В одной из подшефных организаций руководство озаботилось фильтрацией интернет-трафика. Мне выдали утвержденный "белый" список с десятком ресурсов и поставили весьма сжатые сроки по реализации. «Белый» список должен действовать в отношении только части компьютеров учреждения. Это те, на которых школяры работают, оставаясь без надзора преподавателя: три библиотечных ноутбука и 15-ть рабочих станций в компьютерном классе. Остальной парк компьютеров никаких запретов иметь не должен. Первое, что пришло в голову - приобрести маршрутизатор, у которого есть возможность создания "белого" списка ресурсов в отношении произвольной таблицы МАС-адресов. Знающие люди немедленно указали на Mikrotik Поясню, почему MAC, а не IP? Сеть в организации одноранговая, все машины настроены на автоматическое получение IP-адреса и адреса DNS-сервера и я счел наиболее простым способом определения "студенческой" машины MAC-адрес её сетевой карты. Хотя, не настаиваю. Вот только что получил со склада Mikrotik RB2011UiAS 2HnD-IN, почитал материалы форума и статьи по конфигурации маршрутизаторов. Понял, что похоже к четвергу не разберусь. Четверг – судный день, вновь явится прокуратура с целью проверки доступности «плохих» сайтов. С благодарностью принимаются толковые советы по осуществлению задуманного. Отдельной строкой. Готов через личные сообщения или почту обсудить возмездную помощь со стороны квалифицированных товарищей.
Разобраться с DHCP на микротик. Включить блокирование назначения адреса вручную (add arp for leases в свойсвах DHCP и arp=reply-only) в свойсвах LAN-интерфейса. потом фильтровать по IP
и все равно в настройках хоста можно руками прописать dns. Я правильно понимаю, что это надо делать заворот 53 порта?
я легко подскажу: ` и ' =) Вопрос остался открытым: как все же, по аналогии с присвоением динамических и запретом статических ip адресов в локалке, приказать клиенту пользоваться только заданным в dhcp dns?
Добавлен клиент в адрес-лист из DHCP (скрипт на выдачу адреса) Вешаем DST-NAT для клиентов в этом списке.
