Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Кеширующий DNS сервер для локальной сети на основе BIND 9

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
   Этот документ описывает установку и начальную конфигурацию    пакета BIND 9 для работы в качестве кэширующего DNS сервера    для локальной сети.
 
 
Читать

Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 18:07 16-06-2004
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Route
я не знаю как оно работает, но мне почему-то кажется, что в этой записи просто указываются сети , с которых может почта от данного домена.
Очень даже правильная идея.
 
Добавлено:
P.S. почему-то вспомнилось:
на каждую хитрую задницу всегда найдется болт с левой резьбой. Спамеры все равно что-то придумают

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:09 27-04-2005
BigHarry



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Прописывается под ip4 должны все сети, что у меня ходят, т.е. локальные, или только те, кому предназначен данный домен?

Прописываться должны только те адреса, с которых идет почта из твоего домена.
Если отсылкой почты занимаются только компы, адреса которых прописаны в MX - то можно сделать так:
"v=spf1 mx -all"
 

Цитата:
Спамеры все равно что-то придумают

Тут уже хрен что придумаешь - если эта технология будет использоваться повсеместно - то спамерам для нелегальной рассылки придется взламывать почтовики или ДНС сервера...

Всего записей: 75 | Зарегистр. 05-02-2003 | Отправлено: 23:13 27-04-2005
Tropin



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
BigHarry

Цитата:
Тут уже хрен что придумаешь - если эта технология будет использоваться повсеместно - то спамерам для нелегальной рассылки придется взламывать почтовики или ДНС сервера...  

 
Чтобы использовать эту технологию повсеместно нужно очень большое желание и убедительные доводы, каких пока у данной технологии более чем недостаточно.


----------
Вот потому, что вы говорите то, что не думаете и думаете то, что не думаете, вот в клетках и сидите... (C) Кин-дза-дза

Всего записей: 538 | Зарегистр. 25-11-2002 | Отправлено: 09:06 28-04-2005
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вообще-то у SPF есть один косяк неприятный. Я на эти грабли уже наступил, поэтому хочу и вас предупредить.
 
Однажды у нас были проблемы с почтовым сервером и прием почты с внешних адресов был отключен на несколько часов, соответственно вся почта, адресованная на наш домен, шла на другой MX, являющийся бэкапом основного. После восстановления нормальной работы сервера вся внешняя почта, пришедшая за время простоя почтового сервера, пошла с этого бэкап MX-а. Но фишка-то в том, что мой бэкап-MX не прописан в SPF тех почтовых доменов, откуда почта была отослана. Соответственно, вся эта почта была отвергнута моим сервером, как не прошедшая SPF-проверку. Хорошо еще, что дело было на 8 Марта и все это были поздравления-открытки. Пришлось отключать проверку почты на SPF, если соединение установлено с бэкап-MXами. Тонкость, которую надо [у]знать.
 
Добавлено:
Естесственно, что была отвергнута почта только с тех доменов, которые имеют SPF-запись.

Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 09:15 28-04-2005
Tropin



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ooptimum
И это только одна ситуация...
А если провайдер сменит диапазон IP-аддресов...
А целая проблема с переадресацией и релеями...
Так что SPF пока не панацея...
 
Впрочем я уже начал оффтопить, потому умолкаю ;)


----------
Вот потому, что вы говорите то, что не думаете и думаете то, что не думаете, вот в клетках и сидите... (C) Кин-дза-дза

Всего записей: 538 | Зарегистр. 25-11-2002 | Отправлено: 09:33 28-04-2005
BigHarry



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ooptimum
Причем тут косяки SPF ? Эта проблема в настройках вашего сервера, а не в SPF, ведь ваш почтовик зачем-то проверял SPF, принимая почту с резервного.  
Tropin
Если провайдер сменит диапазон IP адресов - то он наверняка сделает соотвествующие поправки в ДНС записях, иначе - такой провайдер рискует получить кучу шишек от злых клиентов.
 

Всего записей: 75 | Зарегистр. 05-02-2003 | Отправлено: 18:04 28-04-2005
crak

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zmey
 
Время жизни данных в кэшеше, полученных от какого либо сервера имён, определяется параметром TTL в секундах (запись в файле зоны вида: $TTL 3800), указаным в зонном файле того сервера, откуда инфа получена.
 
