- DNS и разные форвардеры для разных групп пользователей, ACCA, 01:29 , 06-Ноя-18 (1) +1
> PS: Может, не на бинде такое можно сделать?Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя бы DNS сервер. Первые-вторые курсы ведь справляются сами и таки смотрят порнуху.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 13:16 , 06-Ноя-18 (6) +1
> Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела > безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя > бы DNS сервер.А куда они пойдут? Выдумывать новые "запрещенные списки" на правительственном уровне? :-)
- DNS и разные форвардеры для разных групп пользователей, Andrey, 08:56 , 06-Ноя-18 (2)
>[оверквотинг удален] > задание было доработано - появилась группа из руководства факультета и отдела > безопасности при институте, для которых должны быть сняты все ограничения. И > вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером > назначить полный ДНС. > Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме > дискуссия в 14 году, но там решения не нашли. > Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, > у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно > быть решение на одном bind-e - ведь мощная штука-то... > PS: Может, не на бинде такое можно сделать?802.1x - DNS и разные форвардеры для разных групп пользователей, ыы, 09:31 , 06-Ноя-18 (3) –1
>[оверквотинг удален] > задание было доработано - появилась группа из руководства факультета и отдела > безопасности при институте, для которых должны быть сняты все ограничения. И > вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером > назначить полный ДНС. > Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме > дискуссия в 14 году, но там решения не нашли. > Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, > у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно > быть решение на одном bind-e - ведь мощная штука-то... > PS: Может, не на бинде такое можно сделать?Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал в свое время эту самую бзд... которую обладатели большого ума лепят куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... на бинде есть зоны видимости. rtfm Но вообще - у вас там глубокий системный кризис...
- DNS и разные форвардеры для разных групп пользователей, ыы, 09:53 , 06-Ноя-18 (4)
>[оверквотинг удален] >> дискуссия в 14 году, но там решения не нашли. >> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, >> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно >> быть решение на одном bind-e - ведь мощная штука-то... >> PS: Может, не на бинде такое можно сделать? > Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал > в свое время эту самую бзд... которую обладатели большого ума лепят > куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... > на бинде есть зоны видимости. rtfm > Но вообще - у вас там глубокий системный кризис...И кстати решать проблему через манипуляции с ДНС - плохо. Это и легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов- станете хорошо известны)
- DNS и разные форвардеры для разных групп пользователей, asphinx, 15:06 , 06-Ноя-18 (8)
>[оверквотинг удален] >>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, >>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно >>> быть решение на одном bind-e - ведь мощная штука-то... >>> PS: Может, не на бинде такое можно сделать? >> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал >> в свое время эту самую бзд... которую обладатели большого ума лепят >> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... >> на бинде есть зоны видимости. rtfm >> Но вообще - у вас там глубокий системный кризис... > И кстати решать проблему через манипуляции с ДНС - плохо. Это и Возможно, но реализация Яндекса нам, в принципе, понравилась. Есть и там свои проблемы, но нас пока устраивает. > легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед > начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов- > станете хорошо известны) Мы не являемся монопольным поставщиком интернета в общаги - мы стараемся отвечать за трафик, проходящий через сеть факультета. Да, нашего канала тоже недостаточно для всех желающих, но он шире и стабильнее чем мобильный интернет. В общем, как и всё в нашей современной жизни - всё совсем не просто и не однозначно. :(
- DNS и разные форвардеры для разных групп пользователей, asphinx, 14:51 , 06-Ноя-18 (7)
