Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
  настройка
  подсчёт трафика
  программы
  frox
  SARG
  samba & ClamAV
  named
  proftpd
  cacti
  SAMBA+AD+NT ACL
  MySQL
  hylafax
  DDNS+DHCP
  cvsupd
  Samba как PDC
  Основы LDAP
  LDAP+SSL
  LDAP auth
  knockd
  rsync
  MRTG
  Rejik
  Jabber - OpenFire
  Samba(PDC) + Ldap
  squid+AD
  ATSlog
  vsftpd
  LDAP: samba, dns, dhcp
  Free-SA
  cups-samba на samba+AD
  irc + services
  Nagios - мониторинг сети
  TeamSpeak
  icecast2
  verlihub (p2p)
  Icecast2 + Darkice
  OOPS
  vsftpd + mysql
  Amanda
  HAVP
  Рыбалка на FreeBSD
  DNS сервер NSD
  DNS сервер Unbound
  mpd5, msmtp, dynamic ip
  ProFTPd + LDAP
  OpenVPN + LDAP
  Samba (PDC+BDC)
  BIND & AD
  POWERDNS
  3proxy
  eGroupWare
  GLPI
  SugarForge CRM
  Bacula
  Mysql - базовое описание
  Asterisk IP PBX
  Samba & CUPS & AD & ACL
  SMSTools 3
  Samba+ NT ACL
  phpmyadmin
  1С:Предприятие 8.1
  PurefFTPd
  qemu network
  AimSniff
  comms/scmxx
  Zoneminder
  Openfire Jabber Server
  Zoneminder 2
  Принт-Сервер Samba+LPD & AD
  Кластер OpenLDAP 2.4
  Lightsquid
  Установка Zabbix-1.6
  Установка net2ftp
  VSFTPD + AD && MySQL
  Network UPS Tools
  mpd5 L2TP client
  Apache 2.2 as a proxy
  ejabberd+mysql+icq
  HotSpot
  Установка и использование Zenoss на FreeBSD 7.2
  mysql-proxy
  DNS zones
  squid+sams+sqstat
  transmission-daemon
  Squid+AD (group access)
  SysAid Server
  MySQL Master+Master
  proftpd file auth&quota
  usb_modeswitch
  NSDadmin
  iperf Тест скорости между хостами
  Простой факс-сервер mgetty+sendfax
  SQUID-MultiCpuSystem
  vsftpd + system users
  Syslog server
  Температура в серверной
  Nagios+Digitemp
  Avast! FreeBSD
  Настройка git+gitosis
  Firefox SyncServer
  Scan+Print server FreeBSD 9
  proftpd,pgsql,web
  почтовые системы
  Шелезяки
  Мелочи
  Файловая система
  WWW
  Security
  system
  Games Servers
  X11
  Programming
Очумелые Ручки
OpenBSD
Cisco


www.lissyara.su —> статьи —> FreeBSD —> программы —> DNS сервер NSD

Установка и настройка DNS сервера NSD

Автор: terminus.


Версия статьи 1.1

Раньше, по долгу службы приходилось администрировать DNS сервера, и вот недавно вновь появилась такая необходимость — надо было настроить два авторитарных DNS (master + slave) для обслуживания зоны. Сервера должны были смотреть в интернет. Задача: запустить зону и обеспечить автоматическую, секюрную репликацию от master (192.168.0.1) к slave (192.168.0.2). IP адреса серверов, конечно же, вымышленные - реально эти две машины находятся в разных сетях подключенных к интернету.

В качестве ОС однозначно решил использовать FreeBSD 7.0 RELEASE, а вот с выбором DNS сервера для такого ответственного задания, все было не так просто... Дело в том, что BIND я не считаю за DNS сервер которому можно было бы доверить держать зону выставленную в интернет. Это мое субъективное мнение. Просто я стараюсь держаться подальше от софта в котором с периодичностью раз в пол года находят дыры позволяющие удаленно заражать кеш, не говоря уже о проблемах с его производительностью. Был вариант использовать любимый и проверенный временем пакет djbdns (tinydns), но опять же что-то меня остановило. Все хорошо в софте от djb, но развития больше нет — не пишет djb обновлений ни для djbdns ни для qmail, да и как то не хотелось снова замарачиваться с настройкой daemontools.

Выбор пал на авторитарный DNS сервер NSD. Честно сказать я давно присматривался с этому серверу. Недавно снова обратил свое внимание, после того как вышел его брат, DNS ресольвер Unbound. Почитав мануалы на оба этих продукта, пришел в выводу, что не все так грустно в мире DNS, и что у djbdns появилась достойная замена.