HighTower
существует механизм распределения нагрузки. для этого есть запись SRV в зонном файле. Выглядит она так:
 
служба.протокол.имя   [ttl]   IN SRV приоритет   вес    порт   сервер
 
пример - 25% веб запросов обслуживает новый сервер, остальное - старый:
 
http.tcp.www    SRV   0   1   80        www.server.ru
                       SRV   0   3   8080    old.server.ru
 
а чтоб проходили по резервному каналу, когда основной недоступен то это динамическая маршрутизация с применением OSPF или BGP/ Например с помощью gated.
 
 
А теперь такой вопрос - в биндах есть опция, указываемая в файле конфигурации, что выполняет "забирание" не только резолва, но и всего кеша с сервера, откуда адрес резолвится, если это не запрещено админом (обычно в россии не запрещено). Кто помнит как она выглядит?

Всего записей: 1 | Зарегистр. 09-05-2005 | Отправлено: 08:50 09-05-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Tropin

Цитата:
И это только одна ситуация...  
А если провайдер сменит диапазон IP-аддресов...  
А целая проблема с переадресацией и релеями...  
Так что SPF пока не панацея...

 
а если мыши мыши кабель перегрызут?
а какая проблема ?
а вот если бы все пользовались, тогда бы мне не валились по 50 писем откатов в день на ролевое мыло.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:39 10-05-2005
RER

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени.
Вот такая интересная проблемма вылезла:
 
; <<>> DiG 9.2.3 <<>> @myhost.ru
;; global options:  printcmd
;; connection timed out; no servers could be reached
 
Хотя в процессах :
 
1889 ?        S      0:00 /usr/sbin/named -u named
2045 pts/1    S      0:00 grep named
 
в логах никакой ругани нет...
все запустилось...
 
может кто подскажет
 
P/S  
система FC2
Bind 9.2.3
 
Заранее благодарен.[q][/q]

Всего записей: 61 | Зарегистр. 20-10-2004 | Отправлено: 17:25 06-07-2005
alexicmow

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем ку-ку!
А кто-нибудь поднимал на одной машине несколько -MASTER зон?
 
как обратная зона пишется - адрес-то один, а доменов много?

Всего записей: 11 | Зарегистр. 06-11-2004 | Отправлено: 01:53 26-07-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexicmow

Цитата:
Всем ку-ку!  
А кто-нибудь поднимал на одной машине несколько -MASTER зон?

нет, у нас вот пару К доменов есть - на каждый стоит отдельный ДНС . представляешь как это все выглядит ?:)
 

Цитата:
как обратная зона пишется - адрес-то один, а доменов много?

а при чем тут обратная зона ?

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 16:09 26-07-2005
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток.
 
Необходимо сделать почту для локальной сети.
Для этого надо:
- настроить у себя master DNS  
- настроить slave DSN - буду использовать ресурс secondary.net.ua
- настроить трансфер зон с master na slave
- зарегистрировать и купить домен
- ну и дальше строить собственно почту.
 
Есть SUSE 9.2. Есть ADSL модем, через который собственно мы выходим наружу.
Модем и suse включены в общий свич (туда же подключены и все компы фирмы)
На модеме есть два сетевых интерфейса - один езернет (192.168.0.6), второй ppp0 - внешний статический IP:
 

Код:
 
BusyBox v0.61.pre (2004.10.14-08:14+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
 
# ifconfig
br0       Link encap:Ethernet  HWaddr 00:0F:3D:F2:0F:F5
          inet addr:192.168.0.6  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24238356 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4761812 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2997549662 (2858.6 Mb)  TX bytes:2958801868 (2821.7 Mb)
 
eth0      Link encap:Ethernet  HWaddr 00:0F:3D:F2:0F:F5
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24239061 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4761812 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:3336935792 (3182.3 Mb)  TX bytes:2958801868 (2821.7 Mb)
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
 
nas0      Link encap:Ethernet  HWaddr 00:0F:3D:F2:0F:F5
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4823117 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4691168 errors:55843 dropped:0 overruns:55843 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:2930130866 (2794.3 Mb)  TX bytes:2219772605 (2116.9 Mb)
 
ppp0      Link encap:Point-Point Protocol
 
          inet addr:.XXX.YYY.ZZZ.16  P-t-P:XYZ.ZXY.ZYZ.ZXX  Mask:255.255.255.255
 
 
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:4798380 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4722273 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2890605922 (2756.6 Mb)  TX bytes:2079437028 (1983.1 Mb)
 
#
 

 
на suse модем указан как шлюз и стоит squid. Все юзеры в сети юзают инет через этот squid.
 
