Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Кеширующий DNS сервер для локальной сети на основе BIND 9

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
   Этот документ описывает установку и начальную конфигурацию    пакета BIND 9 для работы в качестве кэширующего DNS сервера    для локальной сети.
 
 
Читать

Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 18:07 16-06-2004
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Orig
Цитата:

Цитата:
; DNS Servers  
                 IN      NS      ns1.imena.com.ua.  
                 IN      NS      ns2.datagroup.ua.  
                 IN      NS      ns3.datagroup.ua.
так а шо это за хня с днс-ами? прописал непонятно чего и хочешь ответа
tankistua
А вопрос кстати хороший, я что-то не просек этих строк...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 19:11 17-01-2012
kerevra



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yurala
Цитата:
rndc: connect failed: 127.0.0.1#953: connection refused
сделайте
Код:
/etc/init.d/named restart

 
а судя по вашей зоне provelo.local, вам надо загнать А записи для каждой машины в сети? в этом случае правильнее настроить динамическое обновление dns службой dhcp (dynamic dns)

----------
Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны

Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 09:02 20-07-2012 | Исправлено: kerevra, 09:03 20-07-2012
sergeyxr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
приветствую всех.
 
Кто может столкнулся с подобным, нажна помощь в решении следующей задачки:
 
- после обновления до последней версии бинда доступной на 28.08.14 9.10.0R2
 
возникла проблема с запросами на корневые DNS сервера и получение оттуда ответов с IP ресурсов и передачей ответов клиенту DNS...???
 
В итоге оказалось следующее по логам все запросы DNS BIND на корневые сервера делает почему то только по АААА записям т.е. IPv6, это при 15 трассировка логов
 
вот кусок лога:
 
вопрос как заставить BIND 9.10.0r2
сначала корневые зоны опрашивать по IPv4 а потом IPv6  
написал запрос в суппорт бинда  
[ISC-Bugs #36962] 9.10.0-P2 - bug recursion 3: fctx 00000061C073C650(www.isc.org/A): timeout
первый их ответ:
This is almost certainly a badly configured firewall blocking the dns requests made by the server.
седня вот выше кусок лога им послал.
 
Жду ответа от оф суппорта, но может кто нить знает решение иное?
 
Просто нашёл как выполнить ФЗ436 о защите детей, но вот на пути к решению столкнулся вот с такой проблемой.
3 DNS BIND -14+,16+, 18+
3 шлюза (3 сетевухи в одном сервере или на виртуаке) (с ПО пока не определился)
 
все списки планирую получить из Роскомнадзора, сейчас иски в суды уже подготовил уже.
Буду очень рад если поможете решить параллельные траблы. такие как с разрешением не своих зон на хtшурующем DNS BIND а точнее на 3х сооответствено.

Всего записей: 43 | Зарегистр. 13-10-2011 | Отправлено: 14:09 28-08-2014
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergeyxr Попробуй вообще отключить IPV6 для BIND
в  /etc/sysconfig/named  добавь строку
OPTIONS="-4"
или жмакни  
echo OPTIONS="-4" >> /etc/sysconfig/named
перестартани named
P.S.
Ты в курсе, что все запреты Роскомнадзора обходятся на раз-два?  Для этого даже не нужно особых усилий, достаточно  юзать браузеры с режимим ТУРБО ака Opera и яндекс-браузер. Не надо думать, что дети неушлые. Кроме того, твоя защита будет работать, только если будут юзать именно твой нэймсервер, никто им не помешает сменить нэймсервер на другой.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:28 28-08-2014 | Исправлено: ipmanyak, 15:29 28-08-2014
sergeyxr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
у меня параметр -4 не работает пишет ошибку старта после внесения изменений в named.conf
попробовал использовать опцию :
 
    listen-on-v6 { none; };  
 
все равно после перезапуска в логах к роот серверам идут запросы :
dns_adb_createfind: found AAAA for name a.root-servers.net (000000434BBB7730)
debug 3: res 000000434B608830: dns_resolver_prime
debug 5: dns_adb_createfind: found AAAA for name b.root-servers.net (000000434BBB7600)
debug 3: res 000000434B608830: dns_resolver_prime
debug 5: dns_adb_createfind: found AAAA for name c.root-servers.net (000000434BBB7440)
debug 3: res 000000434B608830: dns_resolver_prime
 
вместо запросов А записей а не АААА?!?
---

Цитата:
Ты в курсе, что все запреты Роскомнадзора обходятся на раз-два?  Для этого даже не нужно особых усилий, достаточно  юзать браузеры с режимим ТУРБО ака Opera и яндекс-браузер. Не надо думать, что дети неушлые. Кроме того, твоя защита будет работать, только если будут юзать именно твой нэймсервер, никто им не помешает сменить нэймсервер на другой.  

