DNS + OpenDNS
-
Скринов в сообщениях не видно - не используйте внешние сервисы для картинок.
Я, чтоб реализовать подобноее (трафик боссов и не боссов) поднимал несколько экземпляров dnsmasq, на разных интерфейсох и каждый имел свои настройки, и просто через port forward отправлял в нужный. -
Скринов в сообщениях не видно - не используйте внешние сервисы для картинок.
Я, чтоб реализовать подобноее (трафик боссов и не боссов) поднимал несколько экземпляров dnsmasq, на разных интерфейсох и каждый имел свои настройки, и просто через port forward отправлял в нужный.Доброе.
Кстати, да.
Dnsmasq довольно гибок.
Но сперва все же попробовать с port forw. -
Скрин fw сделал вложением.
поднимал несколько экземпляров dnsmasq, на разных интерфейсах и каждый имел свои настройки, и просто через port forward отправлял в нужный.
А можно по подробнее. Прошу заметить у меня физически только 2 сетевые карты.
-
А можно по подробнее. Прошу заметить у меня физически только 2 сетевые карты.
Если свитч поддерживает, остается возможность использовать VLAN.
-
Если уж port forwarder, можно и на разных портах поднимать.
Только не пойму нафига всё так сложно?
-
Если уж port forwarder, можно и на разных портах поднимать.
Хм…? А сработает ли такая схема: на клиентах шлюз=pfsens, dns=КД, на КД-->пересылка неразрешенных запросов на pfsens, на pfsens два экземпляра dnsmasq на одном интерфейсе но на разных портах, ну а далее port forward.
И еще не пойму один момент: в настройках dns forwader слушает все интерфейсы. Для чего ему слушать WAN? -
Хм…? А сработает ли такая схема: на клиентах шлюз=pfsens, dns=КД, на КД-->пересылка неразрешенных запросов на pfsens, на pfsens два экземпляра dnsmasq на одном интерфейсе но на разных портах, ну а далее port forward.
Бред. 1. port forward не будет знать от кого пришёл запрос, соответственно никакие условия там не попишешь. 2. MS не работает на нестандартных портах.
И еще не пойму один момент: в настройках dns forwader слушает все интерфейсы. Для чего ему слушать WAN?
Потому что в 99% случаев его используют для проброса портов на внутренние сервера, скажем http или vpn.
-
Если свитч поддерживает, остается возможность использовать VLAN
Свич поддерживает, но с vlan никогда работать не приходилось. Буду рад любой помощи :)
-
Скрин fw сделал вложением.
поднимал несколько экземпляров dnsmasq, на разных интерфейсах и каждый имел свои настройки, и просто через port forward отправлял в нужный.
А можно по подробнее. Прошу заметить у меня физически только 2 сетевые карты.
Я использую приблизительно вот такие настройки для запуска 2-х dnsmasq
log-queries log-facility=/var/log/dnsmasq.log conf-file=/usr/local/etc/dnsmasq.more.conf conf-file=/root/blackdns.txtИ отдельный запуск dnsmasq
#!/bin/sh rc_start() { dnsmasq -C /usr/local/etc/dnsmasq_client.conf -I lo0 --pid-file=/var/run/dnsmasq_client.pid & } rc_stop() { kill -9 `cat /var/run/dnsmasq_client.pid` } case $1 in start) rc_start ;; stop) rc_stop ;; restart) rc_stop rc_start ;; esacinterface=ale0_vlan2 interface=lo0 bind-interfaces stop-dns-rebindКак-то так все и работает
Если покопаться в документации на dnsmasq наверное можно будет запустить не только на интерфейсах, но и на Virtual IP
 -
Если свитч поддерживает, остается возможность использовать VLAN
Свич поддерживает, но с vlan никогда работать не приходилось. Буду рад любой помощи :)
Нужна поддержка VLAN и со стороны сетевой карты. Можно грубо ориентироваться на вывод команды ifconfig:
Пример:
fxp0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=4209b<rxcsum,txcsum,<strong>VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWTSO>VLAN в вашем случае это аналог нескольких сетевых карт, на каждую из корых можно повесть свой DHCP\DNS.
Читайте, как настроить VLAN на вашем свитче.
Минусы такого решения:
1.Пропускная способность всех VLAN равна сумме пропускной способности сетевой карты, на которую назначены VLAN.
2. Доступ из каждой VLAN в другую VLAN нужно будет настраивать на pfSense.</rxcsum,txcsum,<strong></up,broadcast,running,simplex,multicast>
