Как использовать разные DNS-серверы пересылки на основе исходного IP или MAC?
Вообще говоря, вы не должны отключать SELinux. Есть инструменты, которые могут помочь вам понять, что пошло не так. Мой любимый - sealert пример использования:
sealert -a /var/log/audit/audit.log
OFC вы всегда можете установить SELinux в разрешительный режим для отладки, но сохранение SELinux отключенным или разрешительным преподается Red Hat как серьезный недостаток безопасности.
Решение - BIND "просмотров". Вы можете фильтровать исходный или целевой IP-адрес и направлять запрос в представление. Вы можете предоставить совершенно разные зоны DNS, серверы пересылки и другие варианты обработки.
https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html
У меня был такой же вариант использования, я сделал это следующим образом (хотя и немного запутанным, но работает довольно хорошо ).
- Маршрутизатор запускает DNS через TLS через клиент DoT, который перенаправляет на nextdns.io. Я блокирую рекламу и прочее через этот сервис.
- 2 контейнера dnsmasq на внутренней машине с Linux, привязанные к разным внутренним IP-адресам на той же машине. Они пересылают запросы на маршрутизатор и в Интернет через TLS.
- 1 dnsmasq делает взрослый DNS+DHCP, второй только детский DNS.Первый устанавливает различные параметры DNS для ответа DHCP на основе MAC-адреса запрашивающего клиента. --Я настраиваю свои детские устройства специально для получения DNS моего второго ограниченного контейнера dnsmasq, взрослые получают другой.
- Второй контейнер dnsmasq обслуживает только ограниченный набор детских -дружественных доменов и возвращает 0.0.0.0 для остальных.
Кроме того, я также настроил несколько таблиц IP-адресов, чтобы заставить все запросы через мой маршрутизатор проходить через TLS для обработки клиентов с плохим поведением, которые жестко закодировали 8.8.8.8 или аналогичный.