Re: [Sysadmins] Различные DNS для различных пользователей

Re: [Sysadmins] Различные DNS для различных пользователей

[Anton A. Vinogradov]

16.03.2010 20:52, Павел Знаменский пишет:
> Здравствуйте.
> Имеется шлюз в интернет. На нем есть необходимость поставить кэширующий
> DNS (главный претендент - bind).
> Трудность заключается в том, что сервер стоит в школе, посему необходимо
> включать контент фильтр для учеников. Учителя же хотят бродить в сети
> без ограничений. Фильтрация происходит на уровне DNS запросов, а именно,
> путем указания в качестве DNS серверов адреса NetPolice*. DNS на
> компьютерах прописываются автоматически.
> Итак: как можно добиться с наименьшими усилиями "разделения" кэша DNS
> для учителей и учеников?
> Мой прообраз плана:
> сетевой карте сервера присвоить ещё один ip, который будет вручную
> прописан на компьютерах учителей (поскольку их заведомо меньше, чем
> компьютеров учеников) в качестве DNS, а затем непонятным образом
> добиться того, чтобы DNS запросы для учителей и учеников шли по разным
> путям.
> Вопрос состоит именно в том, как добиться реализации второй части плана.
> Так же очень интересно услышать иные пути решения.
>
> PS: Ещё думаю над применением виртуальных машин. Соответственно для
> учителей один сервер, для учеников другой. На мой взгляд это кощунство.
> Как думает сообщество?
> Спасибо.
>
> * http://dmitrov.edu.ru/~ps/wikiblog/doku.php?id=blogs:blog-pkf_dns
>
проще завести два сквида.

Re: [Sysadmins] Различные DNS для различных пользователей

[Denis Nazarov]

В сообщении от Вторник 16 марта 2010 23:08:41 автор Anton A. Vinogradov 
написал:
> 16.03.2010 20:52, Павел Знаменский пишет:
> > Здравствуйте.
> > Имеется шлюз в интернет. На нем есть необходимость поставить кэширующий
> > DNS (главный претендент - bind).
> > Трудность заключается в том, что сервер стоит в школе, посему необходимо
> > включать контент фильтр для учеников. Учителя же хотят бродить в сети
> > без ограничений. Фильтрация происходит на уровне DNS запросов, а именно,
> > путем указания в качестве DNS серверов адреса NetPolice*. DNS на
> > компьютерах прописываются автоматически.
> > Итак: как можно добиться с наименьшими усилиями "разделения" кэша DNS
> > для учителей и учеников?
> > Мой прообраз плана:
> > сетевой карте сервера присвоить ещё один ip, который будет вручную
> > прописан на компьютерах учителей (поскольку их заведомо меньше, чем
> > компьютеров учеников) в качестве DNS, а затем непонятным образом
> > добиться того, чтобы DNS запросы для учителей и учеников шли по разным
> > путям.
> > Вопрос состоит именно в том, как добиться реализации второй части плана.
> > Так же очень интересно услышать иные пути решения.
> >
> > PS: Ещё думаю над применением виртуальных машин. Соответственно для
> > учителей один сервер, для учеников другой. На мой взгляд это кощунство.
> > Как думает сообщество?
> > Спасибо.
> >
> > * http://dmitrov.edu.ru/~ps/wikiblog/doku.php?id=blogs:blog-pkf_dns
> 
> проще завести два сквида.
> 
да и одного должно хватить... сквид+iptables - вообще непрошибаемая вещь....

Re: [Sysadmins] Различные DNS для различных пользователей

[Павел Знаменский]

Антон, правильно ли я понимаю, что Вы предлагаете обратиться к виртуализации?
Денис, расскажите, пожалуйста подробнее, как можно обойтись одним сквидом.

Re: [Sysadmins] Различные DNS для различных пользователей

[Anton A. Vinogradov]

16.03.2010 22:12, Павел Знаменский пишет:
> Антон, правильно ли я понимаю, что Вы предлагаете обратиться к виртуализации?
можно. если у Вас что-то на сервер p5. Могу даже контейнер подкинуть. 
Можно обойтись и одним сквидом. Школьников пустить через сквид с 
казенным DNS. А преподавателей -- напрямую с "гражданскими". Или лучше 
наоборот: путь к свободе через сквид и пароль. :)
> Денис, расскажите, пожалуйста подробнее, как можно обойтись одним сквидом.

Re: [Sysadmins] Различные DNS для различных пользователей

[Sergey]

On Tuesday 16 March 2010, Павел Знаменский wrote:

> сетевой карте сервера присвоить ещё один ip, который будет вручную
> прописан на компьютерах учителей (поскольку их заведомо меньше, чем
> компьютеров учеников) в качестве DNS, а затем непонятным образом
> добиться того, чтобы DNS запросы для учителей и учеников шли по разным
> путям.    

Если у учеников и учителей разные IP, то можно как-то так наверное:

iptables -t nat -A PREROUTING -s <net1> -p tcp --dport 53 -j DNAT --to <ns1>
iptables -t nat -A PREROUTING -s <net1> -p udp --dport 53 -j DNAT --to <ns1>

и для каких-то других сетей какие-то другие ns.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

А не пробовали SQUID + SAMS + LDAP использовать

> Здравствуйте.
> Имеется шлюз в интернет. На нем есть необходимость поставить 
кэширующий DNS (главный претендент - bind).Трудность заключается в том, 
что сервер стоит в школе, посему необходимо включать контент фильтр для 
учеников. Учителя же хотят бродить в сети без ограничений. Фильтрация 
происходит на уровне DNS запросов, а именно, путем указания в качестве 
DNS серверов адреса NetPolice*. DNS на компьютерах прописываются 
автоматически.
> Итак: как можно добиться с наименьшими усилиями "разделения" кэша DNS 
для учителей и учеников?Мой прообраз плана:сетевой карте сервера 
присвоить ещё один ip, который будет вручную прописан на компьютерах 
учителей (поскольку их заведомо меньше, чем компьютеров учеников) в 
качестве DNS, а затем непонятным образом добиться того, чтобы DNS 
запросы для учителей и учеников шли по разным путям.
> Вопрос состоит именно в том, как добиться реализации второй части 
плана.Так же очень интересно услышать иные пути решения.
> PS: Ещё думаю над применением виртуальных машин. Соответственно для 
учителей один сервер, для учеников другой. На мой взгляд это кощунство. 
Как думает сообщество?
> Спасибо.
> * http://dmitrov.edu.ru/~ps/wikiblog/doku.php?id=blogs:blog-pkf_dns

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

SQUID + SAMS + LDAP и ни какого IPTABLES не надо
через SAMS можно управлять полностью всеми компами которые выходят в 
инет

> А не пробовали SQUID + SAMS + LDAP использовать
> > Здравствуйте.
> > Имеется шлюз в интернет. На нем есть необходимость поставить
> кэширующий DNS (главный претендент - bind).Трудность заключается в 
том,
> что сервер стоит в школе, посему необходимо включать контент фильтр 
для
> учеников. Учителя же хотят бродить в сети без ограничений. Фильтрация
> происходит на уровне DNS запросов, а именно, путем указания в качестве
> DNS серверов адреса NetPolice*. DNS на компьютерах прописываются
> автоматически.
> > Итак: как можно добиться с наименьшими усилиями "разделения" кэша 
DNS
> для учителей и учеников?Мой прообраз плана:сетевой карте сервера
> присвоить ещё один ip, который будет вручную прописан на компьютерах
> учителей (поскольку их заведомо меньше, чем компьютеров учеников) в
> качестве DNS, а затем непонятным образом добиться того, чтобы DNS
> запросы для учителей и учеников шли по разным путям.
> > Вопрос состоит именно в том, как добиться реализации второй части
> плана.Так же очень интересно услышать иные пути решения.
> > PS: Ещё думаю над применением виртуальных машин. Соответственно для
> учителей один сервер, для учеников другой. На мой взгляд это 
кощунство.
> Как думает сообщество?
> > Спасибо.
> > * http://dmitrov.edu.ru/~ps/wikiblog/doku.php?id=blogs:blog-pkf_dns
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Различные DNS для различных пользователей

[Anton A. Vinogradov]

16.03.2010 23:27, С уважением Шаров И.А. пишет:
> SQUID + SAMS + LDAP и ни какого IPTABLES не надо
> через SAMS можно управлять полностью всеми компами которые выходят в инет
научите,плз, выдавать таким образом разные днс.

