Re: Краткий обзор систем резервного копирования

[artiom]

09.03.2018 18:36, Artem Chuprina пишет:
> artiom -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 13:47:00 +0300:
> 
>  > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup".
>  > Может, кому пригодится.
>  > Дополнения и исправления приветствуются.
> 
> Спасибо, интересно.
> 
> Для себя сделал вывод, что надежнее самопальной конструкции на базе
> rsync все-таки ничего не придумали.
> 
> Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но
> надежность и простота восстановления в любом случае важнее.
>Но в прошлой теме вы говорили, что важнее выбирать инструмент, исходя из
политики резервного копирования (с чем буду разбираться, когда FreeNAS
нормально поставлю) и прочих условий.
Если машин много или требуется интерфейс, есть подозрение, что ваша
конструкция превратится либо в backuppc, либо в bareos, ну или в
urbackup, накрайняк.
Так зачем же делать работу, которую уже сделали за меня?

CUPS mDNS/DNS-SD discovery

[sergio]

Хочу принтер автомагически обнаружеваемый по сети.


Поставил на сервере CUSP, avahi-daemon. На клиенте поставил только
avahi-daemon. Мозилла печатает!


Теперь десятая венда. Она шлёт mdns запрос, avahi ей отвечает, ответ
приходит венде, но принтер она не показывает. Ручками добавляешь, всё
работает. НО! если принтер подключить по сети, то венда сама обнаружит
два устройства, сам принтер и принтер капса. Но при этом, у этого
принтера, подключенного к капсу "локейшн" будет
http://printerIP:8018/wsd и венда печатает напрямую на принтер, а не на
капс. Пробовал добавить в обычный DNS записи, венда их спрашивает,
безрезультатно:

_ipp._tcp   PTR cups
cupsA 
cupsSRV 0 0 631 cups
cupsTXT (
"txtvers=1"
"qtotl=1"
"rp=printers/printer"
"adminurl=ipp://cups/printers/printer"
"ty=Samsung ML-2160 series"
"pdl=application/octet-stream,application/pdf, 
application/postscript,image/jpeg ,image/png,image/urf"
"URF=none" )


Штатный принт сервис андроида 8.1 и "Android CUPS Print" шлют mdns
запросы, получают ответы от авахи, но принтер не обнаруживают, даже
сетевой.


И ещё, можно ли на линуксе получить lpr который будет автоматически
обнаруживать CUPS? (Сейчас, что бы lpr на клиенте работал, нужно
поставить cups-bsd и прописать ServerName в /etc/cups/client.conf)

-- 
sergio

Re: dnsmasq

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Sat, 10 Mar 2018 
> 16:59:18 +0300:

>  >>  >>  >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у 
> него
>  >>  >>  >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
>  >>  >>  > А чем они, эти твои провайдеры - это аргументируют?
>  >>  >> А ничем. Просто порты закрыты, и это на сайте документировано.
>  >>  > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще 
> написать в
>  >>  > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость 
> работы
>  >>  > тоже - так что штраф закатят, в независимости - написано на сайте или 
> нет.

>  >> Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
>  >> дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
>  >> (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними.
>  > Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. 
> Как
>  > и бегающих с своми говно-роутерами и интернет-телевизором.
> Понимаешь, шамо приполжло... Более того, потенциально можно и третий
> линк взять, такой же ??? МГТС нынче принудительно по оптоволокну раздается
> (и не работает, если света нет, ага).

А толку от того МГТС, если оно ходит со своей супер-жолезкой (читай,
купленной за 3 копейки, из которых 2 - цена наклейки) ONU - к которой
как правило не дают пароля, ты ей не управляешь и выкинуть её тоже 
не можешь. Ещё одна "неведома хрень" жрущая электричество.

