
   option ntp-servers time.darkdragon.lan;
   option time-servers time.darkdragon.lan;
   ddns-updates on;
   update-static-leases on;
   use-host-decl-names on;
   allow client-updates;
   do-forward-updates off;

   group "containers" {
      authoritative;
      option routers gw.darkdragon.lan;

      host buildbotw7 {
         hardware ethernet 08:00:27:42:C5:5A;
         fixed-address buildbotw7.darkdragon.lan;
         }
      host dc1 {
         hardware ethernet 00:16:3e:93:c8:f9;
         fixed-address dc1.darkdragon.lan;
         }
      host hosting {
         hardware ethernet 00:16:3e:f2:16:94;
         fixed-address hosting.darkdragon.lan;
         }
      host mysql2 {
         hardware ethernet 00:16:3e:dc:70:3f;
         fixed-address mysql2.darkdragon.lan;
         }
      host pubserver {
         hardware ethernet 00:16:3e:57:2b:72;
         fixed-address pubserver.darkdragon.lan;
         option routers vpn.darkdragon.lan;
         }
      }

   group "default network" {
      authoritative;
      option routers gw.darkdragon.lan;

      host daemon2 {
         hardware ethernet 90:2b:34:37:d8:e4;
         fixed-address daemon2.darkdragon.lan;
         }
      host daemon3-mac-cable {
         hardware ethernet e8:03:9a:bd:10:a9;
         fixed-address daemon3s.darkdragon.lan;
         }
      host daemon3-mac-wifi {
         hardware ethernet e8:03:9a:c9:50:bb;
         fixed-address daemon3s.darkdragon.lan;
         }
      }

   group "vip-clients" {
      authoritative;
      option routers vpn.darkdragon.lan;

      host daemon4-HMP {
         hardware ethernet 10:c6:1f:0a:ca:4a;
#         fixed-address daemon3-pad.darkdragon.lan;
         }
      host rclient-td {
         hardware ethernet 08:00:27:73:14:d1;
#         fixed-address rclient-td.darkdragon.lan;
         }
      }

   group "wrapped" {
      authoritative;

      host dlink-vpn {
         hardware ethernet 1c:7e:e5:d1:83:3b;
         fixed-address 192.168.19.2;
         }
      }

   subnet 192.168.1.0 netmask 255.255.255.224 {
      authoritative;
      range 192.168.1.16 192.168.1.30;
      option broadcast-address 192.168.1.31;
      option dhcp-server-identifier 192.168.1.12;
      option domain-name-servers ns.darkdragon.lan;
      #option netbios-name-servers ns.darkdragon.lan;
      option routers gw.darkdragon.lan;
      option ms-classless-static-routes
        16, 77,50, 192,168,1,1
        ;
      }

   subnet 192.168.19.0 netmask 255.255.255.240 {
      authoritative;
      option routers 192.168.19.1;
      option dhcp-server-identifier 192.168.19.1;
      option domain-name-servers 192.168.19.1;
      option broadcast-address 192.168.19.15;
      }
   }

[svich123]

всем спасибо
AnrDaemon отдельное спасибо за пример. я authoritative; ставил только в начале при объявлении сети. поставил в каждую группу - пока работает так, как я хочу (не факт что так и надо )
Azure для изменения ДНС на клиентах у учеников прав не хватит

[AnrDaemon]

authoritative именно что надо, иначе прилипают настройки других сетей и не отлипают, пока не выбьешь.

[Eugene Nuke]

C файерволом сложно будет по именам хостов фильтровать, у гуглов с яндексами там пул адресов, проще через прокси.
Если фильтровать только по поддомену, то можно настроить squid с ограничением по поддоменам и по методу CONNECT (для https), плюс, раздавать клиентам WPAD-файл с настройками прокси, чтобы не настраивать машины вручную (нужно будет настроить DNS и поднять web-сервер).

На хабре человек сделал прозрачный прокси для HTTPS, но это желательно иметь домен, или всем машинам прописывать свой сертификат. Зато можно будет фильтровать не только по домену, но и по URL.

И да, белый список для школ подходит лучше всего

[AnrDaemon]

Eugene Nuke, хватит нести бред в каждом понравившемся топике.
Есть что сказать - говори по делу, а два абзаца воды лить, не сказав ничего по сути вопроса - не надо.

[svich123]

2 Eugene Nuke
я ничего не фильтрую (ибо задолбался) - всё делает провайдер (по доп соглашению)
про wpad у меня была тема всё работало но ужасно медленно
белый список хорошо,но за него прокуратура дала предписание

[Eugene Nuke]

Белый список - это когда доступны только те хосты, которые вы разрешили. В случае с прокуратурой вы, наверное, имели в виду чёрный, который запрещает явно указанные хосты.
Что касается WPAD, я имел в виду только автоматическую настройку прокси через него, а не фильтрацию.
Схему с двумя DNS, как у вас, можно обойти через анонимайзер/прокси или, если пользователь пришёл со своим устройством (или имеет права админа), он может просто указать любой другой DNS вручную.

Если вам интересно, могу в 2х словах набросать как можно сделать через белый список.

[svich123]

в случае с прокуратурой я имел в виду именно то, что написал
по поводу другого ДНС - я знаю наших учеников они будут плеваться, но ходить через фильтр
белый список мне без надобности. фильтрует провайдер
и да - белый список = нет интернета в полном (почти) смысле этого слова