Добрый день всем!В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача - обрезАть нежелательные ресурсы в сети для разных групп пользователей: для преподавательского состава днём обрезать кинчики и баннеры, студентам, особенно первых-вторых курсов, перекрыть порнуху и т.д. - всё по спискам доступа, утверждённым руководством... В качестве одного из инструментов для борьбы с порнухой мы выбрали Яндекс.ДНС - прописали его в качестве основного форвардера нашего bind-a. Но недавно задание было доработано - появилась группа из руководства факультета и отдела безопасности при институте, для которых должны быть сняты все ограничения. И вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером назначить полный ДНС.
Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме дискуссия в 14 году, но там решения не нашли.
Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых, у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно быть решение на одном bind-e - ведь мощная штука-то...PS: Может, не на бинде такое можно сделать?
> PS: Может, не на бинде такое можно сделать?Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя бы DNS сервер.
Первые-вторые курсы ведь справляются сами и таки смотрят порнуху.
> Не, не на бинде. Нужно выбросить группу из руководства факультета и отдела
> безопасности и поставить новых. Которые умеют заменить в своей конфигурации хотя
> бы DNS сервер.А куда они пойдут? Выдумывать новые "запрещенные списки" на правительственном уровне? :-)
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?802.1x
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделать?Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал в свое время эту самую бзд... которую обладатели большого ума лепят куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
на бинде есть зоны видимости. rtfm
Но вообще - у вас там глубокий системный кризис...
>[оверквотинг удален]
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
> на бинде есть зоны видимости. rtfm
> Но вообще - у вас там глубокий системный кризис...И кстати решать проблему через манипуляции с ДНС - плохо. Это и легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов- станете хорошо известны)
>[оверквотинг удален]
>>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>>> быть решение на одном bind-e - ведь мощная штука-то...
>>> PS: Может, не на бинде такое можно сделать?
>> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
>> в свое время эту самую бзд... которую обладатели большого ума лепят
>> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...
>> на бинде есть зоны видимости. rtfm
>> Но вообще - у вас там глубокий системный кризис...
> И кстати решать проблему через манипуляции с ДНС - плохо. Это иВозможно, но реализация Яндекса нам, в принципе, понравилась. Есть и там свои проблемы, но нас пока устраивает.
> легко обходится, и создает проблемы легальным пользователям, и подрывает авторитет (перед
> начальством вы может и отчитаетесь- но как некомпетентные болваны среди студентов-
> станете хорошо известны)Мы не являемся монопольным поставщиком интернета в общаги - мы стараемся отвечать за трафик, проходящий через сеть факультета. Да, нашего канала тоже недостаточно для всех желающих, но он шире и стабильнее чем мобильный интернет.
В общем, как и всё в нашей современной жизни - всё совсем не просто и не однозначно. :(
>[оверквотинг удален]
>> назначить полный ДНС.
>> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
>> дискуссия в 14 году, но там решения не нашли.
>> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
>> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
>> быть решение на одном bind-e - ведь мощная штука-то...
>> PS: Может, не на бинде такое можно сделать?
> Факультет надо полагать профильный? Вот в забугорье- один профильный факультет написал
> в свое время эту самую бзд... которую обладатели большого ума лепят
> куда ни попадя...а у нас- профильный факультет не умеет бинд настраивать...Ну, вообще, проект когда-то задумывался как полигон для обучения студентов. Совместить приятное с полезным - заинтересовать студентов, научить принципам администрирования в наших жизненных реалиях (когда есть желание, но не достаточно финансирования), научить корректному взаимодействию и сосуществованию с "властями" - руководством факультета и пр. Да, мы попытались перенять кое-что из опыта Беркли, но нам до них ещё как до Луны. :( Спонсирование частично ведётся за счёт факультета, частично - дополнительная внеурочная деятельность самих студентов. Ограничения были вынуждены накладывать по требованию нынешнего законодательства, т.к. сеть находится под крылом учебного заведения, а не все студенты совершеннолетние. Скажем, так - неформально задача стоит, чтобы через наш канал некорректный трафик не ходил. В общагах есть свои доп.каналы в интернет, но на всех желающих их не хватает. И там свои админы из числа студентов. Как там проходят расчёты и делится трафик - мы стараемся вмешиваться умеренно. Доступ к ресурсам сети факультета предоставляется по заявлению с подписанием договора-соглашения об ответственности клиента (студента) с назначением ответственного за его действия из числа сотрудников факультета. Наверняка, система не совершенна, но мы стараемся найти разумный компромисс.