Да - можно конечно _поробовать_ заменить этот кусок пластика на ONU-SFP, но
скорее всего в реальности - не выйдет. Ибо голова работает только со своими
"пластиковыми коробками" а за другие "пластиковые коробки" хочет отдельной
лицензии за дохреллион бабла. А вторая причина - этож надо профили писать, а
софт для OLT головы (тот который дают порулить обезьянкам из саппорта) нихрена
не умеет, а в ручную писать - некому. И цена этого ONU-SFP от 5 штук.

А выкидывать эти "пластиковые коробульки" очень даже полезно, некоторые
"производителя" включают там всякие flood-protect (которые по их мнению
выражаются в ICMP больше 400 байт) и прочие "полезняшки". Ну да, этот-же
"оптический ADSL" легко засрать :)

> В принципе, у обоих можно взять белые IP (и кстати, тогда не будет
> закрытых портов). Но за дополнительную копеечку. А оно мне зачем?

Логично, при учете того, что за выделенный IP хотят больше 100 рублей,
роутер с openvpn/tinc/wireguard на свою VPS выигрывает и по этим параметрам.

Re: dnsmasq

[Artem Chuprina]

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Sat, 10 Mar 2018 
16:59:18 +0300:

 >>  >>  >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у 
 >> него
 >>  >>  >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
 >>  >>  > А чем они, эти твои провайдеры - это аргументируют?
 >>  >> А ничем. Просто порты закрыты, и это на сайте документировано.
 >>  > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще 
 >> написать в
 >>  > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость 
 >> работы
 >>  > тоже - так что штраф закатят, в независимости - написано на сайте или 
 >> нет.

 >> Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
 >> дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
 >> (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними.
 > Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. Как
 > и бегающих с своми говно-роутерами и интернет-телевизором.

Понимаешь, шамо приполжло... Более того, потенциально можно и третий
линк взять, такой же — МГТС нынче принудительно по оптоволокну раздается
(и не работает, если света нет, ага).

В принципе, у обоих можно взять белые IP (и кстати, тогда не будет
закрытых портов). Но за дополнительную копеечку. А оно мне зачем?

Re: dnsmasq

[Andrey Jr. Melnikov]

Victor Wagner  wrote:
> В Sat, 10 Mar 2018 16:59:18 +0300
> "Andrey Jr. Melnikov"  пишет:

> > > и он поэтому намеренно слабенький. На пассивном охлаждении.  
> > Вот у меня один из домашних роутеров - Banana Pi R1, при всех его
> > конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого

> Вот не показалось оно мне "вполне себе роутером" для домашних нужд.
> Почему-то там wi-fi точка доступа оказалась с таким слабым сигналом,
> что хрен его услышишь по всей квартире (учитывая количество соседских 
> вайфаев). Или существует какой-то секретный способ добиться от ее Wi-Fi
> модуля правды?
Не в курсе. Отключено за ненадобностью. Там были какие-то проблемы с
питанием и стабильностью.

> А подобное устройство интересно именно как решение вида "все в одном".
> Чтобы одна железяка с максимум 15Вт энергопотребления была и роутером,
> и свитчом, и точкой доступа Wi-Fi, и торрентокачалкой и хранилищем тех
> немногочисленных файлов, которые должны быть доступны даже тогда, когда
> любой другой компьютер в доме выключен.


> > хлама. До этого там стоял ящик на атоме. Выкинут под стол из-за
> > посыпавшегося диска.
> > Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки
> > для загрузчика. А хваленые eMMC от хорошей грозы любят покрываться
> > нечитабельными блоками.

> Так там вроде Wi-Fi вообще нет. Правда PCI-E есть.
Есть:

Onboard Network:5x 10/100/1000Mbps Ethernet (MT7530)
Wifi 802.11 a/b/g/n 2.4GHz/ 5GHz(MT6625L)
BT4.1 BLE with MTK6625L chip

Для 7530 в mainline таки родили DSA поддержку, т.е. теперь не надо плясать
вокруг ущербного swconfig.