 
У меня пользовательские компы мало того что в домене зарезанны правами на изменение параметров сети, так ещё кроме мозилы без плагинов запустить другой браузер невозможно, (VPN, PPTP)
+
стоят шелы где все остальное зарезанно,  
там где шелов нету (офисы распределенных торговых сетей и остальные офисы)(400-900шт),
 
там просто груповыми зарезанна возможность сменить DNS на тот что без ограничений.
Я в курсе подобного.

Всего записей: 43 | Зарегистр. 13-10-2011 | Отправлено: 17:14 28-08-2014 | Исправлено: sergeyxr, 17:20 28-08-2014
zwe

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На маршрутизаторе установлен BIND в гибридной конфигурации:
 
- Авторитарный на зону организации, запрос разрешен всем;
- Кэширующий с рекурсией для самого хоста. Запрос и рекурсия только для самого себя.
 
Все хосты внутри сети "слепые", вернее обслуживаются локальными dns-серверами.
Но появилась необходимость предоставить им доступ только к одному реальному домену.
Домен листинг не позволяет, секондарить его не получится.
 
Подскажите как сделать "white list" dns?

Всего записей: 42 | Зарегистр. 02-04-2005 | Отправлено: 19:05 29-11-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zwe
Цитата:
Домен листинг не позволяет, секондарить его не получится.
Если тебе нужен только один реальный домен,
пропиши его  NS у себя в качестве forwarders.
Он будет отвечать на запросы имен в своем домене, а запросы для других доменов будет слать лесом.
sergeyxr
Цитата:
попробовал использовать опцию :    listen-on-v6 { none; };    
Опция отвечает за наличие v6 сокета, но ни как за резольвинг имен.
Цитата:
у меня параметр -4 не работает пишет ошибку старта после внесения изменений в named.conf  
Это опция не для named.conf, а для запуска демона:
 /usr/sbin/named -4 -u bind
либо добавления строчки OPTIONS="-4" в файл с переменными демона,
которые использует его стартап скрипт из директории /etc/init.d/  
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:24 29-11-2014
zwe

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если тебе нужен только один реальный домен,
пропиши его  NS у себя в качестве forwarders.
Он будет отвечать на запросы имен в своем домене, а запросы для других доменов будет слать лесом.

 
Будет слать только в том случае, если чужой bind не рекурсирует запросы. А если сейчас и не рекурсирует, то не уловишь момент когда вздумает и начнет.
 
Но проблема еще в том, что для кэширующей и форвардной зоны нельзя указать директивы allow-query  allow-recursion, поэтому для всего сервера стоит
allow-query     { localhost; };
allow-recursion { localhost; };

Всего записей: 42 | Зарегистр. 02-04-2005 | Отправлено: 06:20 30-11-2014 | Исправлено: zwe, 15:46 30-11-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zwe
Цитата:
А если сейчас сейчас не рекурсирует, то не уловишь момент когда вздумает и начнет.  
Что значит - начнет? Обычно рекурсия включена на публичных серверах.
На доменных вменяемые админы ее не включают.
И потом, зачем для этой задачи использовать BIND 9?  Из пушки по воробьям?
Есть Dnsmasq, небольшой, опенсорс, поковырять код и добавить реализацию
своих желаний - пара пустяков.
А базовая фильтрация там уже имеется


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 16:09 30-11-2014
zwe

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что значит - начнет? Обычно рекурсия включена на публичных серверах.
На доменных вменяемые админы ее не включают.

Это значит, что Вы должны рассчитывать на себя, а не на "авось".
Рекурсия обычно включена на серверах провайдера для обслуживаемых им сетей.
 
 

Цитата:
И потом, зачем для этой задачи использовать BIND 9?  Из пушки по воробьям?

Это нормальная функция bind.
На dns-сервере есть публичные зоны, для которых он авторитарный.
 

Цитата:
Есть Dnsmasq, небольшой, опенсорс, поковырять код и добавить реализацию
своих желаний - пара пустяков

 
Спасибо хоть не предлагаете извращений с маршрутами или фаейрволом

Всего записей: 42 | Зарегистр. 02-04-2005 | Отправлено: 20:23 30-11-2014
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zwe
Вообще есть RPZ(документация) для таких вот случаев, но я вот так и не смог запретить ему отвечать на всё подряд. Пытался и через * все домены передать, пытался и через 0.0.0.0.0.rpz-ip все ответы исправить. Но что-то эти оба варианта у меня не взлетели, зато обычные подмены в рамках одного домена работают...
Мб Вам удасться реализовать описанные мною выше шаманства.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 21:53 30-11-2014 | Исправлено: Alukardd, 21:54 30-11-2014
zwe

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd

Цитата:
Вообще есть RPZ(документация) для таких вот случаев

Да, есть, но в общем случае, она предназначена для создания "black list", то есть для "политики всё разрешено, что не запрещено".
У меня как бы наоборот - всё запрещено, кроме разрешенных.