Установил с инталяционных дисков BIND 9.2.4 кажется..  
Настроил его с помощью Webmin - создал master зону firma.com.ua
На модеме сделал мапинг 53 порта на IP suse, чтобы DNS стощий на suse был виден снаружи.
Ппошел на secondary.net.ua, проверить как лукапится мой домен - http://secondary.net.ua/check/
Все пучком - домен виден.
Но при самой регистрации надо сделть так (http://secondary.net.ua/howto/) чтобы происходил "axfr моего домена с 193.201.116.2", то есть чтобы мой DNS отдавал/трансферил зону на другой DNS.
И вот именно это и не работает.
При регистрации система отвечает: "Master1: "XXX.YYY.ZZZ.16" Ok, host alive, axfr NOT successfully. Correct errors and try again".
 
И как я не бился, не получается у меня это натроить.
Естественно в настройках мое зоны стоит строка allow-transfer { 193.201.116.2; }
Я даже сделал так: allow-transfer { any; }
На другом серваке в сетке (w2k3 - AD+DNS) создал secondary зону с локального IP suse. Но и винда не захотела забрать эту зону.
Мне посоветовали обновить BIND.
 
Я скачал последний Bind 9.3.1
Запустил его. Тото же результат - зона не транферица.
Прилагаю файлы настроек.

Код:
 
named.conf
 
 
# Copyright (c) 2001-2004 SuSE Linux AG, Nuernberg, Germany.
# All rights reserved.
#
# Author: Frank Bodammer, Lars Mueller <lmuelle@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND 9.  It works as
# a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be found in
# /usr/share/doc/packages/bind/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind/misc/options.
 
options {
 
    # The directory statement defines the name server's working directory
 
    directory "/var/lib/named";
 
    # Write dump and statistics file to the log subdirectory.  The
    # pathenames are relative to the chroot jail.
 
    dump-file "/var/log/named_dump.db";
    statistics-file "/var/log/named.stats";
 
    # The forwarders record contains a list of servers to which queries
    # should be forwarded.  Enable this line and modify the IP address to
    # your provider's name server.  Up to three servers may be listed.
 
    #forwarders { 192.0.2.1; 192.0.2.2; };
 
    # Enable the next entry to prefer usage of the name server declared in
    # the forwarders section.
 
    #forward first;
 
    # The listen-on record contains a list of local network interfaces to
    # listen on.  Optionally the port can be specified.  Default is to
    # listen on all interfaces found on your system.  The default port is
    # 53.
 
    #listen-on port 53 { 127.0.0.1; };
 
    # The listen-on-v6 record enables or disables listening on IPv6
    # interfaces.  Allowed values are 'any' and 'none' or a list of
    # addresses.
 
    listen-on-v6 { none; };
 
    # The next three statements may be needed if a firewall stands between
    # the local server and the internet.
 
    #query-source address * port 53;
    #transfer-source * port 53;
    #notify-source * port 53;
 
    # The allow-query record contains a list of networks or IP addresses
    # to accept and deny queries from. The default is to allow queries
    # from all hosts.
 
    #allow-query { 127.0.0.1; };
 
    # If notify is set to yes (default), notify messages are sent to other
    # name servers when the the zone data is changed.  Instead of setting
    # a global 'notify' statement in the 'options' section, a separate
    # 'notify' can be added to each zone definition.
 
    # notify no;
};
 
# To configure named's logging remove the leading '#' characters of the
# following examples.
#logging {
#    # Log queries to a file limited to a size of 100 MB.
#    channel query_logging {
#        file "/var/log/named_querylog"
#            versions 3 size 100M;
#        print-time yes;            // timestamp log entries
#    };
#    category queries {
#        query_logging;
#    };
#
#    # Or log this kind alternatively to syslog.
#    channel syslog_queries {
#        syslog user;
#        severity info;
#    };
#    category queries { syslog_queries; };
#
#    # Log general name server errors to syslog.
#    channel syslog_errors {
#        syslog user;
#        severity error;
#    };
#    category default { syslog_errors;  };
#
#    # Don't log lame server messages.
#    category lame-servers { null; };
#};
 
# The following zone definitions don't need any modification.  The first one
# is the definition of the root name servers.  The second one defines
# localhost while the third defines the reverse lookup for localhost.
 
zone "." in {
    type hint;
    file "root.hint";
};
 
zone "localhost" in {
    type master;
    file "localhost.zone";
};
 
zone "0.0.127.in-addr.arpa" in {
    type master;
    file "127.0.0.zone";
};
 