А зная какую говняшку делает Mediatek и как относиться к поддержке - то
лучше бы его там и не было. Как и MALI450. Нахрена в роутере GPU - ума не
приложу. Особенно - без драйверов и с родовой травмой всех медиатеков -
быстро перегреваться и падать в тротлинг.

Занятное чтиво вот https://forum.armbian.com/topic/4567-banana-pi-r2/

Вобщем - роутер может и не плохой, но а) дорогой, б) с кучей бесполезного
шлака на борту.

А больше никто ничего не делает похожего. Чтоб и портов навалом и SATA и
памяти было не с гулькин фиг.

[DONE] wml://{News/2018/index.wml}

[Lev Lamberov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/News/2018/index.wml   2018-03-10 17:37:14.0 +0500
+++ russian/News/2018/index.wml 2018-03-10 20:41:24.229199966 +0500
@@ -1,14 +1,15 @@
- -#use wml::debian::template title="News from 2018"
+#use wml::debian::template title="Новости за 2018 год"
 #use wml::debian::recent_list
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
 
- -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/News/2018', '', 
+<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/News/2018', '',
 '\d+\w*') :>
 
- -Note: you can get the latest Debian news by
- -subscribing to or browsing the
- -archives for our
- -Примечание: вы можете получать последние 
новости Debian,
+подписавшись на списки
+рассылки
+https://lists.debian.org/debian-announce/debian-announce-2018/;>\
- -debian-announce and 
+debian-announce и
 https://lists.debian.org/debian-news/;>\
- -debian-news mailing lists.
+debian-news или просматривая их арх
ивы.
-BEGIN PGP SIGNATURE-
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=yPNj
-END PGP SIGNATURE-

Re: dnsmasq

[Victor Wagner]

В Sat, 10 Mar 2018 16:59:18 +0300
"Andrey Jr. Melnikov"  пишет:


> > и он поэтому намеренно слабенький. На пассивном охлаждении.  
> Вот у меня один из домашних роутеров - Banana Pi R1, при всех его
> конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого

Вот не показалось оно мне "вполне себе роутером" для домашних нужд.
Почему-то там wi-fi точка доступа оказалась с таким слабым сигналом,
что хрен его услышишь по всей квартире (учитывая количество соседских 
вайфаев). Или существует какой-то секретный способ добиться от ее Wi-Fi
модуля правды?

А подобное устройство интересно именно как решение вида "все в одном".
Чтобы одна железяка с максимум 15Вт энергопотребления была и роутером,
и свитчом, и точкой доступа Wi-Fi, и торрентокачалкой и хранилищем тех
немногочисленных файлов, которые должны быть доступны даже тогда, когда
любой другой компьютер в доме выключен.


> хлама. До этого там стоял ящик на атоме. Выкинут под стол из-за
> посыпавшегося диска.
> Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки
> для загрузчика. А хваленые eMMC от хорошей грозы любят покрываться
> нечитабельными блоками.

Так там вроде Wi-Fi вообще нет. Правда PCI-E есть.
 



-- 
   Victor Wagner 

Re: dnsmasq

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Sat, 10 Mar 2018 
> 14:03:13 +0300:

[...]

>  >>  >> zless /usr/share/doc/dnsmasq/FAQ.gz
>  >>  > ^ Вот это в всякие роутеры никогда не
>  >>  > кладут.
>  >> Ась? В мой кладут. Я его оттуда цитирую.
>  > А в lede/openwrt не кладут.

> Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет,
> этого нет... Давно, правда, было дело. У меня на роутере Debian.
Там и сейчас не сильно лучше стало. 

[...]

>  >>  >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
>  >>  >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
>  >>  > А чем они, эти твои провайдеры - это аргументируют?
>  >> А ничем. Просто порты закрыты, и это на сайте документировано.
>  > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в
>  > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость 
> работы
>  > тоже - так что штраф закатят, в независимости - написано на сайте или нет.

> Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
> дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
> (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними.
Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. Как
и бегающих с своми говно-роутерами и интернет-телевизором.

>  >>  > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS 
> если уж
>  >>  > так хочется.

>  >> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
>  >> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
>  >> меня нет задач на высокопроизводительный DNS-сервер миллиарда
>  >> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки
>  >> DNSSEC обойдусь. Заодно и надежнее будет.

>  > Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую
>  > дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что
>  > предназначено для работы в локалке - голым сокетом в мир..

> Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только
> она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это
> я про домашний роутер, у которого задача не шуметь, и он поэтому
> намеренно слабенький. На пассивном охлаждении.
Вот у меня один из домашних роутеров - Banana Pi R1, при всех его
конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого хлама.
До этого там стоял ящик на атоме. Выкинут под стол из-за посыпавшегося
диска.
Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки для
загрузчика. А хваленые eMMC от хорошей грозы любят покрываться
нечитабельными блоками.

Re: научите systemd!

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Mon, 5 Mar 2018 
> 15:14:32 +0300:

>  >>  >>  >>  >> Чтоб два раза не вставать: я понимаю, почему юзерский юнит не 
> может
>  >>  >>  >>  >> прописать зависимость от системного. (В документации, кстати, 
> я этого не
>  >>  >>  >>  > А я вот не понимаю. Все эти приседания вокруг 
> Before|After|Requires|Want
>  >>  >>  >>  > напоминают те-же циферки в sysvinit. Только в профиль. Теперь 
> с D-BUS'ом.

>  >>  >>  >> Правов у него нет. Информация о зависимостях и, главное, степени 
> успеха
>  >>  >>  >> запуска оных, есть у systemd унутре. В отдельной cgroup. Юзерский
>  >>  >>  >> systemctl (или отдельный экземпляр systemd?) туда не пускают.
>  >>  >>  > Это ЭПИЧНЫЙ ВИН Лёни. Имея унутре dbus - не иметь доступа на 
> спросить - это
>  >>  >>  > ШЕСТЬ. Это даже не пять.

>  >>  >> Ну, что я тебе могу сказать? Такой вот у нас нынче init. От него еще и
>  >>  >> драйвера принтеров теперь зависят...
>  >>  > Не от него а от udev'а вмноличенного в этот комбайн. Ну да ладно, это 
> уже
>  >>  > тонкости реализации.

>  >> Не, они там от policykit чего-то хотели. udev, в общем,
>  > Интересно, а зачем это нужно в случае принтера. С флешками как-то еще
>  > понятно, но вот с принтером...
> Подозреваю, нотификации юзеру о втыкании принтера в USB.
Оно ему надо, тому юзеру? Особенно в момент загрузки, когда еще нету
собственно тех Xов/Wayland/четамсейчасмодно для показать?
Скорее всего всё тот-же танец с бубнами вокруг "мы тут MFU нашли - кому
права на сканер давать будем?"

>  >> отсоединен. Впрочем, кажется, то, чего они хотели от policykit, тоже
>  >> отсоединено, только надо более вдумчиво попинать aptitude.
>  > Увы - udev вмоноличен, а то что они идет отдельным пакетиком - так вышло.
>  > Как выкинут sysvinit - так сразу станет всё в одном.
> Выкинут - поставлю FreeBSD.
А ей уже можно пользоваться? Так, чтоб не заниматься постоянным приседанием
вокруг пересборки системы и вялотекщих прыжков с версии на версию из-за
того, что левая нога разработчиков решила, что в этой версии мы порты не
поддерживаем и все строем бегут жрать новый RELENG.

