Я пытаюсь получить конфигурацию isc-dhcp-server для использования разных DNS-серверов на основе назначенного IP-адреса.
По сути, я хочу, чтобы некоторые из моих клиентов были помечены как ненадежные, которые затем не могут получить доступ к службам с использованием внутреннего URL-адреса.
Я попытался использовать пулы на основе диапазона, которые, похоже, не могут обрабатывать параметр серверов доменных имен. Я также пытался использовать несколько подсетей с одинаковой конфигурацией ip/netmask и директивой диапазона, что всегда приводит к использованию ненадежного DNS. Вы можете увидеть оба конфига ниже.Диапазоны IP-адресов являются лишь примерами, не обращайте на них слишком много внимания.

Что я не правильно понимаю?

Использование пулов на основе диапазонов

подсеть 192.168.1.0 сетевая маска 255.255.255.0 {
бассейн {
    запретить неизвестных клиентов;
    диапазон 192.168.0.2 192.168.0.50;
    вариант доменных имен-серверов 192.168.0.254;
    }
бассейн {
    разрешить неизвестных клиентов;
    диапазон 192.168.0.100 192.168.0.150;
    вариант доменных имен-серверов 1.1.1.1;
    }
}

Использование IP-адреса/маски сети с фильтрацией по диапазону

# Доверенный
подсеть 192.168.0.0 сетевая маска 255.255.255.0 {
    вариант доменных имен-серверов 192.168.0.254;
    запретить неизвестных клиентов;
    диапазон 192.168.0.50 192.168.0.99;
    }

# Ненадежный
подсеть 192.168.0.0 сетевая маска 255.255.255.0 {
    запретить неизвестных клиентов;
    вариант доменного имени "1.1.1.1";
    диапазон 192.168.0.100 192.168.0.149;
    }

Не основывайте свою безопасность на безопасности через неизвестность.

правильный способ настроить это - отдельные сети (либо физически, либо с использованием VLAN) с брандмауэрами, чтобы ограничить пользователей назначенными им зонами.

Конечно, вы можете использовать отдельный DNS, но вам следует нет базируйте свою безопасность на недоступности DNS. Настройте его должным образом сейчас, прежде чем это будет невозможно через пять лет.