Разные настройки Ubnound на разных интерфейсах в одном инстансе

[alibek]

Есть провайдерский unbound с тремя интерфейсами, допустим 1.1.1.1, 2.2.2.2, 3.3.3.3.

В конфигурации задаются разные настройки и через include подключается несколько разных конфигурационных блоков.

Один из таких блоков называется adblock.conf, он блокирует основные банерные и рекламные сети.

Если его подключить, то существенная часть рекламы блокируется, но действует это глобально, для всех абонентов.

Я хочу сделать так, чтобы на интерфейсах 1.1.1.1, 2.2.2.2 все работало стандартно (без adblock.conf), и только на 3.3.3.3 работал adblock.conf.

Добавление interface в adblock.conf ничего не дает.

Как я понимаю, мне нужно запускать два инстанса unbound, один на 1.1.1.1 и 2.2.2.2 со стандартной конфигурацией, а второй на 3.3.3.3 со стандартной конфигурацией + adblock.conf.

Смысл в том, что стандартные DNS работают обычным образом, а если пользователь сам пропишет 3.3.3.3, то получит банерорезку.

Как бы это сделать с минимальными телодвижениями? На сервере Debian 8 (с systemd).

[vurd]

Нажмите кнопку duplicate в вашем гипервизоре и поднимите второй сервер. Это будут максимально минимальные движения.

[alibek]

Меня все же интересует сделать подобное конфигурацией.

ВМ это неспортивно и явный перебор, кроме того тогда нужно будет синхронизировать основную конфигурацию Unbound между серверами.

[vurd]

Тогда дайте детали, что там за эдблок конф, ссылку на него.

[alibek]

Основная конфигурация:

server:
...

#include: "/extra/conf/unbound/dnssec.conf"
include: "/extra/conf/unbound/perfomance.conf"
include: "/extra/conf/unbound/access.conf"
include: "/extra/conf/unbound/control.conf"
include: "/extra/conf/unbound/block.conf"
#include: "/extra/conf/unbound/adblock.conf"
include: "/extra/conf/unbound/zones-private.conf"
include: "/extra/conf/unbound/zones-forward.conf"
include: "/extra/conf/unbound/zones-reverse.conf"
include: "/extra/conf/unbound/zones-override.conf"
include: "/extra/conf/unbound/forwarder.conf"

adblock.conf пока выглядит так (будет пополнятся):

local-data: "doubleclick.net. A 0.0.0.0"
local-data: "g.doubleclick.net. A 0.0.0.0"
local-data: "googleads.g.doubleclick.net. A 0.0.0.0"
local-data: "tpc.googlesyndication.com. A 0.0.0.0"
local-data: "pagead2.googlesyndication.com. A 0.0.0.0"
local-data: "mc.yandex.ru. A 0.0.0.0"
local-data: "an.yandex.ru. A 0.0.0.0"
local-data: "yastatic.net. A 0.0.0.0"
local-data: "adfox.yandex.ru. A 0.0.0.0"
local-data: "matchid.adfox.yandex.ru. A 0.0.0.0"
local-data: "yadro.ru. A 0.0.0.0"
local-data: "counter.yadro.ru. A 0.0.0.0"
local-data: "mds.yandex.net. A 0.0.0.0"
local-data: "avatars.mds.yandex.net. A 0.0.0.0"
local-data: "adfox.ru. A 0.0.0.0"
local-data: "ads.adfox.ru. A 0.0.0.0"
local-data: "smartadcheck.de. A 0.0.0.0"
local-data: "abp.smartadcheck.de. A 0.0.0.0"
local-data: "mamydirect.com. A 0.0.0.0"
local-data: "js.mamydirect.com. A 0.0.0.0"

Остальные подключаемые блоки более-менее типичны и понятны их названия. Некоторые блоки периодически обновляются, поэтому два инстанса должны ссылаться на одну и ту же конфигурацию, только у второго инстанса adblock.conf должен быть раскомментирован (и висеть на другом interface).

[floop]

На сервере 3.3.3.3 включить форвард на сервер 1.1.1.1 и/или 2.2.2.2.

На сервере 1.1.1.1 для клиента 3.3.3.3 создать view, где описать данные adblock.

Или нет :)

[alibek]

Если подключать второй сервер, то можно и проще - на 3.3.3.3 настроить dnsmasq с локально блокируемым записями и форвардом всего на 1.1.1.1.

Можно и так, если со вторым инстансом не получится.

[floop]

@alibek А что если сделать SNAT ?

Edited February 22, 2020 by floop

[vurd]

Нужен "view" наоборот. Я боюсь такого не завезли. Я бы делал виртуалкой, как уже говорил, но если вы хотите остаться на одном сервере, то продублируйте скрипты системд и отделите директорию с конфигами. Вешать их придется уже не на 0.0.0.0, конечно. ХЗ, криво звучит, криво выглядит, кривая задача изначально (=