Re: bind и подмена адреса
5 июня 2013 г., 18:57 пользователь Владимир Скубриев vladi...@skubriev.ru написал: Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к настоящим серверам ? Как правильно это сделать в bind ? Split DNS? http://www.cyberciti.biz/faq/linux-unix-bind9-named-configure-views/
Re: bind и подмена адреса
On 05.06.2013 19:09, Артём Н. wrote: On 05.06.2013 18:57, Владимир Скубриев wrote: Уточняющий вопрос я уже задвал ранее в рассылку по этому поводу. Вот линк: http://lists.debian.org/debian-russian/2013/03/msg00254.html У меня возник вопрос: Я хочу использовать bind на сервере в локальной сети для обслуживания только клиентов локальной сети. У меня также есть купленный домен example.com, сервера DNS godaddy Внутри ЛВС у меня будет локальный домен например .local. Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Так как данные сервера находятся внутри ЛВС. Чтобы клиенты обращались к этим серверам локально. Как мне правильно сделать это в bind? Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к настоящим серверам ? Как правильно это сделать в bind ? А обязательно использовать именно bind? Какой-нибудь dnsmasq - не вариант? почитал сейчас 1 час про dnsmasq. вроде как подходит. только вот не нашел пока конфигов как в нем свою зону прямую и обратную делать -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: bind и подмена адреса
On 05.06.2013 20:19, Hleb Valoshka wrote: On 6/5/13, Владимир Скубриев vladi...@skubriev.ru wrote: Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Мне кажется, что, кроме как через view, по-другому не сделаете. Не удобно, конечно, но думаю, у вас там и не 100500 записей :) Но, как уже посоветовали, dnsmasq в такой ситуации будет по-лучше. почитал сейчас 1 час про dnsmasq. вроде как подходит. Но только вот не нашел пока конфигов и/или примеров как в нем(dnsmasq) свою зону прямую и обратную делать для local domain Или использовать для этого bind на каком то другом порту. а dnsmasq уже на стандартном 53 ? То есть чтобы к bind ни кто не имел доступа кроме как dnsmasq ? Да кстати мне еще dynamic DNS Updates нужны (( Не ясно как их реализовать. Я с dns первый раз разбираюсь. Прошу понять, что плаваю пока в этом вопросе. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: bind и подмена адреса
On 05.06.2013 21:17, Alexander wrote: что то типо этого: named.conf view internal { // вид зон для локалки match-clients { 127.0.0.1; 192.168.1/24; }; zone example.com { type master; file /etc/namedb/master/example.com-internal; }; }; example.com-internal $TTL 600 $ORIGIN example.com. @ IN SOA ns1.domain.local. root.localhost. ( 2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum ) @ IN NS ns1.domain.local. localhost IN A 127.0.0.1 @ IN A 192.168.1.1 xxx1 IN A 192.168.1.201 xxx2 IN A 1.2.3.4 Т.е. те имена/адреса, которые я в этой зоне определю будут действовать для клиентов 127.0.0.1; 192.168.1/24; Те, которые не напишу здесь bind будет рекурсивно спрашивать у серверов провайдера dns, например godaddy ? Плюс я сделаю еще одну зону локальную, помещаю её в этот же view, т.к. клиенты у меня одни и те же что и для example.com view internal { // вид зон для локалки match-clients { 127.0.0.1; 192.168.1/24; }; zone example.com { type master; file /etc/namedb/master/example.com-internal; }; *zone local { type master; file /etc/namedb/master/local-internal; };* }; local-internal: $TTL 600 $ORIGIN local. @ IN SOA ns1.domain.local. root.localhost. ( 2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum ) @ IN NS ns1.domain.local. localhost IN A 127.0.0.1 @ IN A 192.168.1.1 xxx1 IN A 192.168.1.201 xxx2 IN A 192.168.1.202 Поидее обе зоны будут рабочие. Если клиент запросит адрес xxx1.local или просто xxx1 то получит ответ из зоны local-internal Если клиент запросит адрес xxx1.example.com то получит ответ из зоны example.com Единственное что нужно будет следить, чтобы внутренний IP сервера совпадал в обоих зонах, т.е. чтобы узлу xxx1 в обоих зонах был сопоставлен один и тот же IP? Динамическое обновление зоны local-internal, dhcp сервером я ведь смогу прикрутить без проблем ? Отдельное спасибо за пример! Было гораздо проще понять что к чему. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: bind и подмена адреса
