Добрый день всем! Вступил закон касающийся детей и интернета. Возникли вопросы.
У нас связка такая Билинг UTM 5.2.1–008 update 8 + Freebsd (mpd5+radius)
Клиенты получают DHCP и подключаются к впн серверу и получают интернет.
Решили использовать сервис SkyDNS. То есть получается что абонент должен прописать у себя нужный днс и прописать наш днс - чтобы локальные ресурсы работали (роуты и DHCP (в том числе и адрес DNS) у нас присылает микротик абонентам).Каждый дом это отдельный vlan.
Прибивать абонентов руками на микротике и выдавать DNS нужные не вариант.
А сейчас примерная схема такова я конечкусь с логином и паролем к впн серверу - передаются радиус атрибуты на впн сервер, проверяется валидность юзера, устанавливается лимит скорости, выдается ip из пула для впна.
Вопросы - можно ли подобным образом назначать абоненту DNS или резать этому юзеру с таким то тарифом нелигитимные DNS запросы?
Как оптимально поступить - ваши рекомендации? И кто нибудь реализовывал подобное?
Детский интернет
Сделал пока так с помощью радиуса отдаю клиентам нужное
28 MS-Primary-DNS-Server 29 MS-Secondary-DNS-Server вендор будет 311 id атрибута 28 и 29 соотвественно. Пишем в тарифе атрибуты. Работает.
To Point А можно поподробнее как заворачивать запросы?
На iptables примерно так
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -s 192.168.1.0/24 -j DNAT --to-destination 193.58.251.251
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -s 192.168.1.0/24 -j DNAT --to-destination 193.58.251.251
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 53 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
А правила для ipfw как будут примерно выглядеть?
28 MS-Primary-DNS-Server 29 MS-Secondary-DNS-Server вендор будет 311 id атрибута 28 и 29 соотвественно. Пишем в тарифе атрибуты. Работает.
To Point А можно поподробнее как заворачивать запросы?
На iptables примерно так
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -s 192.168.1.0/24 -j DNAT --to-destination 193.58.251.251
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -s 192.168.1.0/24 -j DNAT --to-destination 193.58.251.251
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 53 -s 192.168.1.0/24 -j SNAT --to-source 192.168.1.1
А правила для ipfw как будут примерно выглядеть?