- DNS и разные форвардеры для разных групп пользователей,
 ACCA, 01:29 , 06-Ноя-18 (1) +1 > PS: Может, не на бинде такое можно сделать?Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя бы DNS сервер. Первые-вторые курсы ведь справляются сами и таки смотрят порнуху.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 13:16 , 06-Ноя-18 (6) +1
> Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела
> безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя
> бы DNS сервер.А куда они пойдут? Выдумывать новые "запрещенные списки" на правительственном уровне? :-)
- DNS и разные форвардеры для разных групп пользователей, Andrey, 08:56 , 06-Ноя-18 (2)
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?802.1x - DNS и разные форвардеры для разных групп пользователей, ыы, 09:31 , 06-Ноя-18 (3) –1
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал в свое время эту самую бзд... которую обладатели большого ума лепят куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... на бинде есть зоны видимости. rtfm Но вообще - у вас там глубокий системный кризис...
- DNS и разные форвардеры для разных групп пользователей, ыы, 09:53 , 06-Ноя-18 (4)
>[оверквотинг удален]
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
> на бинде есть зоны видимости. rtfm
> Но вообще - у вас там глубокий системный кризис...И кстати решать проблему через манипуляции с ДНС - плохо. Это и легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов- станете хорошо известны)
- DNS и разные форвардеры для разных групп пользователей, asphinx, 15:06 , 06-Ноя-18 (8)
>[оверквотинг удален]
>>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>>> быть решение на одном bind-e - ведь мощная штука-то...
>>> PS: Может, не на бинде такое можно сделать?
>> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
>> в свое время эту самую бзд... которую обладатели большого ума лепят
>> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
>> на бинде есть зоны видимости. rtfm
>> Но вообще - у вас там глубокий системный кризис...
> И кстати решать проблему через манипуляции с ДНС - плохо. Это и Возможно, но реализация Яндекса нам, в принципе, понравилась. Есть и там свои проблемы, но нас пока устраивает. > легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед
> начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов-
> станете хорошо известны) Мы не являемся монопольным поставщиком интернета в общаги - мы стараемся отвечать за трафик, проходящий через сеть факультета. Да, нашего канала тоже недостаточно для всех желающих, но он шире и стабильнее чем мобильный интернет. В общем, как и всё в нашей современной жизни - всё совсем не просто и не однозначно. :(
- DNS и разные форвардеры для разных групп пользователей, asphinx, 14:51 , 06-Ноя-18 (7)
>[оверквотинг удален]
>> назначить полный ДНС.
>> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... Ну, вообще, проект когда-то задумывался как полигон для обучения студентов. Совместить приятное с полезным - заинтересовать студентов, научить принципам администрирования в наших жизненных реалиях (когда есть желание, но не достаточно финансирования), научить корректному взаимодействию и сосуществованию с "властями" - руководством факультета и пр. Да, мы попытались перенять кое-что из опыта Беркли, но нам до них ещё как до Луны. :( Спонсирование частично ведётся за счёт факультета, частично - дополнительная внеурочная деятельность самих студентов. Ограничения были вынуждены накладывать по требованию нынешнего законодательства, т.к. сеть находится под крылом учебного заведения, а не все студенты совершеннолетние. Скажем, так - неформально задача стоит, чтобы через наш канал некорректный трафик не ходил. В общагах есть свои доп.каналы в интернет, но на всех желающих их не хватает. И там свои админы из числа студентов. Как там проходят расчёты и делится трафик - мы стараемся вмешиваться умеренно. Доступ к ресурсам сети факультета предоставляется по заявлению с подписанием договора-соглашения об ответственности клиента (студента) с назначением ответственного за его действия из числа сотрудников факультета. Наверняка, система не совершенна, но мы стараемся найти разумный компромисс. > на бинде есть зоны видимости. rtfm Этим мы активно пользуемся - внутренние зоны кафедры и факультета отдаются в мир и в студгородок выборочно, по заявкам, в зависимости от цели проекта. Но вот привязать вид к форвардеру у меня до сегодняшнего дня не получалось. Сегодня на свежую голову переписал конфиг немного по другому - заработало! Теперь надо аккуратно всё переделать и оттестировать... > Но вообще - у вас там глубокий системный кризис... Кризис - в нашей жизни, мы в нём постоянно живём... :( Мы просто пытаемся дать понять нашим студентам, что в жизни бывает очень всякое... :(
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 16:09 , 06-Ноя-18 (9)
Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл, товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
- DNS и разные форвардеры для разных групп пользователей, asphinx, 17:02 , 06-Ноя-18 (10)
> Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл,С чего вы взяли? Право мониторинга потока данных мы вынуждены вписать в соглашение с пользователем. Всё открыто и оговорено. Право пользователя (студента, преподавателя, лаборанта) подключаться к нашей сети, соглашаясь с нашими условиями, основанными на требованиях законодательства, или использовать любую другую (мобильный интернет, диал-ап, радиоканал и пр.). Преподавательский состав более зажат ограничениями - на него налагаются требования работодателя, плюс расплывчатые понятия преподавательской, "корпоративной" и прочей этики. За просмотр той же самой г-г-нухи на лабораторном компьютера студента пожурят, преподавателя будут долго песочить в ректорате-деканате, "разберут" на педсовете и в *ОНО, "ославят" на разных уровнях и, в итоге, он лишится работы с практически волчьим билетом и записью в личном деле. Я молчу про "славу" для учебного заведения в определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и обязательно не один раз укажут, что "интернет нам государство оплачивает для целей образования молодёжи, а не для..."
> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов. Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном случае мы лишимся лицензии. Проще всего в нашем мире от всего отказаться и ничего не делать.
- DNS и разные форвардеры для разных групп пользователей, Andrey, 17:38 , 06-Ноя-18 (11)
>[оверквотинг удален]
> в итоге, он лишится работы с практически волчьим билетом и записью
> в личном деле. Я молчу про "славу" для учебного заведения в
> определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае
> в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и
> обязательно не один раз укажут, что "интернет нам государство оплачивает для
> целей образования молодёжи, а не для..."
>> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
> случае мы лишимся лицензии. Проще всего в нашем мире от всего
> отказаться и ничего не делать.Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.
Все остальное это попытки прикрутить костыли к велосипеду.
Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.
- DNS и разные форвардеры для разных групп пользователей, asphinx, 17:57 , 06-Ноя-18 (12)
>>[оверквотинг удален]
>> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
>> случае мы лишимся лицензии. Проще всего в нашем мире от всего
>> отказаться и ничего не делать.
> Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.У нас стоит прозрачный прокси - как часть комплекса мер. Но как одна из доп.мер, пару лет назад был прикручен Я.ДНС. Получилось неплохо. Лучше чем режик. > Все остальное это попытки прикрутить костыли к велосипеду.
> Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа. Согласен абсолютно. Но сервера у нас тоже не стоечные. Да и стойка не фирменная - металлический стеллаж на роликах, купленный вскладчину из скудных пожертвований и студенческих бонусов. Потому и PPPoE нам пока не потянуть. :( PS: Про mpd знаю, пользуем с некоторыми особо ценными студентами по рекомендации преподавателей, но по нашим прикидкам наш шлюз не потянет всех клиентов общаги. Костылим из того, что есть на рынке.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 10:05 , 07-Ноя-18 (13) +1
Сложно понять что вы несете. При чем тут вид серверов? Почему не потянуть pppoe?
Хотите сделать нормально - дак делайте.
1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае вы будите знать кто, что и куда ходит.
2) Прокси это хорошо, и он у вас уже есть.
3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.
- DNS и разные форвардеры для разных групп пользователей, ыы, 17:33 , 07-Ноя-18 (15)
> Сложно понять что вы несете. При чем тут вид серверов? Почему не
> потянуть pppoe?
> Хотите сделать нормально - дак делайте.
> 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае
> вы будите знать кто, что и куда ходит.
> 2) Прокси это хорошо, и он у вас уже есть.
> 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
> 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта. Топикстартер хочет сказать очевидно, что при их бедности - не до грамотности, компетентности, адекватности и вменяемости. Делают как получается ... Не стрелляейте в кафедру незнаю чего (но что-то профильное очевидно) :)
- DNS и разные форвардеры для разных групп пользователей, tonys, 12:53 , 06-Ноя-18 (5)
> Добрый день всем!
> В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз
> с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача - Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не Бинда, а провайдерский.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 10:53 , 07-Ноя-18 (14)
> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
> Бинда, а провайдерский.Аутентификация по маку в большой сети с общим сегментом езернет - ересь неимоверная.
- DNS и разные форвардеры для разных групп пользователей, ыы, 17:50 , 07-Ноя-18 (16)
>> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
>> Бинда, а провайдерский.
> Аутентификация по маку в большой сети с общим сегментом езернет - ересь
> неимоверная.Это зависит от архитектуры. Если у каждого юзера свой порт управляемого свича, на котором "port security" - то почему бы и нет... Там фактически этот порт получает доступ к сети, и параметры его юзер изменить не может вообще.. а если стоит неуправялемое оборудование - то, да.. как возврат кудато в 90-е...
- DNS и разные форвардеры для разных групп пользователей, Hammer, 11:47 , 21-Фев-19 (18)
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделатьТолько массовые расстрелы спасут кафедру. SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 11:53 , 21-Фев-19 (19)
> Только массовые расстрелы спасут кафедру.
> SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.Из комы вышел? Или некрофил?
- DNS и разные форвардеры для разных групп пользователей, Hammer, 16:42 , 13-Мрт-19 (20)
>> Только массовые расстрелы спасут кафедру.
>> SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.
> Из комы вышел? Или некрофил?Не хамите, любезнейший. Не красиво это!
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 14:48 , 14-Мрт-19 (21)
> Не хамите, любезнейший. Не красиво это!Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и давать ответы которые уже даны?
- DNS и разные форвардеры для разных групп пользователей, Hammer, 18:40 , 14-Мрт-19 (22)
>> Не хамите, любезнейший. Не красиво это!
> Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и
> давать ответы которые уже даны?Ну промолчал бы. Хамить то зачем.
|
Версия для распечатки
DNS и разные форвардеры для разных групп пользователей, 