С архитектурной точки зрения NSD — это исключительно авторитарный DNS сервер. Он не обслуживает рекурсивные клиентские запросы и ни чего не кеширует. Так же из плюсов стоит отметить его маленькие размеры, скромное потребление ресурсов и большую скорость работы. На счет показателей скорости, сошлюсь на результаты тестов которые не так давно проводил Kris Kennaway http://people.freebsd.org/~kris/scaling/bind-nsd.png Подсчитать же количество потребляемых ресурсов, исходя из размеров зоны, можно здесь: http://www.nlnetlabs.nl/projects/nsd/nsd-memsize.html

Еще один плюс NSD который может пригодиться в будущем - это поддержка стандарта DNSSEC. В данным момент я не использую этот стандарт на авторитарных серверах так как сам по себе механизм DNSSEC еще не внедрен полностью в мировом масштабе (корневая зона не подписана и нет возможности построить цепочку доверия). На пути внедрения DNSSEC есть подвижки, но пока что такие технологии как DLV и ITAR можно рассматривать только как эксперимент. У меня есть базовые знания по внедрению DNSSEC и работе с ним, но на практике дальше запуска в тестовой среде дело не зашло. Если я когда-нибудь соберусь устанавливать поддержку DNSSEC на реальных авторитарных серверах, то дополню статью описав его настройку и применение.

Что же касается минусов, то стоит отметить ограниченную функциональность. Нет никаких view'ов — хочешь чтобы кто-то видел зону так, а кто-то другой по-другому - запускай второй NSD с его данными и разруливай доступ на фаерволе. Нет динамических обновлений. Нет точной статистики по загруженности — только аналог  BIND'овских NSTATS и XSTATS которые выводятся в лог файл (зато в последнюю версию BIND аж, таки свой веб сервер встроили чтобы статистику показывать). Если нужна детальная статистика того кто, что и сколько — разработчики предлагают использовать для этого сторонние утилиты для прямого анализа трафика сервера.

Недавно мною был написан простенький веб интерфейс для администрирования NSD сервера. Подробнее о нем можно прочитать здесь NSDadmin. В данный момент это только еще "альфа версия" (нестабильно и малофункцилнально). Если есть желание попробовать - пожалуйста. :)

В общем быстрого взгляда на опции конфигурации достаточно чтобы понять, что можно сделать с помощью NSD, а что не выйдет. Опций мало, все очень просто.

Так или иначе, мне BIND'овских извращений не надо. Мне надо чтобы работало.

Решено — ставим NSD!


Установка

На момент написания этой статьи, в портах была доступна версия 3.2.1. На всякий случай упомяну процедуру обновления портов. Для версий FreeBSD начиная с 6.2, это удобно делать через portsnap:
# portsnap fetch
# portsnap extract

После обновления портов, ставим NSD традиционным методом:
# cd /usr/ports/dns/nsd
# make install clean

При первой установке, порт предлагает выбрать несколько опций конфигурации. По-умолчанию выбран вполне разумный набор, с которым можно согласиться. Опции же такие:
                Options for nsd 3.2.1
[ ] 	ROOT_SERVER  Configure NSD as a root server
[X] 	LARGEFILE    Enable support for large files
[X] 	IPV6         Enable IPv6 support
[X] 	DNSSEC       Enable DNSSEC
[ ] 	BIND8_STATS  Enable BIND8 like NSTATS & XSTATS
[ ] 	CHECKING     Enable internal runtime checks
[X] 	TSIG         Enable TSIG support
[X] 	NSEC3        Enable NSEC3 support
[ ] 	NSID         Enable NSID support
[X] 	DOCFILES     Enable PORTDOCS
[ ] 	MAXINT       Raise max_interfaces from 8 to 512

ROOT_SERVER — по-умолчанию NSD не разрешает запускать на себе корневую зону. Опция включает такую функциональность.

LARGEFILE - не берусь прокомментировать. В README эта опция описана как "Disable large file support (64 bit file lengths). Makes off_t a 32bit length during compilation" По-умолчанию включена.

DNSSEC - включает функциональность позволяющую подписывать DNS сообщения между серверами на основе шифрования с открытым ключом и использовать другие возможности DNSSEC.

CHECKING - полезно для debug, дополнительные внутренние проверки во время работы. Снижает производительность.

TSIG - включает функциональность позволяющую подписывать DNS сообщения между серверами на основе шифрования с общим симметричным ключом.

NSEC3 - расширение DNSSEC. Механизм пришел на замену NSEC. Используется в "подписаных" зонах для указания несуществующих записей. Старый механизм NSEC после каждой записи вставлял информацию о следующей за ней записи (что приводило к возможности провести энумерацию всех данных в зоне). Механизм NSEC3 вставляет хеш значения вместо текстовых, что исключает возможность проведения энумерации данных в зоне.

NSID - экспериментальное расширение позволяющее вставлять в каждый ответ DNS сервера метку однозначно идентифицирующую DNS сервер. Используется для debug.

DOCFILES - в /usr/loca/share/doc/nsd будет установлен набор полезных руководств.

MAXINT - позволяет указывать до 512 интерфейсов (директива ip-address) на которых сервер будет принимать запросы.

