Artem Chuprina <[email protected]> wrote: > Andrey Jr. Melnikov -> [email protected] @ Fri, 9 Mar 2018 > 19:56:40 +0300:
> >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS > >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и > >> isc-dhcpd). Про "легковеснее" молчу. > >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в > >> promiscuous mode, и справляется с ситуацией, когда на файрволе по > >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP > >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился, > >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого > >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы > >> разрешить по минимуму. > > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;) > Это понятно. Для гостевой сети так и прописано. Кстати, кажется, > достаточно 67. Я про минимум. Ну так может взять в руки генератор правил для фаирволов? [...] > zless /usr/share/doc/dnsmasq/FAQ.gz ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот это в всякие роутеры никогда не кладут. > Q: My laptop has two network interfaces, a wired one and a wireless > one. I never use both interfaces at the same time, and I'd like the > same IP and configuration to be used irrespective of which > interface is in use. How can I do that? > Addendum: > From version 2.46, dnsmasq has a solution to this which doesn't > involve setting client-IDs. It's possible to put more than one MAC > address in a --dhcp-host configuration. This tells dnsmasq that it > should use the specified IP for any of the specified MAC addresses, > and furthermore it gives dnsmasq permission to sumarily abandon a > lease to one of the MAC addresses if another one comes along. Note > that this will work fine only as longer as only one interface is > up at any time. There is no way for dnsmasq to enforce this > constraint: if you configure multiple MAC addresses and violate > this rule, bad things will happen. Bad things. Ой вэй. Сказочник великий. > А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только > client-id. В линуксе-то не проблема... Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. > >> Чего он явно не умеет (в документации нет даже упоминания), так это > >> трансфера зон. > > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет. > Спасибо, Кэп, для чего оно предназначено, я в курсе. > >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны. > > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем > > в dnsmasq? > > Сравни > > > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351 > > и > > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64 > > для приличия. > Может, конечно, bind и научились писать, но у меня исторически сложилось > ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и > вообще довольно плохо написаны. Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале 80 и всех остальных "секурных" на тот момент еще не было. > Его затыкают, конечно, куда деваться ??? он reference implementation, и > стоит поэтому везде, где нужна свежая функциональность. Но работает, > судя по слухам, через пень-колоду. Ага, "мне Рабинович по телефону напел". > Собственно, синтаксис их конфигурации и документация на нее с тех пор > лучше не стали. Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов. А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций. Разжованно до немогу. > >> i A dnsmasq-base Recommends dns-root-data > >> Может, конечно, он оттуда только ключи для DNSSEC хочет... > > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь > > ты с kill -HUP ${pid} играться :) > Про это в man тоже есть. Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому в роутере. > > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, > то > > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS > запросов не > > имеет. И внешний DNS не требует. > Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него > вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не А чем они, эти твои провайдеры - это аргументируют? > пускают. А вот насчет unbound на secondary NS можно и подумать. unbound - это РЕЗОЛВЕР. Оно не умеет работать АВТОРАТИВНЫМ сервером. Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж так хочется.
