Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
Очумелые Ручки
OpenBSD
  Демоны
  Web
  Packet Filter
  Настройка
  Установка OpenBSD
  src & ports
  Upgrading OpenBSD
  Шлюз: Часть 1
  Шлюз: Часть 2
  Шлюз: Часть 3
  Шлюз: Часть 4
  Файловая система
Cisco


www.lissyara.su —> статьи —> OpenBSD —> Настройка —> Шлюз: Часть 3

Часть 3 - Тонкая настройка: DNS, DHCP, Dynamic DNS

Автор: BlackCat.


Оглавление

  • 1. Простая настройка dhcpd(8)
  • 2. Более тонкая настройка DNS-сервера
  • 3. Динамическое обновление DNS-записей для локальной сети
  • 4. Список литературы

                                         This is my network.

                                         It is mine
                                         or technically my employer's,
                                         it is my responsibility
                                         and I care for it with all my heart

                                         there are many other networks a lot like mine,
                                         but none are just like it.

                                         I solemnly swear
                                         that I will not mindlessly paste from HOWTOs.

                                           Клятва системного администратора.
                                                  (c) Peter N. M. Hansteen[6]

    Как уже было сказано в первой части, правильно настроенный DNS поможет избежать многих трудностей. Настройка DNS-сервера named(8) по-умолчанию - работает, но простой кэширующий сервер - это только вершина айсберга. Настройка проведена по мотивам статей [1] и [3], сверяясь с [4].

    1. Простая настройка dhcpd(8)

    dhcpd(8) уже входит в поставку, остается только правильно его настроить. Настройка сводится к написанию правильного конфигурационного файла dhcpd.conf(5), и запуска DHCP-сервера на внутреннем интерфейсе. Для начала определимся с параметрами сети и дополнительными опциями, которые будет передавать DHCP-сервер:
  • сеть: 192.168.0.0/24 (маска 255.255.255.0);
  • пул динамически назначаемых адресов: 192.168.0.32 - 192.168.0.127;
  • постоянно назначать IP-адрес* 192.168.0.3 интерфейсу с MAC-адресом 40:00:00:00:00:05;
  • шлюз: 192.168.0.254;
  • домен: internal.lan;
  • DNS-сервер: 192.168.0.254;
  • NTP сервер**: 192.168.0.254.

    * Данный параметр не является обязательным, но так удобнее.
    ** О настройке NTP сервера читать часть 4. WinXP так и не удалось заставить использовать эту опцию.

    В результате получаем конфигурационный файл следующего содержания.

    Листинг 1.1. Конфигурационный файл dhcpd.conf(5)
    # cat /etc/dhcpd.conf
    ##########################################################
    # Simple dhcpd(8) configuration file
    ##########################################################
    
    #
    # Network:              192.168.0.0/24
    # Domain name:          internal.lan
    # Name servers:         192.168.0.254
    # Default router:       192.168.0.254
    # Addresses:            192.168.0.32 - 192.168.0.127
    # NTP Servers:          192.168.0.254
    #
    
    option  domain-name "internal.lan";
    option  domain-name-servers 192.168.0.254;
    option  ntp-servers 192.168.0.254;
    
    subnet 192.168.0.0 netmask 255.255.255.0 {
            option routers 192.168.0.254;
    
            range 192.168.0.32 192.168.0.127;
    
            host workstation {
                    hardware ethernet 40:00:00:00:00:05;
                    fixed-address 192.168.0.3;
            }
    }
    


    Запускаем dhcpd(8) на внутреннем интерфейсе и проверяем его работоспособность.

    Листинг 1.2. Запуск dhcpd(8) на интерфейсе rl1
    # dhcpd rl1


    Если все проверки прошли успешно, добавляем автоматический запуск.

    Листинг 1.3. Старт dhcpd(8) вместе с системой
    # echo dhcpd_flags="rl1" >> /etc/rc.conf.local


    Осталось настроить узлы внутри сети на автоматическое получение настроек через DHCP.

    2. Более тонкая настройка DNS-сервера

    Основные задачи, которые решались при доведении стандартного конфига:
    1. использование только IPv4 (отключить IPv6);
    2. управление сервером только локально;
    3. выполнение запросов только из локальной (внутренней) сети;
    4. разрешение всех имен через корневые сервера (рекурсивные запросы);
    5. разрешение имен из зоны провайдера через DNS-сервера провайдера;
    6. поддержка зоны internal.lan и обратной зоны 0.168.192.in-addr.arpa - локальная сеть.

    Некоторые комментарии относительно каждого пункта:
    1. IPv6 не используется в моей сети, а лишние сервисы - это дыра в системе безопасности;
    2. управлять DNS-сервером буду только со шлюза - еще один элемент безопасности;
    3. без комментариев;
    4. защита от проблем с сервером провайдера (если его скомпрометируют);
    5. сохранение возможности работать с внутренними ресурсами провайдера, если с внешними будут проблемы.
    6. поддерживать внутреннюю зону - полезно;

    Эти комментарии даны для того, что бы вы могли определить ненужные вам настройки и не использовать их.

    Здесь и далее предполагается, что локальный DNS-сервер запущен (см. Часть 1). Пойдем по порядку и выполним первые четыре пункта. В результате получили следующий конфигурационный файл.

    Листинг 2.1. Первая версия named.conf(5)
    # cat /var/named/etc/named.conf
    ########################################################
    # named(8) configuration file
    ########################################################
    
    #
    # Includes
    #
    
    # Load keys
    include "/etc/rndc.key";
    
    #
    # Access lists
    #
    
    acl clients {
            192.168.0.0/24;
            127.0.0.1;
    };
    
    #
    # Global options
    #
    
    options {
            # Hide version
            version "";
            # Listen
            listen-on { clients; };
            # Query permitions
            allow-query { clients; };
            allow-recursion { clients; };
            # Transfer permitions
            allow-transfer { none; };
    };
    
    #
    # Controls
    #
    
    controls {
            inet 127.0.0.1 allow { any; } keys { rndc-key; };
    };
    
    #
    # Standard zones
    #
    
    zone "." {
            type hint;
            file "etc/root.hint";
    };
    
    zone "localhost" {
            type master;
            file "standard/localhost";
            allow-transfer { 127.0.0.1; };
    };
    
    zone "127.in-addr.arpa" {
            type master;
            file "standard/loopback";
            allow-transfer { 127.0.0.1; };
    };
    


    Проверяем правильность конфигурационного файла.

    Листинг 2.2. Проверка правильности named.conf(5)
    # named-checkconf /var/named/etc/named.conf


    Если синтаксических ошибок не обнаружено, перезагружаем конфигурационный файл и проверяем работоспособность DNS-сервера.

    Листинг 2.3. Перезагрузка конфигурации named(8)
    # rndc reload
    server reload successful


    Далее, во исполнении пункта первого, отредактируем rc.conf.local, что бы named(8) запускался с поддержкой только IPv4.

    Листинг 2.4. Запуск named(8) с поддержкой только IPv4
    # grep "named_flags" /etc/rc.conf.local
    named_flags=-4


    Теперь, вручную, перезапустим named(8) с новыми параметрами.

    Листинг 2.5. Перезапуск named(8) с новыми параметрами
    # rndc stop
    # named -4


    Теперь настроим разрешение имен сети провайдера, в первую очередь, через DNS-сервера провайдера, для этого добавим дополнительную зону в named.conf(5). Тип зоны установим "forward" и разрешим выполнять рекурсивный запрос, если DNS сервер провайдера упадет.

    Листинг 2.6. Разрешение имен через DNS-сервер провайдера
    #
    # ISP zones
    #
    
    zone "<isp-domain>" {
            type forward;
            forward first;
            forwarders { <isp-dns-1>; <isp-dns-2>; };
    };
    


  • <isp-domain> - зона (домен) провайдера;
  • <isp-dns-1>, <isp-dns-2> - DNS-сервера провайдера.

    Результирующий конфигурационный файл представлен в листинге 2.7, изменения заключаются только в добавлении новой зоны.

    Листинг 2.7. Полный конфигурационный файл named.conf(5) c поддержкой DNS провайдера
    # cat /var/named/etc/named.conf
    ########################################################
    # named(8) configuration file
    ########################################################
    
    #
    # Includes
    #
    
    # Load keys
    include "/etc/rndc.key";
    
    #
    # Access lists
    #
    
    acl clients {
            192.168.0.0/24;
            127.0.0.1;
    };
    
    #
    # Global options
    #
    
    options {
            # Hide version
            version "";
            # Listen
            listen-on { clients; };
            # Query permitions
            allow-query { clients; };
            allow-recursion { clients; };
            # Transfer permitions
            allow-transfer { none; };
    };
    
    #
    # Controls
    #
    
    controls {
            inet 127.0.0.1 allow { any; } keys { rndc-key; };
    };
    
    #
    # Standard zones
    #
    
    zone "." {
            type hint;
            file "etc/root.hint";
    };
    
    zone "localhost" {
            type master;
            file "standard/localhost";
            allow-transfer { 127.0.0.1; };
    };
    
    zone "127.in-addr.arpa" {
            type master;
            file "standard/loopback";
            allow-transfer { 127.0.0.1; };
    };
    
    #
    # ISP zones
    #
    
    zone "<isp-domain>" {
            type forward;
            forward first;
            forwarders { <isp-dns-1>; <isp-dns-2>; };
    };
    


    Далее проверяем синтаксис и применяем новые настройки (листинг 2.2, листинг 2.3). Теперь самая интересная часть, добавим поддержку DNS для локальной сети. Перед добавлением зон в named.conf(5), напишем сами зоны и сохраним в /var/named/master.
    Написание зоны задача непростая, но данный процесс хорошо описан в [5], а подглядывание в [4] сделает задачу элементарной.