>  >>  >> Меня привлекает в нем идея, что можно делать тома с разными 
> свойствами,
>  >>  >> распределяемые по пространству диска динамически. Без танцев с 
> ресайзом,
>  >>  >> где каждую вторую файловую систему нельзя уменьшить без 
> отмонтирования,
>  >>  >> а каждую четвертую - и увеличить...
>  >>  > А зачем это нужно? Нет, реально - зачем? Мне видиться только один 
> вариант
>  >>  > использования - петабайтные хранилища. Но там увы своё железо и свои 
> fs.
>  >> Ровно наоборот. Когда диска некоторый дефицит.
>  > Когда диска дефицит - надо идти за новым. Или посылать счет в бухгалтерию.
>  > Собирать оделяо из лоскутков - ну, в виде развлечения и народных промыслов
>  > только интересно.
> Идти за новым не всегда своевременно. Он все-таки не три копейки стоит,
> особенно если тихий.
А где ты видел громкий? Я давно не вижу громких, кроме как в исполнении "для
рейдов". Но его в стойке и не слышно.

А для дома для семьи - можно взять и тихий, но он будет и не скоростной. А
можно вобще NAS в кладовку засунуть, пусть там шумит, за дверкой.

[...]

Re: dnsmasq

[Artem Chuprina]

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Sat, 10 Mar 2018 
14:03:13 +0300:

 >>  >>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >>  >>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >>  >>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт 
 >> DHCP
 >>  >>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не 
 >> справился,
 >>  >>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с 
 >> этого
 >>  >>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было 
 >> бы
 >>  >>  >> разрешить по минимуму.
 >>  >>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

 >>  >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
 >>  >> достаточно 67. Я про минимум.
 >>  > Ну так может взять в руки генератор правил для фаирволов?

 >> Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
 >> их много, изучать их все, чтобы выбрать годный ??? изрядное количество
 >> ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
 >> достаточно.
 > Начинай изучать nftables, всё к этому плавно идет.

Ок, погляжу.

 >> В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
 >> код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
 >> если что-то не работает, допрашивать все равно придется не генератор, а
 >> непосредственно iptables), и чтобы он был не сложнее, чем собственно
 >> iptables.
 > Посмотри arno-iptables-firewall. 

Тоже глянем.

 >> А то я как-то видел исходник, от shorewall, что ли... Руками для
 >> iptables то же самое куда понятнее было.

 >>  > [...]

 >>  >> zless /usr/share/doc/dnsmasq/FAQ.gz
 >>  > ^ Вот это в всякие роутеры никогда не
 >>  > кладут.
 >> Ась? В мой кладут. Я его оттуда цитирую.
 > А в lede/openwrt не кладут.

Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет,
этого нет... Давно, правда, было дело. У меня на роутере Debian.

 >>  >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
 >>  >> client-id. В линуксе-то не проблема...
 >>  > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 
 >> Ну, значит, уже починили.
 > Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом
 > месте.

Ага. Учтем.

 >>  >> Может, конечно, bind и научились писать, но у меня исторически сложилось
 >>  >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
 >>  >> вообще довольно плохо написаны.
 >>  > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в 
 >> начале
 >>  > 80 и всех остальных "секурных" на тот момент еще не было.
 >> Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.

 > Конфиг, как конфиг. Не m4 от шлимыла и то хорошо.

Тот еще страшнее, да.

 >>  >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
 >>  >> лучше не стали.
 >>  > Нет, потому что это не просто a=b,c,d а цельный язык для написания 
 >> конфигов.
 >>  > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
 >>  > Разжованно до немогу.
 >> Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...
 > Никто не мешает написать генератор. Зачем писать ручками те конфиги?

Затем, что к следующему разу я забуду синтаксис исходников для генератора :)

 >>  >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
 >>  >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
 >>  > А чем они, эти твои провайдеры - это аргументируют?
 >> А ничем. Просто порты закрыты, и это на сайте документировано.
 > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в
 > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость работы
 > тоже - так что штраф закатят, в независимости - написано на сайте или нет.

Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
(у меня два линка) 10.xxx. Закрыты — и фиг бы с ними.

 >>  > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если 
 >> уж
 >>  > так хочется.

 >> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
 >> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
 >> меня нет задач на высокопроизводительный DNS-сервер миллиарда
 >> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки
 >> DNSSEC обойдусь. Заодно и надежнее будет.

 > Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую
 > дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что
 > предназначено для работы в локалке - голым сокетом в мир..

Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только
она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это
я про домашний роутер, у которого задача не шуметь, и он поэтому
намеренно 

Re: dnsmasq

[Andrey Jr. Melnikov]

Artem Chuprina  wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 
> 23:30:09 +0300:

>  >>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить 
> DNS
>  >>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
>  >>  >> isc-dhcpd). Про "легковеснее" молчу.

>  >>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
>  >>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
>  >>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
>  >>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не 
> справился,
>  >>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
>  >>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
>  >>  >> разрешить по минимуму.
>  >>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

>  >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
>  >> достаточно 67. Я про минимум.
>  > Ну так может взять в руки генератор правил для фаирволов?

> Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
> их много, изучать их все, чтобы выбрать годный ??? изрядное количество
> ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
> достаточно.
Начинай изучать nftables, всё к этому плавно идет.

> В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
> код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
> если что-то не работает, допрашивать все равно придется не генератор, а
> непосредственно iptables), и чтобы он был не сложнее, чем собственно
> iptables.
Посмотри arno-iptables-firewall. 

> А то я как-то видел исходник, от shorewall, что ли... Руками для
> iptables то же самое куда понятнее было.

>  > [...]

>  >> zless /usr/share/doc/dnsmasq/FAQ.gz
>  > ^ Вот это в всякие роутеры никогда не
>  > кладут.
> Ась? В мой кладут. Я его оттуда цитирую.
А в lede/openwrt не кладут.

>  >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
>  >> client-id. В линуксе-то не проблема...
>  > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 
> Ну, значит, уже починили.
Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом
месте.

>  >>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
>  >>  >> трансфера зон.

>  >>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

>  >> Спасибо, Кэп, для чего оно предназначено, я в курсе.

>  >>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей 
> зоны.
>  >>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE 
> находят, чем
>  >>  > в dnsmasq?
>  >>  > Сравни
>  >>  > 
> https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
>  >>  > и
>  >>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
>  >>  > для приличия.

>  >> Может, конечно, bind и научились писать, но у меня исторически сложилось
>  >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
>  >> вообще довольно плохо написаны.
>  > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в 
> начале
>  > 80 и всех остальных "секурных" на тот момент еще не было.
> Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.

Конфиг, как конфиг. Не m4 от шлимыла и то хорошо.

>  >> Его затыкают, конечно, куда деваться ??? он reference implementation, и
>  >> стоит поэтому везде, где нужна свежая функциональность. Но работает,
>  >> судя по слухам, через пень-колоду.
>  > Ага, "мне Рабинович по телефону напел".
> Ну, у меня самого задачи такие, что он на них, в общем, не
> падает. Последний раз падал в 2005-м, кажется. Приходится по слухам.
У тебя нагрузок нет. И у меня сейчас нет, чтоб посмотреть. Лет 8 назад менял
bind'ы на unbound - последний держался лучше, но не сильно. Зато с него
статистику можно было снимать.

>  >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
>  >> лучше не стали.
>  > Нет, потому что это не просто a=b,c,d а цельный язык для написания 
> конфигов.
>  > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
>  > Разжованно до немогу.
> Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...
Никто не мешает написать генератор. Зачем писать ручками те конфиги?

>  >>  >> i A dnsmasq-base Recommends dns-root-data  

>  >>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
>  >>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И 
> будешь
>  >>  > ты с kill -HUP ${pid} играться :)
>  >> Про это в man тоже есть.
>  > Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место 
> этому
>  > в роутере. 
> Нет, как раз на это там есть альтернативный подход.
Альтернативней не бывает, сбрасывать кэш при каждом SIGHUP, даже если это
у нас ntp