Сервер маленький, компиляция происходит очень быстро. Через пару минут порт будет собран и установлен.

Файлы устанавливаемые портом:

/usr/local/man/man5/nsd.conf.5.gz
/usr/local/man/man8/nsd.8.gz
/usr/local/man/man8/nsdc.8.gz
/usr/local/man/man8/zonec.8.gz
/usr/local/man/man8/nsd-checkconf.8.gz
/usr/local/man/man8/nsd-notify.8.gz
/usr/local/man/man8/nsd-patch.8.gz
/usr/local/man/man8/nsd-xfer.8.gz
/usr/local/etc/nsd/nsd.conf.sample
/usr/local/sbin/nsd
/usr/local/sbin/nsd-checkconf
/usr/local/sbin/nsd-notify
/usr/local/sbin/nsd-patch
/usr/local/sbin/nsd-xfer
/usr/local/sbin/nsdc
/usr/local/sbin/zonec
/usr/local/share/doc/nsd/CREDITS
/usr/local/share/doc/nsd/ChangeLog
/usr/local/share/doc/nsd/LICENSE
/usr/local/share/doc/nsd/NSD-DATABASE
/usr/local/share/doc/nsd/NSD-DIFFFILE
/usr/local/share/doc/nsd/NSD-FOR-BIND-USERS
/usr/local/share/doc/nsd/README
/usr/local/share/doc/nsd/README.icc
/usr/local/share/doc/nsd/RELNOTES
/usr/local/share/doc/nsd/REQUIREMENTS
/usr/local/share/doc/nsd/TESTPLAN
/usr/local/share/doc/nsd/TODO
/usr/local/share/doc/nsd/UPGRADING
/usr/local/share/doc/nsd/coding-style
/usr/local/share/doc/nsd/differences.tex
/usr/local/etc/rc.d/nsd

Установленные инструменты:
nsd		- the daemon itself
nsdc		- a shell script to control the daemon
zonec		- zone compiler
nsd-notify	- a simple C program to send outbound notifies
nsd-xfer	- a program to receive zones from a master server using AXFR 
		from the command line.
nsd-checkconf	- simple C program to check nsd.conf before use.
nsd-patch	- simple program that cleans IXFR changes back to zone files.

Главные инструменты с чем придется работать:
nsdc - главный интерфейс для локального управления демоном 
(аналог BIND'овской ndc)
nsd-checkconf - проверяет корректность конфигурации nsd.conf

# nsdc
Usage: nsdc [-c configfile] {start|stop|reload|rebuild|restart|
                                running|update|notify|patch}
options:
  -c configfile  Use specified configfile 
(default: /usr/local/etc/nsd/nsd.conf)
commands:
   start         Start nsd server.
   stop          Stop nsd server.
   reload        Nsd server reloads database file.
   rebuild       Compile database file from zone files.
   restart       Stop the nsd server and start it again.
   running       Prints message and exit nonzero if server not running.
   update        Try to update all slave zones hosted on this server.
   notify        Send notify messages to all secondary servers.
   patch         Merge zone transfer changes back to zone files.

В процессе установки не создается никаких новых пользователей. NSD сразу же компилится так, чтобы запускаться от имени пользователя bind который уже присутствует в системе

Это все, что касается установки из порта. Далее идет настройка.


Настройка

Как и каждый правильный демон, NSD требует к себе уважения. Это означает, что его хозяину надо прочитать man nsd.conf, составить этот nsd.conf, и составить файлы данных зон. Синтаксис nsd.conf (файла конфигурации NSD) отличается от того, что принято в BIND. Синтаксис файлов зон такой же как и в BIND. NSD может работать в chroot окружении. Я поленился делать отдельный jail для запуска NSD и для большей секюрности решил использовать этот chroot. По умолчанию chroot не задействован.


Далее пошаговое описание настроек сделаных на master сервере


В /usr/local/etc/nsd создаем поддиректории со следующими правами доступа:
[root@master /usr/local/etc/nsd]# ls -la
drwxr-xr-x  	5 root  	wheel  	512 Jun 24 18:22 .
drwxr-xr-x  	5 root  	wheel  	512 Jun 24 11:35 ..
drwxrwx---  	2 root  	bind   	512 Jun 24 13:38 data
-r--r-----  	1 root  	wheel  	935 Jun 24 13:28 nsd.conf
drwxrwx---  	2 root  	bind   	512 Jun 24 16:07 run
drwxr-x---  	4 root  	bind   	512 Jun 24 11:50 zones

Права доступа для ./data такие, потому, что пользователь bind будет писать в нее.
На работающем master сервере там автоматически создаются файлы:
-rw-r--r--  	1 root  	bind    677 Jun 24 13:38 nsd.database
-rw-r--r--  	1 bind  	bind   	1524 Jun 24 14:24 xfrd.state

В директорию ./run на работающем сервере, будет писаться pid
-rw-r--r--  1 	bind 	 	bind     	5 Jun 24 16:07 nsd.pid

