В настоящее время мы фильтруем интернет-контент с помощью OpenDNS, наши внутренние DC / DNS-серверы Windows указывают на DNS маршрутизатора, который затем указывает на серверы OpenDNS. Это хорошо работает для равной блокировки всех компьютеров в сети.
Новый выпуск. Теперь нам нужно разделить, какие компьютеры могут переходить на какие сайты. Итак, facebook заблокирован для всех прямо сейчас, но мне нужно открыть его для трех компьютеров сообщества.
3 компьютера сообщества будут находиться в ненадежной сети, отдельно от компьютеров компании, поэтому они могут иметь свой собственный DNS-сервер от своего собственного маршрутизатора. Проблема в том, что они по-прежнему должны подключаться к Интернету, используя один и тот же IP-адрес. Таким образом, OpenDNS видит один и тот же IP-адрес и одинаково блокирует их. Мы планируем получить второй IP-адрес, но вряд ли это вариант без перехода на следующий основной уровень с нашим интернет-провайдером, чего мы не хотим делать.
Моя мысль такая. Могу ли я настроить DNS-сервер в ненадежной сети, а затем, в зависимости от поступающего запроса, отправить его либо в OpenDNS, либо в DNS нашего интернет-провайдера?
Пример: www.facebook.com и www.youtube.com находятся в черном списке OpenDNS.
Поэтому, если они переходят на www.youtube.com, локальный DNS-сервер переходит к DNS провайдера, чтобы получить IP-адрес, и, таким образом, клиент получает правильный IP-адрес и может перейти на сайт. Это будет вводиться вручную для каждого разрешенного сайта, таким образом создается белый список. Затем, если они переходят на www.facebook.com, поскольку локальный DNS-сервер не находит запись, он отправляет запрос в OpenDNS, который затем видит, что сайт находится в черном списке, и, таким образом, отправляет заблокированную веб-страницу.
Локальный DNS-сервер может быть либо Bind в Linux, либо MS DNS в Window 2008. Если это можно сделать, не могли бы вы дать какое-то направление? Я никогда раньше не настраивал DNS, подобный этому.
Спасибо
В Windows 2008 это называется условными пересылками, есть краткое руководство. Вот.
Их тоже называют экспедиторами в привязке ...
zone "facebook.com" {
type forward;
forwarders { ispdns1; ispdns2; };
};
Я считаю, что это должно сработать. Вы можете объединить это с целью ограничить запросы пересылки только теми, которые находятся в DMZ.