Re: [Sysadmins] Различные DNS для различных пользователей

[MisHel64]

Здравствуйте, Павел.

Вы писали 16 марта 2010 г., 20:52:58:

> сетевой карте сервера присвоить ещё один ip, который будет вручную
> прописан на компьютерах учителей (поскольку их заведомо меньше, чем
> компьютеров учеников) в качестве DNS, а затем непонятным образом
> добиться того, чтобы DNS запросы для учителей и учеников шли по разным путям.

1)  Посмотреть  на  View в настройках DNS сервера.  Возможно подойдет.
Запросы с разных ипов перенаправлять на разные внешние DNS сереры.

2)  Если  ипы  раздаются  через  DHCP  сервер,  то выдавать всем адрес
локального  DNS,  а  компьютерам преподавателей адреса DNS провайдера.
Тут фильтр по маку.

3)  Средствами  пакетного  фильтра пробрасывать запросы от компьютеров
преподавателей на DNS провайдера.

4)  Повесить  второй  DNS  сервер  на  нестандартный  порт  Средствами
пакетного  фильтра  пробрасывать запросы от компьютеров преподавателей
на этот нестандартный порт.

5)   На  компьютерах  преподавателей  вручную  прописать  DNS  серверы
провайдера.

6)   Поставить   второй   прокси   сервер   на  одном  их  компьютеров
преподавателей.

7) Объяснить преподавателям, что по порнухе нужно из дома лазить.


Главный  тут  вопрос, не сядет ли за компьютер преподавателя ученик, и
нужно ли отслеживать такую ситуацию.

И второй вопрос, как раздаются адреса в вашей локальной сети. В ручную
прописываете, или с помощью DHCP.


-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Различные DNS для различных пользователей

[Denis Nazarov]

В сообщении от Среда 17 марта 2010 00:12:21 автор Павел Знаменский написал:
> Денис, расскажите, пожалуйста подробнее, как можно обойтись одним сквидом.
> 
насколько я понял, есть некий набор сайтов, на который дозволено ходить 
ученикам? Зачем тогда городить огород с DNS? Прописали сайты в отдельный 
файлик, в конфиге сквида сказали ему - вот эти айпишники везде могут, эти 
только сюда и никуда больше, остальным облом - и все. В первую группу, 
соответственно, учителя. Во вторую - ученики. В третью попадут те из учеников, 
которые попытаются поменять айпишник на левый, чтобы обойти ограничения (если 
им дадена такая возможность)

Re: [Sysadmins] Различные DNS для различных пользователей

[Владимир]

> Главный  тут  вопрос, не сядет ли за компьютер преподавателя ученик, и
> нужно ли отслеживать такую ситуацию.
тут главный вопрос, если инет предоставляет руководство, то когда оно
решит посмотреть, как он используется... 
Я схемку видел, в которой данные по запросам к ресурсам в интернете
всё-таки в ФАО стекаются...

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

А зачем раздавать разные днс

> 16.03.2010 23:27, С уважением Шаров И.А. пишет:
> > SQUID + SAMS + LDAP и ни какого IPTABLES не надо
> > через SAMS можно управлять полностью всеми компами которые выходят в 
инет
> научите,плз, выдавать таким образом разные днс.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Различные DNS для различных пользователей

[Dmitriy Kruglikov]

16 марта 2010 г. 20:24 пользователь Denis Nazarov написал:

> да и одного должно хватить... сквид+iptables - вообще непрошибаемая вещь....
Адреса раздавать DHCP.
Учителям фиксировать адреса по MAC из некоторого диапазона.
Например:
192.168.1.1-100 - учителям.
192.168.1.101-200 - ученикам.

К Squid добавить redirector (rejik3) который есть в Сизифе (вероятно и в Р5).
Диапазон адресов учителей в Режике прописать как нефильтруемый, и все ...

При этом lightsquid будет собирать статистику по всем станциям.

Учителя учителями, но порнуху пусть дома смотрят ...

P.S.
Я такое делал для небольшой сети, где роль учителей выполняли
руководители фирмы, а учеников - все сотрудники.

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [Sysadmins] Различные DNS для различных пользователей

[Anton A. Vinogradov]

Может я чего-то не понял, речь шла о разных пользователях. А не о разных 
машинах. Тут iptables и dhcp так просто не отделаешься.