>[оверквотинг удален] >> назначить полный ДНС. >> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме >> дискуссия в 14 году, но там решения не нашли. >> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, >> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно >> быть решение на одном bind-e - ведь мощная штука-то... >> PS: Может, не на бинде такое можно сделать? > Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал > в свое время эту самую бзд... которую обладатели большого ума лепят > куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать... Ну, вообще, проект когда-то задумывался как полигон для обучения студентов. Совместить приятное с полезным - заинтересовать студентов, научить принципам администрирования в наших жизненных реалиях (когда есть желание, но не достаточно финансирования), научить корректному взаимодействию и сосуществованию с "властями" - руководством факультета и пр. Да, мы попытались перенять кое-что из опыта Беркли, но нам до них ещё как до Луны. :( Спонсирование частично ведётся за счёт факультета, частично - дополнительная внеурочная деятельность самих студентов. Ограничения были вынуждены накладывать по требованию нынешнего законодательства, т.к. сеть находится под крылом учебного заведения, а не все студенты совершеннолетние. Скажем, так - неформально задача стоит, чтобы через наш канал некорректный трафик не ходил. В общагах есть свои доп.каналы в интернет, но на всех желающих их не хватает. И там свои админы из числа студентов. Как там проходят расчёты и делится трафик - мы стараемся вмешиваться умеренно. Доступ к ресурсам сети факультета предоставляется по заявлению с подписанием договора-соглашения об ответственности клиента (студента) с назначением ответственного за его действия из числа сотрудников факультета. Наверняка, система не совершенна, но мы стараемся найти разумный компромисс. > на бинде есть зоны видимости. rtfm Этим мы активно пользуемся - внутренние зоны кафедры и факультета отдаются в мир и в студгородок выборочно, по заявкам, в зависимости от цели проекта. Но вот привязать вид к форвардеру у меня до сегодняшнего дня не получалось. Сегодня на свежую голову переписал конфиг немного по другому - заработало! Теперь надо аккуратно всё переделать и оттестировать... > Но вообще - у вас там глубокий системный кризис... Кризис - в нашей жизни, мы в нём постоянно живём... :( Мы просто пытаемся дать понять нашим студентам, что в жизни бывает очень всякое... :(
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 16:09 , 06-Ноя-18 (9)
Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл, товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
- DNS и разные форвардеры для разных групп пользователей, asphinx, 17:02 , 06-Ноя-18 (10)
> Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл,С чего вы взяли? Право мониторинга потока данных мы вынуждены вписать в соглашение с пользователем. Всё открыто и оговорено. Право пользователя (студента, преподавателя, лаборанта) подключаться к нашей сети, соглашаясь с нашими условиями, основанными на требованиях законодательства, или использовать любую другую (мобильный интернет, диал-ап, радиоканал и пр.). Преподавательский состав более зажат ограничениями - на него налагаются требования работодателя, плюс расплывчатые понятия преподавательской, "корпоративной" и прочей этики. За просмотр той же самой г-г-нухи на лабораторном компьютера студента пожурят, преподавателя будут долго песочить в ректорате-деканате, "разберут" на педсовете и в *ОНО, "ославят" на разных уровнях и, в итоге, он лишится работы с практически волчьим билетом и записью в личном деле. Я молчу про "славу" для учебного заведения в определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и обязательно не один раз укажут, что "интернет нам государство оплачивает для целей образования молодёжи, а не для..." > товарищ. Точно такой же казус вышел с реестром запрещенных сайтов. Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном случае мы лишимся лицензии. Проще всего в нашем мире от всего отказаться и ничего не делать.
- DNS и разные форвардеры для разных групп пользователей, Andrey, 17:38 , 06-Ноя-18 (11)
>[оверквотинг удален] > в итоге, он лишится работы с практически волчьим билетом и записью > в личном деле. Я молчу про "славу" для учебного заведения в > определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае > в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и > обязательно не один раз укажут, что "интернет нам государство оплачивает для > целей образования молодёжи, а не для..." >> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов. > Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном > случае мы лишимся лицензии. Проще всего в нашем мире от всего > отказаться и ничего не делать.Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети. Все остальное это попытки прикрутить костыли к велосипеду. Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.