Владимир Скубриев - debian-russian@lists.debian.org @ Thu, 06 Jun 2013 10:59:41 +0400: ВС почитал сейчас 1 час про dnsmasq. вроде как подходит. ВС только вот не нашел пока конфигов как в нем свою зону прямую и обратную делать /etc/hosts, насколько я помню. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87zjv3zl1n@wizzle.ran.pp.ru
Re: bind и подмена адреса
директива "match-clients" задает ip-адреса и сети, к которым будет применятся данная вьюха.вьюх можно делать множество. можно вместо конкретных ip использовать ключевое слово "any" - т.е. все.не помню важен ли порядок расположения вьюх в конфиге, на всякий случай лучше придерживаться такого порядка: сначала вьюхи на конкретные ip, потом на сети, потом "any".одни и теже зоны могут быть в разных вьюхах и отдаваться в соответствии с "match-clients" директиваforwarders { 8.8.8.8; };в секции "options" задает форвардеров, если не обнаружено dns-имя локально ваш пример локальной зоны вроде верен, только нужно еще добавить A-запись для самого ns1, типо:ns1 IN A 192.168.1.1 узлу xxx1 могут быть сопоставлены разные ip адреса в разных зонах - в зависимости от ваших потребностей насчет динамического обновления я не курил. вроде isc-dhcpd интегрируется с bind по поводу ddns. все что я писал относится к bind 9, а bind 10 вышедший недавно вроде бы как кардинально переписали и в нем dhcp встроенный 06.06.2013, 11:44, "Владимир Скубриев" vladi...@skubriev.ru:On 05.06.2013 21:17, Alexander wrote:что то типо этого: named.conf view "internal" { // вид зон для локалки match-clients { 127.0.0.1; 192.168.1/24; };zone "example.com" { type master; file "/etc/namedb/master/example.com-internal"; };}; example.com-internal $TTL 600 $ORIGIN example.com. @ IN SOA ns1.domain.local. root.localhost. ( 2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum ) @ IN NS ns1.domain.local.localhost IN A 127.0.0.1 @ IN A 192.168.1.1xxx1 IN A 192.168.1.201 xxx2 IN A 1.2.3.4 Т.е. те имена/адреса, которые я в этой зоне определю будут действовать для клиентов 127.0.0.1; 192.168.1/24; Те, которые не напишу здесь bind будет рекурсивно спрашивать у серверов провайдера dns, например godaddy ? Плюс я сделаю еще одну зону локальную, помещаю её в этот же view, т.к. клиенты у меня одни и те же что и для example.com view "internal" { // вид зон для локалки match-clients { 127.0.0.1; 192.168.1/24; };zone "example.com" { type master; file "/etc/namedb/master/example.com-internal"; }; zone "local" { type master; file "/etc/namedb/master/local-internal"; };}; local-internal: $TTL 600 $ORIGIN local. @ IN SOA ns1.domain.local. root.localhost. ( 2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum ) @ IN NS ns1.domain.local.localhost IN A 127.0.0.1 @ IN A 192.168.1.1xxx1 IN A 192.168.1.201 xxx2 IN A 192.168.1.202 Поидее обе зоны будут рабочие. Если клиент запросит адрес xxx1.local или просто xxx1 то получит ответ из зоны local-internal Если клиент запросит адрес xxx1.example.com то получит ответ из зоны example.com Единственное что нужно будет следить, чтобы внутренний IP сервера совпадал в обоих зонах, т.е. чтобы узлу xxx1 в обоих зонах был сопоставлен один и тот же IP? Динамическое обновление зоны local-internal, dhcp сервером я ведь смогу прикрутить без проблем ? Отдельное спасибо за пример! Было гораздо проще понять что к чему.-- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: bind и подмена адреса
On 06.06.2013 12:44, Alexander wrote: директива match-clients задает ip-адреса и сети, к которым будет применятся данная вьюха. вьюх можно делать множество. можно вместо конкретных ip использовать ключевое слово any - т.е. все. не помню важен ли порядок расположения вьюх в конфиге, на всякий случай лучше придерживаться такого порядка: сначала вьюхи на конкретные ip, потом на сети, потом any. одни и теже зоны могут быть в разных вьюхах и отдаваться в соответствии с match-clients директива forwarders { 8.8.8.8; }; в секции options задает форвардеров, если не обнаружено dns-имя локально ваш пример локальной зоны вроде верен, только нужно еще добавить A-запись для самого ns1, типо: ns1 IN A 192.168.1.1 узлу xxx1 могут быть сопоставлены разные ip адреса в разных зонах - в зависимости от ваших потребностей спасибо рассказали. успокоили. пошел писать конфиги насчет динамического обновления я не курил. вроде isc-dhcpd интегрируется с bind по поводу ddns. все что я писал относится к bind 9, а bind 10 вышедший недавно вроде бы как кардинально переписали и в нем dhcp встроенный посмотрел щас bind 10. ну что сказать ? в репах не привидится пока, т.к. только появился. ихмо лучше dhpcd прикручу - старый проверенный вариант. хотя конечно хотелось бы чтобы он был в репах. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: bind и подмена адреса
On 6/6/13, Владимир Скубриев vladi...@skubriev.ru wrote: почитал сейчас 1 час про dnsmasq. вроде как подходит. Но только вот не нашел пока конфигов и/или примеров как в нем(dnsmasq) свою зону прямую и обратную делать для local domain Как уже сказано, /etc/hosts, но, если я правильно помню, в конфиге можно задать альтернативный файл формата hosts. Плюс, ещё прямо в конфиге можно прописать ответы на некоторые запросы, в конфиге приведены примеры и, кажется, с ptr оно тоже работает. Да кстати мне еще dynamic DNS Updates нужны (( Если не нужно увязки с AD, то в dnsmasq можно включить dhcp. Собственно говоря, пока у меня не появилась samba4, dnsmasq вполне справлялся и с dns, и с dhcp.
Re: bind и подмена адреса
On 06.06.2013 12:43, Artem Chuprina wrote: Владимир Скубриев - debian-russian@lists.debian.org @ Thu, 06 Jun 2013 10:59:41 +0400: ВС почитал сейчас 1 час про dnsmasq. вроде как подходит. ВС только вот не нашел пока конфигов как в нем свою зону прямую и обратную делать /etc/hosts, насколько я помню. спасибо, но что у меня у уже больше к баинду душа потянула -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51b058e1.80...@skubriev.ru
Re: bind и подмена адреса
я в свое время вот эти книжки прочитал и советую: DNS BIND (5-е издание, 2008) на русском Pro DNS and BIND 10 (2011) - на инглише, но есть pdf в чисто электронном варианте и работает соответственно поиск по директивом - удобно как дополнение к первой книге - находится то, чего в ней нет. всё есть сами знаете где. 06.06.2013, 13:40, Владимир Скубриев vladi...@skubriev.ru: On 06.06.2013 12:43, Artem Chuprina wrote: Владимир Скубриев - debian-russian@lists.debian.org @ Thu, 06 Jun 2013 10:59:41 +0400: ВС почитал сейчас 1 час про dnsmasq. вроде как подходит. ВС только вот не нашел пока конфигов как в нем свою зону прямую и обратную делать /etc/hosts, насколько я помню. спасибо, но что у меня у уже больше к баинду душа потянула -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51b058e1.80...@skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/362651370579...@web30f.yandex.ru
bind и подмена адреса
Уточняющий вопрос я уже задвал ранее в рассылку по этому поводу. Вот линк: http://lists.debian.org/debian-russian/2013/03/msg00254.html У меня возник вопрос: Я хочу использовать bind на сервере в локальной сети для обслуживания только клиентов локальной сети. У меня также есть купленный домен example.com, сервера DNS godaddy Внутри ЛВС у меня будет локальный домен например .local. Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Так как данные сервера находятся внутри ЛВС. Чтобы клиенты обращались к этим серверам локально. Как мне правильно сделать это в bind? Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к настоящим серверам ? Как правильно это сделать в bind ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru * Russian - detected * English * English javascript:void(0);
Re: bind и подмена адреса
On 05.06.2013 18:57, Владимир Скубриев wrote: Уточняющий вопрос я уже задвал ранее в рассылку по этому поводу. Вот линк: http://lists.debian.org/debian-russian/2013/03/msg00254.html У меня возник вопрос: Я хочу использовать bind на сервере в локальной сети для обслуживания только клиентов локальной сети. У меня также есть купленный домен example.com, сервера DNS godaddy Внутри ЛВС у меня будет локальный домен например .local. Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Так как данные сервера находятся внутри ЛВС. Чтобы клиенты обращались к этим серверам локально. Как мне правильно сделать это в bind? Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к настоящим серверам ? Как правильно это сделать в bind ? А обязательно использовать именно bind? Какой-нибудь dnsmasq - не вариант? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51af54a7.9060...@yandex.ru
Re: bind и подмена адреса
On 6/5/13, Владимир Скубриев vladi...@skubriev.ru wrote: Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Мне кажется, что, кроме как через view, по-другому не сделаете. Не удобно, конечно, но думаю, у вас там и не 100500 записей :) Но, как уже посоветовали, dnsmasq в такой ситуации будет по-лучше.