# Include the meta include file generated by createNamedConfInclude.  This
# includes all files as configured in NAMED_CONF_INCLUDE_FILES from
# /etc/sysconfig/named
 
include "/etc/named.conf.include";
 
# You can insert further zone records for your own domains below or create
# single files in /etc/named.d/ and add the file names to
# NAMED_CONF_INCLUDE_FILES.
# See /usr/share/doc/packages/bind/README.SUSE for more details.
zone "firma.com.ua" {
    type master;
    file "/var/lib/named/firma.com.ua.hosts";
    allow-transfer {
        any;
        };
    };  
 
 

 

Код:
 
firma.com.ua.hosts
 
 
$ttl 38400
firma.com.ua.    IN    SOA    suse.firma.com.ua. root.firma.com.ua. (
            2005110816
            20
            10
            604800
            38400 )
firma.com.ua.    86400    IN    NS    suse.firma.com.ua.
firma.com.ua.    86400    IN    MX    10 suse.firma.com.ua.
suse.firma.com.ua.    IN    A    XXX.YYY.ZZZ.16  
 

 
 
есть конешно один момент..
не могу запустить новый BIND под именем named (есть такое в системе), ругаеца на пид файл (не может его создать в каталоге /var/run - не хватает пермишеной на запись туда, а я не хочу снимать дефолтные пермишены с этого каталога.. )запускаю пока под рутом.
 
В чем может быть проблема ?

Всего записей: 1555 | Зарегистр. 17-06-2003 | Отправлено: 18:08 09-11-2005 | Исправлено: GaDiNa, 14:03 10-11-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
прям какой-то жж получается, типа история из жизни.
 

Цитата:
ладно.. мне пора.. завтра допишу со всеми точными данными  

ну ладно - давай... дописывай.
 
 
Только нормально пиши, потому что я нифига не понял.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 22:04 09-11-2005
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
ну кажись нормально написал...

Всего записей: 1555 | Зарегистр. 17-06-2003 | Отправлено: 18:45 10-11-2005
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
и никото ничего не посоветует ?

Всего записей: 1555 | Зарегистр. 17-06-2003 | Отправлено: 14:05 12-11-2005
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
все.. проблема пофиксена.
спасибо ooptimum
 
на модеме в дефолтноv правилt проброски DNS запросов из протоколов был токо UDP.
А как выяснилось - трансферинг зон проходит по TCP/
Итого, стоило создать новое правило в котором есть и UDP и TCP и все сразу зашуршало !
 
I love Ru-Board !

Всего записей: 1555 | Зарегистр. 17-06-2003 | Отправлено: 16:50 14-11-2005
ka103

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А че за глюк:
Ошибка загрузки зоны root.hint: файл не найден
Соответственно дальше bind не грузится.
Народ,HELP!

Всего записей: 6 | Зарегистр. 08-10-2005 | Отправлено: 14:05 15-11-2005
Dr_Spectre



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А че за глюк:
Ошибка загрузки зоны root.hint: файл не найден
Соответственно дальше bind не грузится.
Народ,HELP!

нет зоны описывающей корневые сервера
в конфиг
zone "." {  
       type hint;  
       file "named.root"; };  
зону берем с ftp://ftp.internic.net/domain/named.root но там она старая поэтому берем свежую
dig @e.root-servers.net . ns >named.root


----------
Со всеми регардами - Alexei Dmitriev aka Dr.Spectre
Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры.
(c) Вольтер

Всего записей: 1555 | Зарегистр. 15-12-2001 | Отправлено: 14:29 15-11-2005
ka103

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Dr_Spectre

Да в том то и дело - описание корневой зоны с описанием файла зоны - все это есть.
named-checkzone проверяет зону в файлике - все ок (ну там нет ни одной записи SOA...)
А вот именно при загрузке bind не прокатывает. Я уже закидывал в другие папки с указанием пути к файлу named.root и сам файл по другому обзывал - ну нифига?
Я знаю, что чудес не бывает - ??????

Всего записей: 6 | Зарегистр. 08-10-2005 | Отправлено: 14:38 15-11-2005
awsswaawsswa

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну подскажите - почему-то пишутся большие по размеру логи - 10 минул - 1 мег
смутно подозреваю что так быть недолжно, или это нормально ?

Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 06:53 22-02-2006
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Кеширующий DNS сервер для локальной сети на основе BIND 9


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru