Arra van szükségem, hogy:
A 10.10.10.0/24-es tartományban lévő gépek lekérdezhessenek bármilyen címet, de
a 10.10.20.0/24-es tartományban lévők viszont csak a .hu, és egyes .com-os (microsoft, adobe, miegyéb) címeket kérdezhessék le.
Elsőnek a view-k jutnak az eszembe, ezzel lehet az egyes tartományok felé más adatot tolni, de eddig csak más-más zónát küldtem az egyes irányokba, azzal nincs tapasztalatom, hogy lehet-e és ha igen, akkor hogyan tiltani zónák feloldását.
Valaki csinált már ilyet?
- 5048 megtekintés
Hozzászólások
Szia!
Én használom így is, acl csoportnév alá kerülnek az ip-k, tartományok, és view csoportnév alá a match-clients és allow-query csoportnévben szereplők kérhetik le a benne lévő zónákat. Plusz adminisztrációt igényel a configban.
- A hozzászóláshoz be kell jelentkezni
Ha jól értem akkor az allow-query azt szabályozza, hogy melyik, nálad lévő zónát oldhatják fel, nekem viszont nem ez kell.
- A hozzászóláshoz be kell jelentkezni
Tulajdonképpen igen; amelyik ip vagy tartomány benne van az adott acl-ben amire alkalmazkodik az adott view, az abban szereplő _saját_ zónákat így csak arról az ipről/tartományból tudják lekérni.
Esetleg meg lehet próbálni hogy az a tartomány kapjon egy külön forwarder zóna view-et, akik csak adott .tld -ket kérhetnek le például:
zone "com" in {
type forward;
forwarders { 8.8.8.8; 8.8.4.4; };
};
zone "hu" in {
type forward;
forwarders { 8.8.8.8; 8.8.4.4; };
};
Vagy hasonlót érdemes lehet próbálgatni. Tetszés szerint ha Google DNS helyett mondjuk a sajátot, akár 127.0.0.1 és/vagy a másodlagost megadod továbbítónak, akkor még szűrni is tudsz, amennyiben egy vagy több domainre tiltási igény keletkezik.
- A hozzászóláshoz be kell jelentkezni
Hmm, hacsak úgy nem... bár gyanús hogy nem fog menni, de hamarosan kipróbálom, könnyen lehet hogy valamit félreértek.
- A hozzászóláshoz be kell jelentkezni
Nos a megoldás kicsit más lett mint vártam. A view-k bevezetése több problémát okozott volna mint amit megoldott volna, ezért:
- felkerült egy dnsmasq is a gépre, egy új IP-re
- a dnsmasq tud olyat, hogy domain mask alapján választ szervert, így a megbízhatónak ítélt oldalak feloldódhatnak
- az összes többi notfound
- a megfelelő gépek a dhcp konfigban a dnsmasq IP-jét kapják
- a többiek kapják a rendes címet (bind9)
Megoldható lett volna csak dnsmasq használatával, de akkor abból kettőt kellene futtatni és szétborítaná a jelenleg remekül működő dhcpd-bind9 párost. Otthon kipróbálom és lehet hogy a bind kikerül a képből (csak akkor le kell költöznöm róla pár master zónával, de ez megoldható).
A konfig:
listen-address=10.75.21.12
bind-interfaces
server=/hu/10.75.21.11
server=/facebook.com/10.75.21.11
no-resolv
Todo: valahogy megoldom hogy az összes tiltott név egy bizonyos címre oldódjon fel, ami címre felpattintok egy weboldalt, hogy a megtekinteni vágyott oldal nem-nem és hogy lehessen jelezni hogy ha mégis kell a. De ez ráér :D
- A hozzászóláshoz be kell jelentkezni