Re: [Sysadmins] Различные DNS для различных пользователей

[MisHel64]

Здравствуйте, Denis.

Вы писали 17 марта 2010 г., 5:41:46:

> В сообщении от Среда 17 марта 2010 00:12:21 автор Павел Знаменский написал:
>> Денис, расскажите, пожалуйста подробнее, как можно обойтись одним сквидом.
>> 
> насколько я понял, есть некий набор сайтов, на который дозволено ходить
> ученикам? Зачем тогда городить огород с DNS?

Этот список есть, но не у топик стартера, а у сетевой полиции.
По этому что бы его использовать приходится городить огород с DNS.

> Прописали сайты в отдельный файлик,

Вот  тут  собака порылась. фактически черного списка у автора сходного
нет.

>  в конфиге сквида сказали ему -

Раз автор исходного собирается использовать свкид.....

Тогда потребуется две машины.

Первая  обслуживает  учителей.   На  ней  крутится  DNS  и сквид.  DNS
пересылает  запросы  DNS  провайдеру,  сквид пропускает запросы только
учителей. Можно добавить авторизацию.

На  второй  машине  DNS  пересылает запросы DNS серверу полиции, сквид
обслуживает всех желающих.

Можно обойтись одной физической машиной.
Первый  вариант.  Учителя  используют  DNS провайдера, в инет ходят на
прямую.
Второй вариант. Одна из машин ставится в виртуалке.

Два   DNS   сервера   нужны,   если  не  получится  настроить  один  с
использованием VIEW.

Вариант получить список запрещенных сайтов не рассматривается?


-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

А покой черт нужен IPTABLES

> 16 марта 2010 г. 20:24 пользователь Denis Nazarov написал:
> > да и одного должно хватить... сквид+iptables - вообще непрошибаемая 
вещь....
> Адреса раздавать DHCP.
> Учителям фиксировать адреса по MAC из некоторого диапазона.
> Например:
> 192.168.1.1-100 - учителям.
> 192.168.1.101-200 - ученикам.
> К Squid добавить redirector (rejik3) который есть в Сизифе (вероятно и 
в Р5).
> Диапазон адресов учителей в Режике прописать как нефильтруемый, и все 
...
> При этом lightsquid будет собирать статистику по всем станциям.
> Учителя учителями, но порнуху пусть дома смотрят ...
> P.S.
> Я такое делал для небольшой сети, где роль учителей выполняли
> руководители фирмы, а учеников - все сотрудники.

Re: [Sysadmins] Различные DNS для различных пользователей

[Dmitriy Kruglikov]

17 марта 2010 г. 18:01 пользователь Павел Знаменский написал:

>> К Squid добавить redirector (rejik3) который есть в Сизифе (вероятно и в
>> Р5).

> Спасибо, это хороший вариант.
И у нас уже все есть ...

>> Вариант получить список запрещенных сайтов не рассматривается?
> Если только как крайний вариант.
Зачем же ?
В том же "Режике" можно такой список заводить ...
По аналогии и рядом со списком порно-сайтов ...

> Теперь буду выбирать из множества вариантов и определять наиболее подходящий.

Ну, спрашивай, если что ... :)

-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

Полностью с тобой согласен

> 17 марта 2010 г. 9:53 пользователь Dmitriy Kruglikov 
<dmitriy.kruglikov@gmail.com> написал:
> Адреса раздавать DHCP.
> Учителям фиксировать адреса по MAC из некоторого диапазона.
> Например:
> 192.168.1.1-100 - учителям.
> 192.168.1.101-200 - ученикам.
> К Squid добавить redirector (rejik3) который есть в Сизифе (вероятно и 
в Р5).
> Диапазон адресов учителей в Режике прописать как нефильтруемый, и все 
...
> При этом lightsquid будет собирать статистику по всем станциям.
> Учителя учителями, но порнуху пусть дома смотрят ...
> P.S.
> Я такое делал для небольшой сети, где роль учителей выполняли
> руководители фирмы, а учеников - все сотрудники.
> Спасибо, это хороший вариант.
> 17 марта 2010 г. 11:42 пользователь Anton A. Vinogradov 
<vinogradov.mail@gmail.com> написал:
> Может я чего-то не понял, речь шла о разных пользователях. А не о 
разных машинах. Тут iptables и dhcp так просто не отделаешься.
> Нет, нет, я имел ввиду разные машины.
> 17 марта 2010 г. 11:51 пользователь MisHel64 <MisHel64@bk.ru> написал:
> Вариант получить список запрещенных сайтов не рассматривается?
> Если только как крайний вариант.
> Спасибо всем принявшим участие в решении проблемы. Теперь буду 
выбирать из множества вариантов и определять наиболее подходящий.Ещё раз 
спасибо. :-)

Re: [Sysadmins] Различные DNS для различных пользователей

[С уважением Шаров И.А.]

