SeymchanNet Опубликовано 1 марта, 2011 · Жалоба Есть сеть 10.10.10.0/255.255.255.0 - просто локалка на неуправляемых мыльницах. Сервер 10.10.10.1 - WinXP Pro + Traffic Inspector 2.0 + Billing Operator + шейпер, так-же GlobaX с TAP-адаптером и ADSL (модем в режиме router). Интернет TI берет с TAP GlobaX'а, и раздает через прокси на шейпер, а он уже в сеть. Авторизация - User Agent (login + pass). Сервер 10.10.10.2 - внутрисетевой DHCP/DNS сервер + Web-сервер с локальными сайтами. Раздаёт юзерам адреса диапазона 10.10.10.х + обрабатывает DNS-запросы юзеров для доступа к локальным ресурсам по имени. DNS-форвардинг на вышестоящий сервер прова не используется. В общем юзеры спокойно обращаются к внутренним ресурсам сети по именам, и ходят в интернет через прокси. Всё ОК. Захотел поднять NAT. Сделал форвардинг с локального DNS на сервер с ТИ. Всё прекрасно работает, локальные ресурсы доступны по своим адресам, другие запросы ходят в инет. Проблема в том, что внешний трафик в инет помегабайтный. Т.е DNS-запросы всей сети свободно лезут в инет, соответственно капает денюжка. Сделал фильтры в ТИ на запрет 53 порта для неавторизованных - но в таком случае и сам DNS-сервер 10.10.10.2 выступает в роли клиента... Если прописать у юзера DNS 10.10.10.1, всё работает - авторизовался, и DNS-запросы твои в инет разрешены. Неавторизован - режутся фильтрами. А локальные ресурсы то теперь по именам недоступны, т.к внутрисетевой домен обслуживает то сервер 10.10.10.2... В общем необходимо сделать так, чтобы неавторизованные юзеры имели доступ только к локальному DNS, а запросы авторизованных ходили помимо локального ещё и в инет. В техподдержке ТИ ума дать не смогли :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 1 марта, 2011 · Жалоба А что за DNS сервер? Может в его настройках разграничить, что всем можно отдавать локальную зону, а запросы от определенного списка айпишников можно форвардить наружу? Тогда в ТИ (или где там у Вас юзеры авторизуются) по факту авторизации (разавторизации) динамически менять второй список айпишников на DNS сервере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 2 марта, 2011 · Жалоба или просто выдать по 2 ДНС Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SeymchanNet Опубликовано 3 марта, 2011 · Жалоба По 2 ДНС пробовал - толку нет :( Ну например прописал DNS1 - 10.10.10.1, DNS2 - 10.10.10.2. Вроде как если первый недоступен, обращения должны идти на второй... Самый простой вариант - локальный форвардит в интернет, но тогда вся сеть будет ДНСить в инет, авторизованные и неавторизованные, что не есть хорошо с точки зрения безопасности и оплаты за трафик (добрых самаритян наверно уже не осталось, особенно если 1Мб внешки стоит 2р....). Временно решил проблему прогой NetSetMan - там одним кликом меняются профили сетевого подключения. Создал 2, с разными DNS. Под одним локальный ДНС работает + Инет через прокси (ему ДНС не нужен вообще), под другим прямой Инет, но локалка не работает, т.к нет доступа к локальному ДНС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 4 марта, 2011 · Жалоба Объясните мне глупому, зачем разделять днс для локалки и инета? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 4 марта, 2011 · Жалоба Объясните мне глупому, зачем разделять днс для локалки и инета? потому что топикстартера душит жаба платить за пару МБ с юзера ДНС запросов из своего кармана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 4 марта, 2011 · Жалоба на кеширующем DNS? а за входящий скан портов от соседнего бота не душит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 5 марта, 2011 · Жалоба Можно завести одинаковую таблицу имён в DNS-форвардере на .1 и в автономном DNS на .2. У клиента должны быть указаны оба. Клиент будет циклически опрашивать то первый, то второй. Если он не заблокирован на .1, то всегда будет получать ответ с первой попытки. Если заблокирован и обратится к .1, то не получит ответа и автоматически обратится к .2 Также можно не заводить копию локальных зон на .1, а настроить их форвардинг к .2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...