Директория zones содержит:
drwxr-x---  	2 root  	bind   	512 Jun 24 13:39 master
drwxr-x---  	2 root  	bind   	512 Jun 24 12:37 slave

Директория slave тут пустая, а в директории master созданы файлы с именами зон:
-rw-r--r--  	1 root  	bind  	1163 Jun 24 13:38 domain.su
-rw-r--r--  	1 root  	bind 	1366 May 10 11:41 0.168.192.in-addr.arpa

Создаем случайный общий ключ который будет использоваться в TSIG подписях при передаче зон между master и slave. Делаем это так:
# dd if=/dev/urandom bs=16 count=1 | openssl base64
1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
6P0hiHgcfHHV/MBiHYtWlA==

Был создан ключ (6P0hiHgcfHHV/MBiHYtWlA==) из 16 случайных символов. Если по какой-либо причине есть желание использовать более длинные ключи то просто увеличивайте значение bs=.

NSD поддерживает такие алгоритмы TSIG подписей: hmac-sha1 hmac-sha256 hmac-md5

Конфигурационный файл nsd.conf на master такой:
server:
        chroot: "/usr/local/etc/nsd"
        ip-address: 0.0.0.0
        ip4-only: yes
        identity: "DNS"
        hide-version: yes
        database: "/usr/local/etc/nsd/data/nsd.database"
        logfile: "/var/log/nsd.log"
        server-count: 4
        pidfile: "/usr/local/etc/nsd/run/nsd.pid"
        zonesdir: "/usr/local/etc/nsd/zones"
        difffile: "/usr/local/etc/nsd/data/ixfr.db"
        xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"

key:
        name: "ns1-ns2.domain.su"
        algorithm: hmac-md5
        secret: "6P0hiHgcfHHV/MBiHYtWlA=="

zone:
        name: "domain.su"
        zonefile: "./master/domain.su"
        notify: 192.168.0.2  ns1-ns2.domain.su
        provide-xfr: 192.168.0.2  ns1-ns2.domain.su

zone:
        name: "0.168.192.in-addr.arpa"
        zonefile: "./master/0.168.192.in-addr.arpa"
        notify: 192.168.0.2  ns1-ns2.domain.su
        provide-xfr: 192.168.0.2  ns1-ns2.domain.su

Файл зоны domain.su на master такой (примерно):
$TTL 1800 ;minimum ttl
domain.su.	IN	SOA	ns1.domain.su. hostmaster.domain.su. (
			2008062414	;serial
			3600	 	;refresh
			9600		;retry
			180000	 	;expire
			600		;negative ttl
			)

		NS		ns1.domain.su.
		NS		ns2.domain.su.
		MX	10	mail
		A		127.0.0.24

ns1		A		192.168.0.1
ns2		A		192.168.0.2
www		A		127.0.0.24
ftp		A		127.0.0.26
mail		A		127.0.0.27

; v konce faila dozhen bit' perevod stroki

Для примера привожу так же и реверс-зону. Соответсвенно, если у вас реверс-зона не используется то и не настраевайте ее. По сути же, разници между настройкой обычной и реверс-зоны в NSD нет.

Файл реверс-зоны 0.168.192.in-addr.arpa на master такой (примерно):
$TTL 1800 ;minimum ttl
0.168.192.in-addr.arpa. IN      SOA     ns1.domain.su. hostmaster.domain.su. (
                                2009051001      ;serial
                                3600            ;refresh
                                9600            ;retry
                                180000          ;expire
                                600             ;negative ttl
                                )

                NS              ns1.domain.su.
                NS              ns2.domain.su.

1               PTR             ns1.domain.su.
2               PTR             ns2.domain.su.
3               PTR             host.domain.su.
4               PTR             mail.domain.su.

; v konce faila dozhen bit' perevod stroki

После создания nsd.conf и файла зоны, необходимо выполнить:
# nsd-checkconf /usr/local/etc/nsd/nsd.conf

Если нет сообщений об ошибках то создаем базу nsd.database в которой собственно и будут храниться данные о записях зоны:
# nsdc rebuild
zonec: reading zone "0.168.192.in-addr.arpa".
zonec: processed 7 RRs in "0.168.192.in-addr.arpa".
zonec: reading zone "domain.su".
zonec: processed 11 RRs in "domain.su".

zonec: done with 0 errors.

После этого база /usr/local/etc/nsd/data/nsd.database будет создана.

Вносим в /etc/rc.conf строку nsd_enable="YES" и запускаем сервер:
# /usr/local/etc/rc.d/nsd start

После этого создадутся файлы:
/usr/local/etc/nsd/run/nsd.pid
/usr/local/etc/nsd/data/xfrd.state
/var/log/nsd.log

Проверяем что сервер запустился:
# netstat -an | grep 53
tcp4       0      0 *.53         *.*          LISTEN
udp4       0      0 *.53         *.*

Все в порядке — master работает. Стоит проверить вывод ps auxw (там будет видно шесть процессов nsd), и /var/log/nsd.log, а так же через nslookup поспрашивать новый сервер и убедиться, что все ок.


Далее пошаговое описание настроек сделаных на slave сервере


В /usr/local/etc/nsd создаем поддиректории со следующими правами доступа:
[root@slave /usr/local/etc/nsd]# ls -la
drwxr-xr-x  	5 root  	wheel  	512 Jun 24 18:22 .
drwxr-xr-x  	5 root  	wheel  	512 Jun 24 11:35 ..
drwxrwx---  	2 root  	bind   	512 Jun 24 13:38 data
-r--r-----  	1 root  	wheel  	935 Jun 24 13:28 nsd.conf
drwxrwx---  	2 root  	bind   	512 Jun 24 16:07 run
drwxr-x---  	4 root  	bind   	512 Jun 24 11:50 zones

Права доступа для ./data такие потому, что пользователь bind будет писать в нее. На работающем slave сервере там автоматически создаются файлы:
-rw-r--r--  	1 bind  	bind    604 Jun 24 19:09 ixfr.db
-rw-r--r--  	1 root  	bind    677 Jun 24 13:38 nsd.database
-rw-r--r--  	1 bind  	bind   	1524 Jun 24 14:24 xfrd.state

В директорию ./run на работающем сервере, будет писаться pid
-rw-r--r--  1 	bind 	 	bind     	5 Jun 24 16:07 nsd.pid

Директория zones содержит:
drwxr-x---  	2 root 	 	bind   	512 Jun 24 13:39 master
drwxr-x---  	2 root  	bind   	512 Jun 24 12:37 slave

Обе директории master и slave пока пустые:


Конфигурационный файл nsd.conf на slave такой:
server:
        chroot: "/usr/local/etc/nsd"
        ip-address: 0.0.0.0
        ip4-only: yes
        identity: "DNS"
        hide-version: yes
        database: "/usr/local/etc/nsd/data/nsd.database"
        logfile: "/var/log/nsd.log"
        server-count: 4
        pidfile: "/usr/local/etc/nsd/run/nsd.pid"
        zonesdir: "/usr/local/etc/nsd/zones"
        difffile: "/usr/local/etc/nsd/data/ixfr.db"
        xfrdfile: "/usr/local/etc/nsd/data/xfrd.state"

key:
        name: "ns1-ns2.domain.su"
        algorithm: hmac-md5
        secret: "6P0hiHgcfHHV/MBiHYtWlA=="

zone:
        name: "domain.su"
        zonefile: "./slave/domain.su"
        allow-notify: 192.168.0.1  ns1-ns2.domain.su
        request-xfr: AXFR 192.168.0.1  ns1-ns2.domain.su

zone:
        name: "0.168.192.in-addr.arpa"
        zonefile: "./slave/0.168.192.in-addr.arpa"
        allow-notify: 192.168.0.1  ns1-ns2.domain.su
        request-xfr: AXFR 192.168.0.1  ns1-ns2.domain.su

После создания nsd.conf необходимо выполнить:
# nsd-checkconf /usr/local/etc/nsd/nsd.conf

Если нет сообщений об ошибках то создаем базу nsd.database в которой собственно и будут храниться данные о записях зоны:
# nsdc rebuild
zonec: reading zone "domain.su".
warning: slave zone domain.su with no zonefile 
'./slave/domain.su'
(No such file or directory) will force zone transfer.
zonec: processed 0 RRs in "domain.su".
zonec: reading zone "0.168.192.in-addr.arpa".
warning: slave zone domain.su with no zonefile 
'./slave/0.168.192.in-addr.arpa'
(No such file or directory) will force zone transfer.
zonec: processed 0 RRs in "0.168.192.in-addr.arpa".

zonec: done with 0 errors.

После этого база /usr/local/etc/nsd/data/nsd.database будет создана

Вносим в /etc/rc.conf строку nsd_enable="YES" и запускаем сервер:
# /usr/local/etc/rc.d/nsd start

После этого создадутся файлы:
/usr/local/etc/nsd/run/nsd.pid
/usr/local/etc/nsd/data/xfrd.state
/var/log/nsd.log

Проверяем что сервер запустился:
# netstat -an | grep 53
tcp4       0      0 *.53         *.*          LISTEN
udp4       0      0 *.53         *.*

Все в порядке — slave работает. Стоит проверить ps auxw (там будет видно шесть процессов nsd), и /var/log/nsd.log.


Последний шаг чтобы убедиться, что репликация между master и slave происходит как надо - заходим на master, открываем текстовый файл зоны /usr/local/etc/nsd/zones/master/domain.su и меняем там строку с серийным номером. Сохраняем файл зоны и выполняем:
# nsdc rebuild
# nsdc reload

Эта процедура пересоздает базу nsd.database на master (вносит туда изменения из отредактированного файла зоны) и отправляет сообщение NOTIFY на slave. Получив такое сообщение, slave запросит произвести AXFR передачу с master (192.168.0.1) и сохранит полученные данные в ixfr.db. Это важный момент! На slave база ixfr.db является своего рода логом транзакций полученных с master. Сразу после этого slave может обслуживать запросы. Текстовые файлы с данными пока еще НЕ созданы в директории ./zones/slave/

Завершающий штрих который необходимо сделать на slave сервере — это внести в crontab root'a (/etc/crontab) выполнение такой команды:
5       5       *       *       *    root   /usr/local/sbin/nsdc patch

Команда nsdc patch выполняет две операции:
1 Переносит данные из лога ixfr.db в базу nsd.database, после чего удаляет лог.
2 Создает текстовые файлы с данными зон в ./zones/slave/domain.su и ./zones/slave/0.168.192.in-addr.arpa


Можно было бы не писать, но все же упомяну - все дальнейшие изменения в записях зоны domain.su вносятся в текстовый файл ./zones/master/domain.su на master сервере, после чего для перестройки базы и ее репликации на slave, выполняется тот же самый цикл команд:
# nsdc rebuild
# nsdc reload

Если в будущем к уже имеющимся зонам захочется добавить новую зону, и точно так же обеспечить ее репликацию между master и slave серверами, то последовательность действий такая:

1 Редактируем nsdc.conf на master сервере: по подобию со старыми записями, добавляем туда соответвующие записи для новой зоны, а так же генерируем и добавляем новый TSIG ключ.
2 Создаем на master сервере текстовый файл ./zones/master/novaja.zona с записями для новой зоны.
3 Выполняем на master сервере последовательность команд nsdc rebuild && nsdc reload && nsdc restart (перестраемаем бинарную базу, подгружаем ее в память, перезапускаем демона).

4 Редактируем nsdc.conf на slave сервере. По подобию со старыми записями, добавляем туда соответвующие записи для новой зоны, а так же добавляем новый TSIG ключ который уже был сгенерирован на master.
5 Выполняем на slave сервере nsdc restart (перезапускаем демона).

6 Выполняем на master сервере команду nsdc notify, а на slave сервере проверяем получил ли он данные с master (или с помошью nslookup спрашиваем slave про новую зону, или выполняем на slave команду nsdc patch и смотрим создались ли корректные текстовые файлы в ./zones/slave/novaja.zona)

После выполнения такой последовательности новая зона должна будет корректно реплицироваться между серверами используя при этом отдельный TSIG ключ.


Замечания

Почитав файлы README и NSD-FOR-BIND-USERS из комплекта поставки NSD удалось просветлиться по поводу таких моментов:

То, является ли зона типа master или типа slave определяется директивой request-xfr - у master ее нет, у slave она должна быть.

NSD master не поддерживает инкрементные передачи IXFR, поддерживаются только полные AXFR передачи. Если мастер (как в данном примере) работает под NSD, то в конфиге slave появляется request-xfr: AXFR 192.168.0.1  ns1-ns2.domain.su

Директива provide-xfr на master эквивалентна директивам allow-transfer и server для BIND

В BIND ассоциация TSIG ключей происходит с IP сервера с которым производится коммуникация. В NSD TSIG ключи ассоциируются с ALC записями и соответствующие ключи используются при проведении различных запросов/ответов. Таким образом при работе с одним сервером можно применять одни ключи для оповещении о изменении зоны, и другие ключи при передаче данных зоны (своя пара для notify; allow-notify и своя для provide-xfr; request-xfr)!

На TSIG запросы отсылаются TSIG ответы.

В отличии от BIND, где адреса slave серверов определяются непосредственно из данных зоны (какие NS там указаны, такие значит у зоны slave), в NSD это определяется только из настроек в nsd.conf (кто указан в параметрах notify - тот и slave).

xfrd.state - файл-состояния используемый на slave для отслеживания истечения срока годности записей slave зоны.

NSD может принимать и отвечать на рекурсивные запросы, но только для тех зоны, которые запущены на нем. Никакие другие рекурсивные запросы не обслуживаются.

Директивы notify и provide-xfr являются необязательными. Если по какой-то причине есть желание запустить мастер сервер у которого нет слейвов (и соответсвенно некому слать уведомления о изменениях в зоне), то можно их не указывать. В таком случае так же нет необходимости в TSIG ключах.

Запуск сервера производится через стандартный rc скрипт /usr/local/etc/rc.d/nsd start. Управление в процессе работы и остановка производятся через сервисную утилиту nsdc.

Недавно был найден первый и единственный баг в безопасности NSD. В версии NSD 3.2.2 было исправлено однобайтовое переполнение буфера - ошибка присутсвующая во многих версиях NSD начиная с NSD 2.0.0 до NSD 3.2.1. Эта ошибка могла быть использована для проведения атак с целью вызвать отказ в обслуживании и падение процесса сервера.