> на бинде есть зоны видимости. rtfm
Этим мы активно пользуемся - внутренние зоны кафедры и факультета отдаются в мир и в студгородок выборочно, по заявкам, в зависимости от цели проекта. Но вот привязать вид к форвардеру у меня до сегодняшнего дня не получалось. Сегодня на свежую голову переписал конфиг немного по другому - заработало! Теперь надо аккуратно всё переделать и оттестировать...
> Но вообще - у вас там глубокий системный кризис...
Кризис - в нашей жизни, мы в нём постоянно живём... :( Мы просто пытаемся дать понять нашим студентам, что в жизни бывает очень всякое... :(
Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл, товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
> Вы пытаетесь управлять миром так, что бы не заметили санитары. Это феэйл,С чего вы взяли? Право мониторинга потока данных мы вынуждены вписать в соглашение с пользователем. Всё открыто и оговорено. Право пользователя (студента, преподавателя, лаборанта) подключаться к нашей сети, соглашаясь с нашими условиями, основанными на требованиях законодательства, или использовать любую другую (мобильный интернет, диал-ап, радиоканал и пр.). Преподавательский состав более зажат ограничениями - на него налагаются требования работодателя, плюс расплывчатые понятия преподавательской, "корпоративной" и прочей этики. За просмотр той же самой г-г-нухи на лабораторном компьютера студента пожурят, преподавателя будут долго песочить в ректорате-деканате, "разберут" на педсовете и в *ОНО, "ославят" на разных уровнях и, в итоге, он лишится работы с практически волчьим билетом и записью в личном деле. Я молчу про "славу" для учебного заведения в определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и обязательно не один раз укажут, что "интернет нам государство оплачивает для целей образования молодёжи, а не для..."
> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном случае мы лишимся лицензии. Проще всего в нашем мире от всего отказаться и ничего не делать.
>[оверквотинг удален]
> в итоге, он лишится работы с практически волчьим билетом и записью
> в личном деле. Я молчу про "славу" для учебного заведения в
> определённых кругах. Нам будут "вспоминать" при каждом удобном и неудобном случае
> в *ОНО, гор- и обл-советах, ну и выше тоже. Ну и
> обязательно не один раз укажут, что "интернет нам государство оплачивает для
> целей образования молодёжи, а не для..."
>> товарищ. Точно такой же казус вышел с реестром запрещенных сайтов.
> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
> случае мы лишимся лицензии. Проще всего в нашем мире от всего
> отказаться и ничего не делать.Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.
Все остальное это попытки прикрутить костыли к велосипеду.
Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.
>>[оверквотинг удален]
>> Не мы. Мы вынуждены подчиняться законам, принятым в этом мире. В противном
>> случае мы лишимся лицензии. Проще всего в нашем мире от всего
>> отказаться и ничего не делать.
> Ставьте прокси по вкусу, поднимайте PPPoE или 802.1х в сети.У нас стоит прозрачный прокси - как часть комплекса мер. Но как одна из доп.мер, пару лет назад был прикручен Я.ДНС. Получилось неплохо. Лучше чем режик.
> Все остальное это попытки прикрутить костыли к велосипеду.