Честно говоря я бы сделал доступ по паролю
Школьникам login: user Password 123456
Работники Login & Paasword: Индивидуальный для каждого
а далее в SAMS установл права доступа в интернет
если что пишите или звоните
e-mail cspo.tver@rambler.ru, sharovia@rambler.ru
GSM RU +79105312087, +79040064535

> Полностью с тобой согласен
> > 17 марта 2010 г. 9:53 пользователь Dmitriy Kruglikov
> <dmitriy.kruglikov@gmail.com> написал:
> > Адреса раздавать DHCP.
> > Учителям фиксировать адреса по MAC из некоторого диапазона.
> > Например:
> > 192.168.1.1-100 - учителям.
> > 192.168.1.101-200 - ученикам.
> > К Squid добавить redirector (rejik3) который есть в Сизифе (вероятно 
и
> в Р5).
> > Диапазон адресов учителей в Режике прописать как нефильтруемый, и 
все
> ...
> > При этом lightsquid будет собирать статистику по всем станциям.
> > Учителя учителями, но порнуху пусть дома смотрят ...
> > P.S.
> > Я такое делал для небольшой сети, где роль учителей выполняли
> > руководители фирмы, а учеников - все сотрудники.
> > Спасибо, это хороший вариант.
> > 17 марта 2010 г. 11:42 пользователь Anton A. Vinogradov
> <vinogradov.mail@gmail.com> написал:
> > Может я чего-то не понял, речь шла о разных пользователях. А не о
> разных машинах. Тут iptables и dhcp так просто не отделаешься.
> > Нет, нет, я имел ввиду разные машины.
> > 17 марта 2010 г. 11:51 пользователь MisHel64 <MisHel64@bk.ru> 
написал:
> > Вариант получить список запрещенных сайтов не рассматривается?
> > Если только как крайний вариант.
> > Спасибо всем принявшим участие в решении проблемы. Теперь буду
> выбирать из множества вариантов и определять наиболее подходящий.Ещё 
раз
> спасибо. :-)
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Различные DNS для различных пользователей

[Павел Знаменский]

17.03.10, С уважением Шаров И.А.<sharovia@rambler.ru> написал(а):
> Честно говоря я бы сделал доступ по паролю
> Школьникам login: user Password 123456
> Работники Login & Paasword: Индивидуальный для каждого
> а далее в SAMS установл права доступа в интернет
> если что пишите или звоните

Спасибо за поддержку. Особенно отрадно встретить земляка. :-)

Re: [Sysadmins] Различные DNS для различных пользователей

[Anton Kvashin]

Павел Знаменский пишет:
> Трудность заключается в том, что сервер стоит в школе, посему необходимо 
> включать контент фильтр для учеников. Учителя же хотят бродить в сети 
> без ограничений. Фильтрация происходит на уровне DNS запросов, а именно, 
> путем указания в качестве DNS серверов адреса NetPolice*. DNS на 
> компьютерах прописываются автоматически.
> а затем непонятным образом 
> добиться того, чтобы DNS запросы для учителей и учеников шли по разным 
> путям.
> Вопрос состоит именно в том, как добиться реализации второй части плана.
> Так же очень интересно услышать иные пути решения.

В squid есть директива для использования днс-серверов, отличных от 
указанных в resolv.conf. Здесь можно использовать провайдера и получить 
неограниченный доступ для учителей.

Для учеников, прописать на шлюзе в resolv.conf сервера netpolice или 
использовать директиву forwarders в локальном bind.

Можно заворачивать все запросы на локальный bind с помощью iptables, 
тогда неважно какие сервера будут указаны в настройках TCP/IP на 
клиентских машинах.

-- 
Anton Kvashin