Важно чтобы на мастер и слейв серверах была запущена синхронизация времени так как TSIG подписи имеют срок жизни - если в системном времени серверов будет расхождение, то зоны не будут реплицироваться!

Имена TSIG ключей используемых между мастером и слейвом должны совпадать - иначе такой ключ не будет принят.

При добавлении записей в зону достаточно выполнять nsdc rebuild && nsdc reload. При изменениях в конфигурационном файле (добавление/удаление зон, серверов или ключей) надо полностью перезапускать сервер через nsdc restart



Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?t=9382.

размещено: 2008-06-25,
последнее обновление: 2010-06-20,
автор: terminus

оценить статью:

Kolesya, 2008-10-13 в 8:40:52

+1
Упустил настройку для нескольких зон. Пробовал у себя, получилось только с одной "key"-секцией для всех зон.

terminus, 2008-10-13 в 12:33:17

То есть как - создав еще один key: он не позволял использовать его с новыми зонами?
Блин - так не должно быть... Я проверю, и потом исправлю статью, если что.

Kolesya, 2008-10-14 в 14:51:23

В конце файла зоны должен обязательно быть перевод строки, иначе ругается

terminus, 2008-10-19 в 13:54:23

Я сейчас попробовал запустить еще одну зону с отдельным TSIG ключем, и все вроде получилось... У меня он корректно работает в такой конфигурации - репликация между мастером и слейвом идет.
Заметил одни грабли с добавлением новой зоны - пока не сделать restart как мастеру так и слейву, они не начинали обмен данными для новой зоны. Чуть поправлю статью - внесу пример с добавлением зон.

Andrey, 2009-09-03 в 9:41:38

Terminus, спасибо за статью. Но у меня почему то не получается выполнение команды nsd-checkconf /usr/local/etc/nsd/nsd.conf.
Пишет /usr/local/etc/nsd/nsd.conf:19: error: syntax error
В строке 19 файла nsd.conf вот что:

key:
       name: "ns1.clover.local"
       algorithm: hmac-md5
       secret: "3bt0qx18jKS/KHKpUgqeXg=="
А вот результат выполнения команды
dd if=/dev/urandom bs=16 count=1 | openssl base64

1+0 records in
1+0 records out
16 bytes transferred in 0.000068 secs (235470 bytes/sec)
3bt0qx18jKS/KHKpUgqeXg=="

Не подскажите в чем возможна ошибка?
Хочу добавить, что я только вторую неделю юзаю FreeBSD и я не опытный пользователь :(


gpnoz, 2009-10-15 в 23:30:23

По данной статье все собралось и заработало. Ни на что не ругалось. жду обновление зон.

Klop, 2009-12-09 в 10:28:54

В файлах зон перевод строки обязателен, иначе error. :-)

kirgudu, 2010-03-12 в 15:07:21

Тормозное поделище. bind жрет меньше памяти и нет всяких убийственных процессов в виде компиляции зон и прочей ерунды. В авторитативном, тредовом варианте работает лучше nsd. В добавок ixfr кривой.

An, 2011-04-22 в 16:52:59

Конфигурационный файл nsd.conf на master такой:

У меня ругался на 26 строку. Синтаксис эррор и все. Пришлось стереть слово «zone:» которое было на этой строке. Ну и помогло. FreeBSD 8.1-RELEASE х64

An, 2011-04-22 в 16:54:58

root@ /usr/home/username> nsd-checkconf /usr/local/etc/nsd/nsd.conf
/usr/local/etc/nsd/nsd.conf:26: error: syntax error
/usr/local/etc/nsd/nsd.conf:26: error: last zone has no name
/usr/local/etc/nsd/nsd.conf:26: error: last zone has no zonefile
read /usr/local/etc/nsd/nsd.conf failed: 3 errors in configuration file

terminus, 2011-04-22 в 18:43:27

Так это - может конфиг скопировали неполностью или с ошибкой?

Если на 26й строке было только ключевое слово zone: без ничего, то это ошибка - зона без указания имени и файла с данными...

DarkHost, 2011-11-30 в 17:38:56

Дело в том, что BIND я не считаю за DNS сервер которому можно было бы доверить держать зону выставленную в интернет.
Паранойя цветет буйным цветом.

Pandora, 2011-12-21 в 4:46:35

есть проще решение для тех кто переходит с бинда

bind2nsd = http://bind2nsd.sourceforge.net/

skeletor, 2012-10-22 в 18:17:52

А можно как-то обойтись без nsdc patch? Хотелось бы получать изменения на сервере сразу, а не через пару минут.

WHAT CAN BE BETTE THEN SEX, 2014-05-05 в 15:12:59

NSD все еще такой же крутой как и был или бинд уже нормально сделали?