Всего записей: 42 | Зарегистр. 02-04-2005 | Отправлено: 06:31 01-12-2014
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zwe
Мне кажется, что есть способ задать полную блокировку кроме некоторых, как я Вам и предлагал выше.
* CNAME .
0.0.0.0.0.rpz-ip. CNAME rpz-drop.
 
Но у меня не вышло заставить эти правила работать.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:00 01-12-2014
Chupaka



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
доброго.
 
крутится сабж, и в последних версиях (не факт, что раньше не было, но вроде и не было) заметил неприятную особенность: если у DNS'а пропадает доступ в Интернет, то он перестаёт обслуживать не только рекурсивные запросы, но и очень тупит с обработкой запросов к локальной зоне, для которой интернет-то и не нужен
 
по ресурсам вроде недостатка в тот момент нет:

Код:
[user@ns2 ~]# rndc status
version: 9.10.2-P1-RedHat-9.10.2-2.P1.fc22 (version.bind/txt/ch disabled) <id:e6f4c933>
boot time: Fri, 03 Jul 2015 10:29:35 GMT
last configured: Sun, 12 Jul 2015 00:39:02 GMT
CPUs found: 4
worker threads: 4
UDP listeners per interface: 2
number of zones: 116
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 109/0/1000
tcp clients: 1/100
server is up and running
[user@ns2 ~]#
 

 
куда бежать?

Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:05 15-07-2015
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chupaka
не замечал таких спецэффектов, а точно сервер тупит, мб клиент? Как проверяли-то?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 17:33 15-07-2015
Chupaka



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alukardd
при пропадании внешки иногда даже локальные сервера не могут отресолвить локальные имена - вот так и было замечено
 
повторял обычным nslookup'ом к локальному домену с параллельным перекрыванием доступа DNS'а в Интернет - начинаются таймауты

Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:38 15-07-2015
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chupaka
м-м-м
Может у Вас где зона от интернета зависит или ещё какое несоответствие есть?
И вообще до кучи проверьте что зоны написаны правильно, я лично предпочитаю . что бы были указаны все неявные символы (типа не опускать IN, не опускать @  и т.п.)
Не забываем .(точку) на конце FQDN  и т.д.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 18:42 15-07-2015
dvk54

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не совсем понимаю что такое делегирование.
на 2domains.ru зарегил домен.
Через некоторое время сделал свои dns сервера (bind). Настроил dnssec.
У регистратора изменил адреса ns-серверов на свои.
Судя по "управление зоной днс - недоступно" - всё хорошо. Сервера работают, отдают записи.
Правда, смущает в логах строка вида  

Код:
 security: debug 3: client 37.9.72.198#11004: request is not signed

, ищу как побороть.
Вопросов 2.
1. Правильно ли я понял, что делегирование домена - это наличие записей о домене в зоне ДНС-сервера, безотносительно кому именно принадлежит и кем управляется данный DNS-сервер?
 
2. DNSSEC:  
есть файл вида dsset-mydomain.ru,  
с содержимым вида  

Код:
mydomain.ru.            IN DS 01234567890ABCDEF
mydomain.ru.            IN DS 01234567890ABCDEF01234567890ABCDEF 01234567
 

Его содержание, судя по интернетам, надо вносить в файл зоны?
В файл зоны mydomain.ru на моём сервере, или его надо передать регистратору?
 
Товарищи админы, если не туда написал - прошу, не ругайте - ткните пальцем.

Всего записей: 178 | Зарегистр. 18-06-2005 | Отправлено: 12:47 30-06-2017
Chupaka



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dvk54
да, делегирование - это прописывание NS-записей у регистратора с указанием, какому NS-серверу данный домен делегирован
 
записи DS из dsset-*** надо внести у регистратора

Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:14 30-06-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Chupaka
Цитата:
да, делегирование - это прописывание NS-записей у регистратора
Не совсем. Допустим, на вас зарегистрирована зона 2 уровня company.ru.
Вы у себя прописываете зону 3-го уровня filial1.company.ru
и делегируете ее серверу, стоящему в этом филиале.
И совершенно не паритесь с адресами хостов pupkin.filial1.company.ru,
babkina.filial1.company.ru, они там сами с этим разбираются.
А регистратор тут вообще не участвует.
Или у вашего провайдера есть сеть 1.2.0.0/16. Он вам выделил из нее подсеть 1.2.3.0/24.
Провайдер отвечает за зону 2.1.IN-ADDR.ARPA. Он может сам прописать необходимые PTR
для вашей сети, а может делегировать вам зону 3.2.1.IN-ADDR.ARPA,
чтобы вы занимались этим сами, без его участия.  

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 15:10 01-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Кеширующий DNS сервер для локальной сети на основе BIND 9


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru