Re: Краткий обзор систем резервного копирования
09.03.2018 18:36, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Fri, 9 Mar 2018 13:47:00 +0300: > > > Выкладываю здесь свой обзор по итогам обсуждения в теме "Backup". > > Может, кому пригодится. > > Дополнения и исправления приветствуются. > > Спасибо, интересно. > > Для себя сделал вывод, что надежнее самопальной конструкции на базе > rsync все-таки ничего не придумали. > > Хотя, конечно, дедупликацию к ней добавить было бы приятно... Но > надежность и простота восстановления в любом случае важнее. >Но в прошлой теме вы говорили, что важнее выбирать инструмент, исходя из политики резервного копирования (с чем буду разбираться, когда FreeNAS нормально поставлю) и прочих условий. Если машин много или требуется интерфейс, есть подозрение, что ваша конструкция превратится либо в backuppc, либо в bareos, ну или в urbackup, накрайняк. Так зачем же делать работу, которую уже сделали за меня?
CUPS mDNS/DNS-SD discovery
Хочу принтер автомагически обнаружеваемый по сети. Поставил на сервере CUSP, avahi-daemon. На клиенте поставил только avahi-daemon. Мозилла печатает! Теперь десятая венда. Она шлёт mdns запрос, avahi ей отвечает, ответ приходит венде, но принтер она не показывает. Ручками добавляешь, всё работает. НО! если принтер подключить по сети, то венда сама обнаружит два устройства, сам принтер и принтер капса. Но при этом, у этого принтера, подключенного к капсу "локейшн" будет http://printerIP:8018/wsd и венда печатает напрямую на принтер, а не на капс. Пробовал добавить в обычный DNS записи, венда их спрашивает, безрезультатно: _ipp._tcp PTR cups cupsA cupsSRV 0 0 631 cups cupsTXT ( "txtvers=1" "qtotl=1" "rp=printers/printer" "adminurl=ipp://cups/printers/printer" "ty=Samsung ML-2160 series" "pdl=application/octet-stream,application/pdf, application/postscript,image/jpeg ,image/png,image/urf" "URF=none" ) Штатный принт сервис андроида 8.1 и "Android CUPS Print" шлют mdns запросы, получают ответы от авахи, но принтер не обнаруживают, даже сетевой. И ещё, можно ли на линуксе получить lpr который будет автоматически обнаруживать CUPS? (Сейчас, что бы lpr на клиенте работал, нужно поставить cups-bsd и прописать ServerName в /etc/cups/client.conf) -- sergio
Re: dnsmasq
Artem Chuprinawrote: > Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Sat, 10 Mar 2018 > 16:59:18 +0300: > >> >> >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у > него > >> >> >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не > >> >> > А чем они, эти твои провайдеры - это аргументируют? > >> >> А ничем. Просто порты закрыты, и это на сайте документировано. > >> > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще > написать в > >> > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость > работы > >> > тоже - так что штраф закатят, в независимости - написано на сайте или > нет. > >> Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а > >> дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса > >> (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними. > > Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. > Как > > и бегающих с своми говно-роутерами и интернет-телевизором. > Понимаешь, шамо приполжло... Более того, потенциально можно и третий > линк взять, такой же ??? МГТС нынче принудительно по оптоволокну раздается > (и не работает, если света нет, ага). А толку от того МГТС, если оно ходит со своей супер-жолезкой (читай, купленной за 3 копейки, из которых 2 - цена наклейки) ONU - к которой как правило не дают пароля, ты ей не управляешь и выкинуть её тоже не можешь. Ещё одна "неведома хрень" жрущая электричество. Да - можно конечно _поробовать_ заменить этот кусок пластика на ONU-SFP, но скорее всего в реальности - не выйдет. Ибо голова работает только со своими "пластиковыми коробками" а за другие "пластиковые коробки" хочет отдельной лицензии за дохреллион бабла. А вторая причина - этож надо профили писать, а софт для OLT головы (тот который дают порулить обезьянкам из саппорта) нихрена не умеет, а в ручную писать - некому. И цена этого ONU-SFP от 5 штук. А выкидывать эти "пластиковые коробульки" очень даже полезно, некоторые "производителя" включают там всякие flood-protect (которые по их мнению выражаются в ICMP больше 400 байт) и прочие "полезняшки". Ну да, этот-же "оптический ADSL" легко засрать :) > В принципе, у обоих можно взять белые IP (и кстати, тогда не будет > закрытых портов). Но за дополнительную копеечку. А оно мне зачем? Логично, при учете того, что за выделенный IP хотят больше 100 рублей, роутер с openvpn/tinc/wireguard на свою VPS выигрывает и по этим параметрам.
Re: dnsmasq
Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Sat, 10 Mar 2018 16:59:18 +0300: >> >> >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у >> него >> >> >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не >> >> > А чем они, эти твои провайдеры - это аргументируют? >> >> А ничем. Просто порты закрыты, и это на сайте документировано. >> > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще >> написать в >> > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость >> работы >> > тоже - так что штраф закатят, в независимости - написано на сайте или >> нет. >> Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а >> дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса >> (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними. > Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. Как > и бегающих с своми говно-роутерами и интернет-телевизором. Понимаешь, шамо приполжло... Более того, потенциально можно и третий линк взять, такой же — МГТС нынче принудительно по оптоволокну раздается (и не работает, если света нет, ага). В принципе, у обоих можно взять белые IP (и кстати, тогда не будет закрытых портов). Но за дополнительную копеечку. А оно мне зачем?
Re: dnsmasq
Victor Wagnerwrote: > В Sat, 10 Mar 2018 16:59:18 +0300 > "Andrey Jr. Melnikov" пишет: > > > и он поэтому намеренно слабенький. На пассивном охлаждении. > > Вот у меня один из домашних роутеров - Banana Pi R1, при всех его > > конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого > Вот не показалось оно мне "вполне себе роутером" для домашних нужд. > Почему-то там wi-fi точка доступа оказалась с таким слабым сигналом, > что хрен его услышишь по всей квартире (учитывая количество соседских > вайфаев). Или существует какой-то секретный способ добиться от ее Wi-Fi > модуля правды? Не в курсе. Отключено за ненадобностью. Там были какие-то проблемы с питанием и стабильностью. > А подобное устройство интересно именно как решение вида "все в одном". > Чтобы одна железяка с максимум 15Вт энергопотребления была и роутером, > и свитчом, и точкой доступа Wi-Fi, и торрентокачалкой и хранилищем тех > немногочисленных файлов, которые должны быть доступны даже тогда, когда > любой другой компьютер в доме выключен. > > хлама. До этого там стоял ящик на атоме. Выкинут под стол из-за > > посыпавшегося диска. > > Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки > > для загрузчика. А хваленые eMMC от хорошей грозы любят покрываться > > нечитабельными блоками. > Так там вроде Wi-Fi вообще нет. Правда PCI-E есть. Есть: Onboard Network:5x 10/100/1000Mbps Ethernet (MT7530) Wifi 802.11 a/b/g/n 2.4GHz/ 5GHz(MT6625L) BT4.1 BLE with MTK6625L chip Для 7530 в mainline таки родили DSA поддержку, т.е. теперь не надо плясать вокруг ущербного swconfig. А зная какую говняшку делает Mediatek и как относиться к поддержке - то лучше бы его там и не было. Как и MALI450. Нахрена в роутере GPU - ума не приложу. Особенно - без драйверов и с родовой травмой всех медиатеков - быстро перегреваться и падать в тротлинг. Занятное чтиво вот https://forum.armbian.com/topic/4567-banana-pi-r2/ Вобщем - роутер может и не плохой, но а) дорогой, б) с кучей бесполезного шлака на борту. А больше никто ничего не делает похожего. Чтоб и портов навалом и SATA и памяти было не с гулькин фиг.
[DONE] wml://{News/2018/index.wml}
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/News/2018/index.wml 2018-03-10 17:37:14.0 +0500 +++ russian/News/2018/index.wml 2018-03-10 20:41:24.229199966 +0500 @@ -1,14 +1,15 @@ - -#use wml::debian::template title="News from 2018" +#use wml::debian::template title="ÐовоÑÑи за 2018 год" #use wml::debian::recent_list +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/News/2018', '', +<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/News/2018', '', '\d+\w*') :> - -Note: you can get the latest Debian news by - -subscribing to or browsing the - -archives for our - -ÐÑимеÑание: Ð²Ñ Ð¼Ð¾Ð¶ÐµÑе полÑÑаÑÑ Ð¿Ð¾Ñледние новоÑÑи Debian, +подпиÑавÑиÑÑ Ð½Ð° ÑпиÑки +ÑаÑÑÑлки +https://lists.debian.org/debian-announce/debian-announce-2018/;>\ - -debian-announce and +debian-announce и https://lists.debian.org/debian-news/;>\ - -debian-news mailing lists. +debian-news или пÑоÑмаÑÑÐ¸Ð²Ð°Ñ Ð¸Ñ Ð°ÑÑ Ð¸Ð²Ñ. -BEGIN PGP SIGNATURE- iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAlqj/KsACgkQXudu4gIW 0qXGtRAAoKUNE7SHb8xgz7A70ret4okO3dN3hQJdMh/tMRI6anIed51MQaOjzRst 77BIeYmoSxVtztVWfOYdSMDHkXAWVYECGyWVdX3RtEmYKi8sU8X+7hgNEzow2O53 RFjabvObsGin1lEmcRxqMVjjzEWku02a1Hd3G1LNjVRRYJHQllMzhfV/qLhk35P3 ZuQT0ShZdToRATMXdF+egsRoq7fkHF1KD1rwBekbFFpXotwq7LqS7sCqbHEuu3ml nzMXesXfwN2fpTjuMl4A74xbmgWygFyeelBVMwnlmtRqQjg5uULKmLkD3twAKCdG 6m/xzI1HcSUGFoNEI5fz3lE7pj48jJaVsATT5ICXb/ffWbh9eR3dQ78WCG9ueJwk s1fMwgUuztKGIl5iDIon7doXglmPX3lzqWzlty5FEK+NBVadzIXMc5PJkSd9aUDc p+zLG4zfH4/3tlkssJVGYKJ6v9DuRIV0I6b8bOFpphPDbFSq8HS9EACaauv3CJ4X GgCFqwnudaFrNE7Wdt8vB5WeTuqboGfYhyWBl/tRkzhjMOZLzBEz499PMapTNbSC lH4AJdxBapr8r/XO/pgK6qDtn7I27sKaKAcFdIFOSyTEdiZXiDMOB3FaWOZdoK/w nkdXHaPmp5yWQ4NU26W8T+0jmeYT+wr5eGyDqLx/H3eOz2m2hMQ= =yPNj -END PGP SIGNATURE-
Re: dnsmasq
В Sat, 10 Mar 2018 16:59:18 +0300 "Andrey Jr. Melnikov"пишет: > > и он поэтому намеренно слабенький. На пассивном охлаждении. > Вот у меня один из домашних роутеров - Banana Pi R1, при всех его > конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого Вот не показалось оно мне "вполне себе роутером" для домашних нужд. Почему-то там wi-fi точка доступа оказалась с таким слабым сигналом, что хрен его услышишь по всей квартире (учитывая количество соседских вайфаев). Или существует какой-то секретный способ добиться от ее Wi-Fi модуля правды? А подобное устройство интересно именно как решение вида "все в одном". Чтобы одна железяка с максимум 15Вт энергопотребления была и роутером, и свитчом, и точкой доступа Wi-Fi, и торрентокачалкой и хранилищем тех немногочисленных файлов, которые должны быть доступны даже тогда, когда любой другой компьютер в доме выключен. > хлама. До этого там стоял ящик на атоме. Выкинут под стол из-за > посыпавшегося диска. > Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки > для загрузчика. А хваленые eMMC от хорошей грозы любят покрываться > нечитабельными блоками. Так там вроде Wi-Fi вообще нет. Правда PCI-E есть. -- Victor Wagner
Re: dnsmasq
Artem Chuprinawrote: > Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Sat, 10 Mar 2018 > 14:03:13 +0300: [...] > >> >> zless /usr/share/doc/dnsmasq/FAQ.gz > >> > ^ Вот это в всякие роутеры никогда не > >> > кладут. > >> Ась? В мой кладут. Я его оттуда цитирую. > > А в lede/openwrt не кладут. > Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет, > этого нет... Давно, правда, было дело. У меня на роутере Debian. Там и сейчас не сильно лучше стало. [...] > >> >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него > >> >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не > >> > А чем они, эти твои провайдеры - это аргументируют? > >> А ничем. Просто порты закрыты, и это на сайте документировано. > > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в > > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость > работы > > тоже - так что штраф закатят, в независимости - написано на сайте или нет. > Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а > дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса > (у меня два линка) 10.xxx. Закрыты ??? и фиг бы с ними. Ааа, да тут серяк во все поля. Я таких провайдеров даже не рассматриваю. Как и бегающих с своми говно-роутерами и интернет-телевизором. > >> > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS > если уж > >> > так хочется. > >> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче > >> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У > >> меня нет задач на высокопроизводительный DNS-сервер миллиарда > >> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки > >> DNSSEC обойдусь. Заодно и надежнее будет. > > Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую > > дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что > > предназначено для работы в локалке - голым сокетом в мир.. > Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только > она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это > я про домашний роутер, у которого задача не шуметь, и он поэтому > намеренно слабенький. На пассивном охлаждении. Вот у меня один из домашних роутеров - Banana Pi R1, при всех его конструктивных ляпах - вполне себе роутер. Даже с SSDшкой для всякого хлама. До этого там стоял ящик на атоме. Выкинут под стол из-за посыпавшегося диска. Купил бы BPi-R2 - но так в нем по хипстерски нет отдельной SPI флшки для загрузчика. А хваленые eMMC от хорошей грозы любят покрываться нечитабельными блоками.
Re: научите systemd!
Artem Chuprinawrote: > Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Mon, 5 Mar 2018 > 15:14:32 +0300: > >> >> >> >> Чтоб два раза не вставать: я понимаю, почему юзерский юнит не > может > >> >> >> >> прописать зависимость от системного. (В документации, кстати, > я этого не > >> >> >> > А я вот не понимаю. Все эти приседания вокруг > Before|After|Requires|Want > >> >> >> > напоминают те-же циферки в sysvinit. Только в профиль. Теперь > с D-BUS'ом. > >> >> >> Правов у него нет. Информация о зависимостях и, главное, степени > успеха > >> >> >> запуска оных, есть у systemd унутре. В отдельной cgroup. Юзерский > >> >> >> systemctl (или отдельный экземпляр systemd?) туда не пускают. > >> >> > Это ЭПИЧНЫЙ ВИН Лёни. Имея унутре dbus - не иметь доступа на > спросить - это > >> >> > ШЕСТЬ. Это даже не пять. > >> >> Ну, что я тебе могу сказать? Такой вот у нас нынче init. От него еще и > >> >> драйвера принтеров теперь зависят... > >> > Не от него а от udev'а вмноличенного в этот комбайн. Ну да ладно, это > уже > >> > тонкости реализации. > >> Не, они там от policykit чего-то хотели. udev, в общем, > > Интересно, а зачем это нужно в случае принтера. С флешками как-то еще > > понятно, но вот с принтером... > Подозреваю, нотификации юзеру о втыкании принтера в USB. Оно ему надо, тому юзеру? Особенно в момент загрузки, когда еще нету собственно тех Xов/Wayland/четамсейчасмодно для показать? Скорее всего всё тот-же танец с бубнами вокруг "мы тут MFU нашли - кому права на сканер давать будем?" > >> отсоединен. Впрочем, кажется, то, чего они хотели от policykit, тоже > >> отсоединено, только надо более вдумчиво попинать aptitude. > > Увы - udev вмоноличен, а то что они идет отдельным пакетиком - так вышло. > > Как выкинут sysvinit - так сразу станет всё в одном. > Выкинут - поставлю FreeBSD. А ей уже можно пользоваться? Так, чтоб не заниматься постоянным приседанием вокруг пересборки системы и вялотекщих прыжков с версии на версию из-за того, что левая нога разработчиков решила, что в этой версии мы порты не поддерживаем и все строем бегут жрать новый RELENG. > >> >> Меня привлекает в нем идея, что можно делать тома с разными > свойствами, > >> >> распределяемые по пространству диска динамически. Без танцев с > ресайзом, > >> >> где каждую вторую файловую систему нельзя уменьшить без > отмонтирования, > >> >> а каждую четвертую - и увеличить... > >> > А зачем это нужно? Нет, реально - зачем? Мне видиться только один > вариант > >> > использования - петабайтные хранилища. Но там увы своё железо и свои > fs. > >> Ровно наоборот. Когда диска некоторый дефицит. > > Когда диска дефицит - надо идти за новым. Или посылать счет в бухгалтерию. > > Собирать оделяо из лоскутков - ну, в виде развлечения и народных промыслов > > только интересно. > Идти за новым не всегда своевременно. Он все-таки не три копейки стоит, > особенно если тихий. А где ты видел громкий? Я давно не вижу громких, кроме как в исполнении "для рейдов". Но его в стойке и не слышно. А для дома для семьи - можно взять и тихий, но он будет и не скоростной. А можно вобще NAS в кладовку засунуть, пусть там шумит, за дверкой. [...]
Re: dnsmasq
Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Sat, 10 Mar 2018 14:03:13 +0300: >> >> >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в >> >> >> promiscuous mode, и справляется с ситуацией, когда на файрволе по >> >> >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт >> DHCP >> >> >> нет (у меня пускали только с адресами из локалки). dnsmasq не >> справился, >> >> >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с >> этого >> >> >> интерфейса вообще всё, так что нет уверенности, что достаточно было >> бы >> >> >> разрешить по минимуму. >> >> > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;) >> >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется, >> >> достаточно 67. Я про минимум. >> > Ну так может взять в руки генератор правил для фаирволов? >> Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве >> их много, изучать их все, чтобы выбрать годный ??? изрядное количество >> ресурса, а iptables и моих знаний о работе сети для моих задач, в общем, >> достаточно. > Начинай изучать nftables, всё к этому плавно идет. Ок, погляжу. >> В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был >> код для iptables-restore (атомарная загрузка, ага), читабельный (ибо >> если что-то не работает, допрашивать все равно придется не генератор, а >> непосредственно iptables), и чтобы он был не сложнее, чем собственно >> iptables. > Посмотри arno-iptables-firewall. Тоже глянем. >> А то я как-то видел исходник, от shorewall, что ли... Руками для >> iptables то же самое куда понятнее было. >> > [...] >> >> zless /usr/share/doc/dnsmasq/FAQ.gz >> > ^ Вот это в всякие роутеры никогда не >> > кладут. >> Ась? В мой кладут. Я его оттуда цитирую. > А в lede/openwrt не кладут. Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет, этого нет... Давно, правда, было дело. У меня на роутере Debian. >> >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только >> >> client-id. В линуксе-то не проблема... >> > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. >> Ну, значит, уже починили. > Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом > месте. Ага. Учтем. >> >> Может, конечно, bind и научились писать, но у меня исторически сложилось >> >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и >> >> вообще довольно плохо написаны. >> > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в >> начале >> > 80 и всех остальных "секурных" на тот момент еще не было. >> Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет. > Конфиг, как конфиг. Не m4 от шлимыла и то хорошо. Тот еще страшнее, да. >> >> Собственно, синтаксис их конфигурации и документация на нее с тех пор >> >> лучше не стали. >> > Нет, потому что это не просто a=b,c,d а цельный язык для написания >> конфигов. >> > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций. >> > Разжованно до немогу. >> Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря... > Никто не мешает написать генератор. Зачем писать ручками те конфиги? Затем, что к следующему разу я забуду синтаксис исходников для генератора :) >> >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него >> >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не >> > А чем они, эти твои провайдеры - это аргументируют? >> А ничем. Просто порты закрыты, и это на сайте документировано. > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость работы > тоже - так что штраф закатят, в независимости - написано на сайте или нет. Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса (у меня два линка) 10.xxx. Закрыты — и фиг бы с ними. >> > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если >> уж >> > так хочется. >> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче >> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У >> меня нет задач на высокопроизводительный DNS-сервер миллиарда >> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки >> DNSSEC обойдусь. Заодно и надежнее будет. > Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую > дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что > предназначено для работы в локалке - голым сокетом в мир.. Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это я про домашний роутер, у которого задача не шуметь, и он поэтому намеренно
Re: dnsmasq
