У меня есть установка, состоящая из физического сервера (сервер) под управлением Ubuntu, на нем Windows 2016 Server, работающий как виртуальная машина, служит контроллером домена (Округ Колумбия).
Затем у меня есть другая физическая машина, работающая как мой маршрутизатор, на которой работает pfsense (маршрутизатор). Маршрутизатор действует как DHCP-сервер, хотя я слышал, что он предпочитает Округ Колумбия справиться. В основном потому, что для исправления ошибок удобно войти в систему веб-администратора pfSense вместо использования удаленного рабочего стола для входа в систему. Округ Колумбия а также поскольку Округ Колумбия виртуальная машина и в зависимости от перезагрузки ее хоста сервер может не встать, когда мне это нужно. Например сервер будут проблемы с запросом аренды DHCP от Округ Колумбия если бы он не запустил виртуальную машину Округ Колумбия первый.
Он также настроен как DNS-преобразователь. Это позволяет ему (и мне) легко добавлять определенные имена хостов для IP, перенаправлять вещи и т. Д. Поскольку у меня в доме трое детей, это также позволяет мне применять базовую «защиту» на основе DNS-фильтрации от определенных «известных вещей», запустив BlockerNG и Фырканье (хотя мне еще нужно время, чтобы это настроить).
Я установил DHCP-сервер на маршрутизатор дать IP Округ Колумбия в качестве первого DNS-сервера, а затем Округ Колумбия использует маршрутизатор в качестве DNS пересылки для вещей за пределами моей собственной сети. Кажется, все работает нормально. Active Directory в домене работает нормально, внутренние имена хостов работают нормально, а внешние хосты разрешаются правильно.
Но теперь я думал о добавлении NxFilter к смеси. Моя идея состоит в том, чтобы иметь возможность выполнять более тонкую DNS-фильтрацию для детей на основе их пользователей домена. Но я начинаю чувствовать, что это может быть немного "для многих" DNS, участвующих в моей настройке, и что я, возможно, делаю это не "правильным" способом.
Чтобы попробовать, я только что установил NxFilter в качестве контейнера докеров на сервер с собственным IP-адресом в локальной сети. Затем я просто добавил IP-адрес NxFilter установка быть первым DNS-сервером в списке DNS-серверы раздается DHCP-сервер на маршрутизатор и добавил IP маршрутизатор и это DNS-преобразователь в качестве восходящего DNS-сервера NxFilter. поскольку маршрутизаторсписок DNS-серверов включает Округ Колумбия NxFilter сначала пытается разрешить и применяет свои правила, затем при необходимости пересылает маршрутизатор который, в свою очередь, ищет данные о домене, используя Округ Колумбия.
Теперь, похоже, это действительно работает. Но я не уверен, что это «правильный» путь. Часть меня думает, что "лучшим" подходом было бы иметь Округ Колумбия в качестве используемого DNS и добавьте NxFilter и возможно даже Округ Колумбия как перенаправляющие DNS-серверы в Округ Колумбия. Но я не уверен, что смогу применить оба BlockerNG правила и NxFilter правила, если я пойду по этому маршруту, особенно для хостов, которые могут быть внутри моей собственной сети.
Теперь я новичок в любой «продвинутой» настройке DNS, поэтому я надеюсь, что это не слишком сложно и кому-то взорвёт голову.
Настройте DHCP-сервер для назначения DC в качестве DNS-сервера для DHCP-клиентов. Настройте контроллер домена на использование NxFilter в качестве сервера пересылки. Настройте NxFilter соответствующим образом для разрешения DNS-запросов для внешних имен.
На самом деле вам не нужно использовать маршрутизатор в качестве пересылки. Вы, конечно, можете, но в этом нет необходимости и просто добавите ненужный преобразователь в «цепочку» запросов.