    Листинг 2.8. Описание зоны "internal.lan"
    # cat /var/named/master/internal.lan
    $ORIGIN .
    $TTL    86400   ; 24 hours
    internal.lan    IN SOA  gate.internal.lan. root.gate.internal.lan. (
                            2010022201      ; Serial
                            86400           ; Refresh (24 hours)
                            3600            ; Retry (1 hour)
                            172800          ; Expire (48 hours)
                            3600            ; Minimum (1 hour)
                    )
            NS      gate.internal.lan.
    
    $ORIGIN internal.lan.
    gate    A       192.168.0.254
    

    Листинг 2.9. Описание зоны "0.168.192.in-addr.arpa"
    # cat /var/named/master/0.168.192.in-addr.arpa
    $ORIGIN .
    $TTL    86400   ; 24 hours
    0.168.192.in-addr.arpa  IN SOA  gate.internal.lan. root.gate.internal.lan. (
                                    2010022201      ; Serial
                                    86400           ; Refresh (24 hours)
                                    3600            ; Retry (1 hour)
                                    172800          ; Expire (48 hours)
                                    3600            ; Minimum (1 hour)
                                    )
            NS      gate.internal.lan.
    
    $ORIGIN 0.168.192.in-addr.arpa.
    254     PTR     gate.internal.lan.
    


    Имена файлов могут быть любыми, они не несут конфигурационной нагрузки. Теперь проверяем правильность конфигурации зон.
    В качестве параметров утилите передаются имя зоны и файл с её описанием.

    Листинг 2.10. Проверка конфигурации зон
    # named-checkzone internal.lan /var/named/master/internal.lan
    zone internal.lan/IN: loaded serial 2010022201
    OK
    # named-checkzone 0.168.192.in-addr.arpa \
    /var/named/master/0.168.192.in-addr.arpa
    zone 0.168.192.in-addr.arpa/IN: loaded serial 2010022201
    OK


    Если проверка прошла успешно, переходим к добавлению зон в named.conf(5). Потребуется добавить две зоны, для которых данный сервер будет мастером. Итоговая конфигурация представлена в листинге 2.11.

    Листинг 2.11. Конфигурация с поддержкой внутренних зон (прямой и обратной)
    # cat /var/named/etc/named.conf
    ########################################################
    # named(8) configuration file
    ########################################################
    
    #
    # Includes
    #
    
    # Load keys
    include "/etc/rndc.key";
    
    #
    # Access lists
    #
    
    acl clients {
            192.168.0.0/24;
            127.0.0.1;
    };
    
    #
    # Global options
    #
    
    options {
            # Hide version
            version "";
            # Listen
            listen-on { clients; };
            # Query permitions
            allow-query { clients; };
            allow-recursion { clients; };
            # Transfer permitions
            allow-transfer { none; };
    };
    
    #
    # Controls
    #
    
    controls {
            inet 127.0.0.1 allow { any; } keys { rndc-key; };
    };
    
    #
    # Standard zones
    #
    
    zone "." {
            type hint;
            file "etc/root.hint";
    };
    
    zone "localhost" {
            type master;
            file "standard/localhost";
            allow-transfer { 127.0.0.1; };
    };
    
    zone "127.in-addr.arpa" {
            type master;
            file "standard/loopback";
            allow-transfer { 127.0.0.1; };
    };
    
    #
    # ISP zones
    #
    
    zone "<isp-domain>" {
            type forward;
            forward first;
            forwarders { <isp-dns-1>; <isp-dns-2>; };
    };
    
    #
    # Intranet zones
    #
    
    zone "internal.lan" in {
            type master;
            file "master/internal.lan";
    };
    
    zone "0.168.192.in-addr.arpa" in {
            type master;
            file "master/0.168.192.in-addr.arpa";
    };
    


    Проверяем синтаксис и применяем новую конфигурацию (листинг 2.2, листинг 2.3). Теперь можно проверить работоспособность данной конфигурации.