- DNS и разные форвардеры для разных групп пользователей, asphinx, 17:57 , 06-Ноя-18 (12)
>>[оверквотинг удален] >> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном >> случае мы лишимся лицензии. Проще всего в нашем мире от всего >> отказаться и ничего не делать. > Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.У нас стоит прозрачный прокси - как часть комплекса мер. Но как одна из доп.мер, пару лет назад был прикручен Я.ДНС. Получилось неплохо. Лучше чем режик. > Все остальное это попытки прикрутить костыли к велосипеду. > Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа. Согласен абсолютно. Но сервера у нас тоже не стоечные. Да и стойка не фирменная - металлический стеллаж на роликах, купленный вскладчину из скудных пожертвований и студенческих бонусов. Потому и PPPoE нам пока не потянуть. :( PS: Про mpd знаю, пользуем с некоторыми особо ценными студентами по рекомендации преподавателей, но по нашим прикидкам наш шлюз не потянет всех клиентов общаги. Костылим из того, что есть на рынке.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 10:05 , 07-Ноя-18 (13) +1
Сложно понять что вы несете. При чем тут вид серверов? Почему не потянуть pppoe? Хотите сделать нормально - дак делайте. 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае вы будите знать кто, что и куда ходит. 2) Прокси это хорошо, и он у вас уже есть. 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода. 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.
- DNS и разные форвардеры для разных групп пользователей, ыы, 17:33 , 07-Ноя-18 (15)
> Сложно понять что вы несете. При чем тут вид серверов? Почему не > потянуть pppoe? > Хотите сделать нормально - дак делайте. > 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае > вы будите знать кто, что и куда ходит. > 2) Прокси это хорошо, и он у вас уже есть. > 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода. > 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта. Топикстартер хочет сказать очевидно, что при их бедности - не до грамотности, компетентности, адекватности и вменяемости. Делают как получается ... Не стрелляейте в кафедру незнаю чего (но что-то профильное очевидно) :)
- DNS и разные форвардеры для разных групп пользователей, tonys, 12:53 , 06-Ноя-18 (5)
> Добрый день всем! > В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз > с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача - Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не Бинда, а провайдерский.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 10:53 , 07-Ноя-18 (14)
> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не > Бинда, а провайдерский.Аутентификация по маку в большой сети с общим сегментом езернет - ересь неимоверная.
- DNS и разные форвардеры для разных групп пользователей, ыы, 17:50 , 07-Ноя-18 (16)
>> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не >> Бинда, а провайдерский. > Аутентификация по маку в большой сети с общим сегментом езернет - ересь > неимоверная.Это зависит от архитектуры. Если у каждого юзера свой порт управляемого свича, на котором "port security" - то почему бы и нет... Там фактически этот порт получает доступ к сети, и параметры его юзер изменить не может вообще.. а если стоит неуправялемое оборудование - то, да.. как возврат кудато в 90-е...
- DNS и разные форвардеры для разных групп пользователей, Hammer, 11:47 , 21-Фев-19 (18)
>[оверквотинг удален] > задание было доработано - появилась группа из руководства факультета и отдела > безопасности при институте, для которых должны быть сняты все ограничения. И > вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером > назначить полный ДНС. > Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме > дискуссия в 14 году, но там решения не нашли. > Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, > у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно > быть решение на одном bind-e - ведь мощная штука-то... > PS: Может, не на бинде такое можно сделатьТолько массовые расстрелы спасут кафедру. SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 11:53 , 21-Фев-19 (19)
> Только массовые расстрелы спасут кафедру. > SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.Из комы вышел? Или некрофил?
- DNS и разные форвардеры для разных групп пользователей, Hammer, 16:42 , 13-Мрт-19 (20)
>> Только массовые расстрелы спасут кафедру. >> SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону. > Из комы вышел? Или некрофил?Не хамите, любезнейший. Не красиво это!
- DNS и разные форвардеры для разных групп пользователей, Pahanivo, 14:48 , 14-Мрт-19 (21)
> Не хамите, любезнейший. Не красиво это!Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и давать ответы которые уже даны?
- DNS и разные форвардеры для разных групп пользователей, Hammer, 18:40 , 14-Мрт-19 (22)
>> Не хамите, любезнейший. Не красиво это! > Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и > давать ответы которые уже даны?Ну промолчал бы. Хамить то зачем.
|