目前我们使用 OpenDNS 过滤互联网内容,我们的内部 Windows DC/DNS 服务器指向路由器的 DNS,然后指向 OpenDNS 服务器。这可以很好地阻止网络上的所有计算机。
新问题。我们现在需要区分哪些电脑可以访问哪些网站。所以 Facebook 目前对所有人都是屏蔽的,但我现在需要向 3 台社区电脑开放。
3 台社区计算机将位于与公司计算机分开的不受信任的网络上,因此它们可以从自己的路由器拥有自己的 DNS 服务器。问题是,它们仍然必须使用相同的 IP 地址连接到互联网。因此,OpenDNS 会看到相同的 IP 并以相同的方式阻止它们。我们正在考虑获取第二个 IP,但如果不升级到我们不想升级到的 ISP 的下一个主要级别,这可能不是一个选择。
我的想法是这样的。我可以在不受信任的网络上设置 DNS 服务器,然后根据收到的请求,让它将其发送到 OpenDNS 或我们的 ISP 的 DNS 吗?
例如 www.facebook.com 和 www.youtube.com 都在 OpenDNS 黑名单上。
因此,如果他们访问 www.youtube.com,本地 DNS 服务器将访问 ISP 的 DNS 以获取 IP,这样客户端就可以获得正确的 IP 并访问该站点。这将为每个允许的站点手动输入,从而创建一个白名单。然后,如果他们访问 www.facebook.com,由于本地 DNS 服务器找不到条目,它会将请求发送到 OpenDNS,然后 OpenDNS 会发现该站点在黑名单上,因此会发送被阻止的网页。
本地 DNS 服务器可以是 Linux 上的 Bind,也可以是 Windows 2008 上的 MS DNS。如果可以做到这一点,您能否提供一些指导,因为我以前从未设置过这样的 DNS。
谢谢
答案1
在 Windows 2008 中,这称为条件转发器,有一个简短的指南这里。
他们也被称为转发器......
zone "facebook.com" {
type forward;
forwarders { ispdns1; ispdns2; };
};
我相信这应该可行。您可以结合此视图将转发器请求限制为仅 DMZ 中的请求。