> Установка DNS не защитит вас. Задача Name Server совсем не в разграничении доступа.Согласен абсолютно. Но сервера у нас тоже не стоечные. Да и стойка не фирменная - металлический стеллаж на роликах, купленный вскладчину из скудных пожертвований и студенческих бонусов. Потому и PPPoE нам пока не потянуть. :(
PS: Про mpd знаю, пользуем с некоторыми особо ценными студентами по рекомендации преподавателей, но по нашим прикидкам наш шлюз не потянет всех клиентов общаги. Костылим из того, что есть на рынке.
Сложно понять что вы несете. При чем тут вид серверов? Почему не потянуть pppoe?
Хотите сделать нормально - дак делайте.
1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае вы будите знать кто, что и куда ходит.
2) Прокси это хорошо, и он у вас уже есть.
3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.
> Сложно понять что вы несете. При чем тут вид серверов? Почему не
> потянуть pppoe?
> Хотите сделать нормально - дак делайте.
> 1) Сделайте четкую аутентификацию пользователя - нужен access server, в этом случае
> вы будите знать кто, что и куда ходит.
> 2) Прокси это хорошо, и он у вас уже есть.
> 3) Фаервол. Нужен вменяемый фаер, фильтровать попытки обхода.
> 4) ДНС как дополнение к вышесказанному, не более. Больше в качестве антидепрессанта.Топикстартер хочет сказать очевидно, что при их бедности - не до грамотности, компетентности, адекватности и вменяемости. Делают как получается ... Не стрелляейте в кафедру незнаю чего (но что-то профильное очевидно) :)
К профильности тут вообще масса вопросов ...
> Добрый день всем!
> В общаге развели локалку под патронажем нашего факультета. Замыкается всё на шлюз
> с FreeBSD 11. Сейчас установлен bind 9.13.3. Была поставлена задача -Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не Бинда, а провайдерский.
> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
> Бинда, а провайдерский.Аутентификация по маку в большой сети с общим сегментом езернет - ересь неимоверная.
>> Взять мак-адреса ВИП-компов и через DHCP выдавать им не адрес ДНС не
>> Бинда, а провайдерский.
> Аутентификация по маку в большой сети с общим сегментом езернет - ересь
> неимоверная.Это зависит от архитектуры. Если у каждого юзера свой порт управляемого свича, на котором "port security" - то почему бы и нет... Там фактически этот порт получает доступ к сети, и параметры его юзер изменить не может вообще.. а если стоит неуправялемое оборудование - то, да.. как возврат кудато в 90-е...
>[оверквотинг удален]
> задание было доработано - появилась группа из руководства факультета и отдела
> безопасности при институте, для которых должны быть сняты все ограничения. И
> вот возникли трудности с конфигурацией bind-а, чтобы для этой группы форвардером
> назначить полный ДНС.
> Поиск по гуглу пока к решению не подтолкнул. Была схожая по теме
> дискуссия в 14 году, но там решения не нашли.
> Как вариант, вижу - поднять второй bind на другом хосте, но, во-первых,
> у нас есть материально-технические трудности, а во-вторых, чувствую я, что должно
> быть решение на одном bind-e - ведь мощная штука-то...
> PS: Может, не на бинде такое можно сделатьТолько массовые расстрелы спасут кафедру.
SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.
> Только массовые расстрелы спасут кафедру.
> SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.Из комы вышел? Или некрофил?
>> Только массовые расстрелы спасут кафедру.
>> SQUID и прозрачное проксирование. Я б смотрел имено в эту сторону.
> Из комы вышел? Или некрофил?Не хамите, любезнейший. Не красиво это!
> Не хамите, любезнейший. Не красиво это!Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и давать ответы которые уже даны?
>> Не хамите, любезнейший. Не красиво это!
> Что вас побуждает, уважаемый, заходить с мертвые темы спустя несколько месяцев и
> давать ответы которые уже даны?Ну промолчал бы. Хамить то зачем.