Artem Chuprinawrote: > Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Fri, 9 Mar 2018 > 23:30:09 +0300: > >> >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить > DNS > >> >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и > >> >> isc-dhcpd). Про "легковеснее" молчу. > >> >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в > >> >> promiscuous mode, и справляется с ситуацией, когда на файрволе по > >> >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP > >> >> нет (у меня пускали только с адресами из локалки). dnsmasq не > справился, > >> >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого > >> >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы > >> >> разрешить по минимуму. > >> > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;) > >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется, > >> достаточно 67. Я про минимум. > > Ну так может взять в руки генератор правил для фаирволов? > Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве > их много, изучать их все, чтобы выбрать годный ??? изрядное количество > ресурса, а iptables и моих знаний о работе сети для моих задач, в общем, > достаточно. Начинай изучать nftables, всё к этому плавно идет. > В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был > код для iptables-restore (атомарная загрузка, ага), читабельный (ибо > если что-то не работает, допрашивать все равно придется не генератор, а > непосредственно iptables), и чтобы он был не сложнее, чем собственно > iptables. Посмотри arno-iptables-firewall. > А то я как-то видел исходник, от shorewall, что ли... Руками для > iptables то же самое куда понятнее было. > > [...] > >> zless /usr/share/doc/dnsmasq/FAQ.gz > > ^ Вот это в всякие роутеры никогда не > > кладут. > Ась? В мой кладут. Я его оттуда цитирую. А в lede/openwrt не кладут. > >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только > >> client-id. В линуксе-то не проблема... > > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. > Ну, значит, уже починили. Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом месте. > >> >> Чего он явно не умеет (в документации нет даже упоминания), так это > >> >> трансфера зон. > >> > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет. > >> Спасибо, Кэп, для чего оно предназначено, я в курсе. > >> >> Подумываю, не попробовать ли его как второй авторитетный DNS своей > зоны. > >> > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE > находят, чем > >> > в dnsmasq? > >> > Сравни > >> > > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351 > >> > и > >> > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64 > >> > для приличия. > >> Может, конечно, bind и научились писать, но у меня исторически сложилось > >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и > >> вообще довольно плохо написаны. > > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в > начале > > 80 и всех остальных "секурных" на тот момент еще не было. > Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет. Конфиг, как конфиг. Не m4 от шлимыла и то хорошо. > >> Его затыкают, конечно, куда деваться ??? он reference implementation, и > >> стоит поэтому везде, где нужна свежая функциональность. Но работает, > >> судя по слухам, через пень-колоду. > > Ага, "мне Рабинович по телефону напел". > Ну, у меня самого задачи такие, что он на них, в общем, не > падает. Последний раз падал в 2005-м, кажется. Приходится по слухам. У тебя нагрузок нет. И у меня сейчас нет, чтоб посмотреть. Лет 8 назад менял bind'ы на unbound - последний держался лучше, но не сильно. Зато с него статистику можно было снимать. > >> Собственно, синтаксис их конфигурации и документация на нее с тех пор > >> лучше не стали. > > Нет, потому что это не просто a=b,c,d а цельный язык для написания > конфигов. > > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций. > > Разжованно до немогу. > Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря... Никто не мешает написать генератор. Зачем писать ручками те конфиги? > >> >> i A dnsmasq-base Recommends dns-root-data > >> >> Может, конечно, он оттуда только ключи для DNSSEC хочет... > >> > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И > будешь > >> > ты с kill -HUP ${pid} играться :) > >> Про это в man тоже есть. > > Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место > этому > > в роутере. > Нет, как раз на это там есть альтернативный подход. Альтернативней не бывает, сбрасывать кэш при каждом SIGHUP, даже если это у нас ntp