Re: bind и подмена адреса
что то типо этого: named.conf view "internal" { // вид зон для локалкиmatch-clients { 127.0.0.1; 192.168.1/24; };zone "example.com" { type master; file "/etc/namedb/master/example.com-internal"; };}; example.com-internal $TTL 600$ORIGIN example.com.@ IN SOA ns1.domain.local. root.localhost. (2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum)@ IN NS ns1.domain.local.localhost IN A 127.0.0.1@ IN A 192.168.1.1xxx1 IN A 192.168.1.201xxx2 IN A 1.2.3.4 05.06.2013, 19:03, "Владимир Скубриев" vladi...@skubriev.ru:Уточняющий вопрос я уже задвал ранее в рассылку по этому поводу. Вот линк: http://lists.debian.org/debian-russian/2013/03/msg00254.html У меня возник вопрос: Я хочу использовать bind на сервере в локальной сети для обслуживания только клиентов локальной сети. У меня также есть купленный домен example.com, сервера DNS godaddy Внутри ЛВС у меня будет локальный домен например .local. Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена (example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Так как данные сервера находятся внутри ЛВС. Чтобы клиенты обращались к этим серверам локально. Как мне правильно сделать это в bind? Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к "настоящим" серверам ? Как правильно это сделать в bind ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru Russian - detectedEnglish English
Re: bind и подмена адреса
У меня используя view для локалки и примерно такой же ситуации при запросе от клиентов внешних DNS имен (ya.ru, www.ru и т.д. клиенты очень часто получают reject от BIND-а LLC Master-Byte Munko O. Bazarzhapov JabberID: v...@aginskoe.ru ICQ:169245258 mail: vec...@gmail.com 6 июня 2013 г., 3:17 пользователь Alexander ag...@yandex.ru написал: что то типо этого: named.conf view internal { // вид зон для локалки match-clients { 127.0.0.1; 192.168.1/24; }; zone example.com { type master; file /etc/namedb/master/example.com-internal; }; }; example.com-internal $TTL 600 $ORIGIN example.com. @ IN SOA ns1.domain.local. root.localhost. ( 2013010101; Serial 600; Refresh 150; Retry 36; Expire 600; Minimum ) @ IN NS ns1.domain.local. localhost IN A 127.0.0.1 @ IN A 192.168.1.1 xxx1 IN A 192.168.1.201 xxx2 IN A 1.2.3.4 05.06.2013, 19:03, Владимир Скубриев vladi...@skubriev.ru: Уточняющий вопрос я уже задвал ранее в рассылку по этому поводу. Вот линк: http://lists.debian.org/debian-russian/2013/03/msg00254.html У меня возник вопрос: Я хочу использовать bind на сервере в локальной сети для обслуживания только клиентов локальной сети. У меня также есть купленный домен example.com, сервера DNS godaddy Внутри ЛВС у меня будет локальный домен например .local. Но хотелось бы чтобы bind на некоторые узлы из зоны интернет домена ( example.com) например mail.example.com, redmine.example.com отдавал локальные адреса. Так как данные сервера находятся внутри ЛВС. Чтобы клиенты обращались к этим серверам локально. Как мне правильно сделать это в bind? Если я определю зону example.com, сделаю мой dns authoritative для данного домена. И пропишу только нужные мне узлы (записи) они будут иметь приоритет перед рекурсивными запросами к настоящим серверам ? Как правильно это сделать в bind ? -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru - Russian - detected - English - English
Re: bind и подмена адреса
On Thu, Jun 06, 2013 at 02:56:41PM +1000, Munko O. Bazarzhapov wrote: У меня используя view для локалки и примерно такой же ситуации при запросе от клиентов внешних DNS имен (ya.ru, www.ru и т.д. клиенты очень часто получают reject от BIND-а А у меня 5 вьюшек и никаких режектов при резолвинге внешних имён. Диагностикой заняться не пробовали? Или даже мысли такой не было? :) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130606054052.gd3...@sie.protva.ru