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)

Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
2010-03-02, BlackCat
Шлюз: Часть 4

Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
2010-03-01, BlackCat
Шлюз: Часть 3

Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
2010-03-01, BlackCat
Шлюз: Часть 2

Конфигурация МСЭ pf для проброса портов с изменением порта назначения и без, а так же поддержки активного режима FTP и ограничения максимального размера сегмента
2010-03-01, BlackCat
Шлюз: Часть 1

Быстрая настройка шлюза/маршрутизатора с установлением PPPoE-соединения, поддержкой NAT и DNS-forwarding.
2010-02-23, Morty
darkstat

Простая считалка траффика, со встроенным веб-сервером. Очень маленькая, может делать отчеты трафика по хостам, портам, протоколам, а также строить графики
2010-01-23, gonzo111
squid+sams+sqstat

Пилим squid и sams - примеры конфигов с объяснениями. Установка SqStat.
2009-12-19, schizoid
mpd5 + radius + ng_car + Abills

Настройка pppoe-сервера с биллинговой системой Abills и шейпером ng_car
2009-11-16, lissyara
UFS->ZFS

Удалённая миграция с UFS на ZFS. Загрузка с раздела zfs. Настройка для работы с малым количеством памяти под архитектурой i386.
2009-11-13, gx_ua
fusefs-ntfs

Установка, настройка и использование fusefs-ntfs, драйвер NTFS, предназанченного для монтирования NTFS разделов под FreeBSD
2009-11-12, Morty
LiveCD

Создание собственного LiveCD с необходимыми вам изменениями, автоматизирование данного процесса, а так же вариант скоростной сборки СД.
2009-09-27, lissyara
Samba как PDC

Контроллер домена - аналог M$ NT4 домена под самбой, без использования LDAP и прочей хиромантии. Просто и быстро =)
2009-08-30, terminus
ipfw nat

Подробное руководство по ipfw nat, сложные случаи конфигурации.
2009-08-24, levantuev
HotSpot

Установка Hotspot системы в общественное заведение.
2009-08-18, lissyara
diskless

Создание бездисковых терминалов под управлением FreeBSD - с загрузкой по сети. Используются для старта rdesktop и подключения к виндовому серверу терминалов.
2009-07-29, BAV_Lug
Видеонаблюдение

Настройка бюджетного варианта видеонаблюдения на удаленном объекте
2009-07-22, Cancer
OpenLDAP адресная книга

Настройка и создание адресной книги на базе OpenLDAP + phpLDAPadmin
2009-06-30, SergeySL
AimSniff

Руководство по созданию системы мониторинга ICQ-переписки на базе AimSniff, использующей базу данных MySQL для хранения и Web-интерфейс WAS (Web Aim Sniff) для просмотра перехваченных сообщений
2009-06-25, atrium
Управление правами доступа

Полномочия пользователей и файлов, принадлежащих им, формирует концепцию ОС UNIX.
2009-06-16, DNK
Exim+PgSQL

Установка почтовой системы exim+pgsql на FreeBSD 7.1
2009-05-30, mvalery
HDD(mbr) -> HDD(gpt)

Как разбить диск размером более 2TB на разделы, сделать загрузочным, а затем перенести на него информацию с рабочей системы — донора.
2009-05-22, Cancer
SendXMPP

Отправка сообщений на Джаббер сервер по средствам SendXMPP
2009-05-11, Raven2000
Network UPS Tools

Network UPS Tools представляет собой набор программ, которые обеспечивают общий интерфейс для мониторинга и администрирование UPS оборудования.
2009-04-29, m0ps
IPSEC over GRE with RIP

Пример IPSEC over GRE и динамическим роутингом (RIP), с ADSL в качестве последней мили на оборудовании Cisco.
2009-04-24, WhiteBear777
qemu network

Появилась необходимость поставить на БСД эмулятор(qemu) и настроить в качестве гостевой ОС Windows XP, предоставив ей выход в локалку и в сеть internet...
2009-04-22, vp
freebsd + huawei 162 gsm modem

В статье описывается простой способ подключения модема huawei 162 к freebsd + первичная настройка smstools
2009-04-12, mvalery
Мониторинг RAID

Мониторинг из командной строки RAID компаний AMCC 3ware, HighPoint, Dell (Perc 5/i и PERC 6/i) и LSI (MegaRAID SAS 8408E и SAS1078)
2009-04-09, texnotronic
RAID1 via LAN

Функциональности DRBD во FreeBSD можно добиться примонтировав блочное устройство по сети при помощи GEOM Gate (ggate) и добавив его в зеркало с локальным диском средствами gmirror.
2009-04-03, Raven2000
Оптимизация хоста для CMS

В последнее время на старый и не очень быстрый ПК (Celeron 800 RAM 256) мною было навешано с десяток сайтов и некоторые были из серии тяжелых CMS. И так нам дано FreeBSD 7.1 и ~10 сайтов/CMS.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 29 чел.
За последние 30 мин было: 100 человек
За сегодня было
13185 показов,
816 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0669 секунд
Из них PHP: 52%; SQL: 48%; Число SQL-запросов: 77 шт.
Исходный размер: 243808; Сжатая: 40368