    Листинг 2.12. Проверка работоспособности конфигурации
    # nslookup gate.internal.lan
    Server: 127.0.0.1
    Address: 127.0.0.1#53

    Name: gate.internal.lan
    Address: 192.168.0.254

    # nslookup 192.168.0.254
    Server: 127.0.0.1
    Address: 127.0.0.1#53

    254.0.168.192.in-addr.arpa name = gate.internal.lan.


    Теперь необходимо проверить работу с одного из узлов локальной сети. После завершения проверок файлы зон можно дополнить описанием новых узлов в сети, по примеру "gate.internal.lan" (одна A запись в прямой зоне и одна PTR запись в обратной зоне).
    Для проверки зон, которые поддерживает named(8), подойдет следующая последовательность действий.

    Листинг 2.13. Просмотр поддерживаемых зон
    # rndc dumpdb -zones
    # cat /var/named/tmp/named_dump.db


    3. Динамическое обновление DNS-записей для локальной сети

    В начале необходимо поставить DHCP-сервер из коллекции пакетов, т.к. входящий в базовую поставку сервер не поддерживает динамического обновления.

    Листинг 3.1. Установка DHCP-сервера из пакета
    # pkg_add -i -v ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386/isc-dhcp-server


    Сервер будет установлен в /usr/local. Теперь необходимо решить вопрос с его автоматическим запуском и при этом избежать конфликта с уже установленным DHCP-сервером. Автор [1] предлагает заменить бинарные файлы старого сервера на новые. Но можно пойти другим путем: дописать команды запуска в rc.local и использовать конфигурационный файл с другим именем, например - dhcpd-isc.conf. Но все по порядку. Начнем с того, что создадим конфигурационный файл для нового сервера. Для этого скопируем старый файл (см. разд. 1.) и после глобальных параметров добавим строку "ddns-update-style none;". В результате должен получиться конфигурационный файл следующего содержания.

    Листинг 3.2. Конфигурационный файл для нового DHCP-сервера
    # cat /etc/dhcpd-isc.conf
    ##########################################################
    # Simple dhcpd(8) configuration file for new DHCP sever
    ##########################################################
    
    #
    # Network:              192.168.0.0/24
    # Domain name:          internal.lan
    # Name servers:         192.168.0.254
    # Default router:       192.168.0.254
    # Addresses:            192.168.0.32 - 192.168.0.127
    # NTP Servers:          192.168.0.254
    #
    
    option  domain-name "internal.lan";
    option  domain-name-servers 192.168.0.254;
    option  ntp-servers 192.168.0.254;
    
    ddns-update-style none;
    
    subnet 192.168.0.0 netmask 255.255.255.0 {
            option routers 192.168.0.254;
    
            range 192.168.0.32 192.168.0.127;
    
            host workstation {
                    hardware ethernet 40:00:00:00:00:05;
                    fixed-address 192.168.0.3;
            }
    }
    


    Проверим работоспособность сервера, перед этим остановив встроенный.

    Листинг 3.3. Остановка старого и запуск нового DHCP-сервера
    # kill `ps axc | grep 'dhcpd' | sed -e 's/^ *\([0-9]*\).*$/\1/'`
    # cp /var/db/dhcpd.leases /var/db/dhcpd-isc.leases
    # /usr/local/sbin/dhcpd -cf /etc/dhcpd-isc.conf -lf /var/db/dhcpd-isc.leases -f -d rl1
    Internet Systems Consortium DHCP Server V3.1.1
    Copyright 2004-2008 Internet Systems Consortium.
    All rights reserved.
    For info, please visit http://www.isc.org/sw/dhcp/
    WARNING: Host declarations are global. They are not limited to the scope you declared them in.
    Wrote 0 deleted host decls to leases file.
    Wrote 0 new dynamic host decls to leases file.
    Wrote 0 leases to leases file.
    Listening on BPF/rl1/01:23:45:67:89:ab/192.168.0/24
    Sending on BPF/rl1/01:23:45:67:89:ab/192.168.0/24
    Sending on Socket/fallback/fallback-net
    ^C


    Теперь, добавим следующие строки в /etc/rc.local после строки "# Add your local startup actions here.".

    Листинг 3.4. Код автозапуска нового DHCP-сервера
    if [ X"${dhcpd_isc_flags}" != X"NO" -a -f /etc/dhcpd-isc.conf ]; then
    	touch /var/db/dhcpd-isc.leases
    	dhcpd_isc_flags="-q -cf /etc/dhcpd-isc.conf \
              -lf /var/db/dhcpd-isc.leases ${dhcpd_isc_flags}"
    	echo -n ' dhcpd-isc';	/usr/local/sbin/dhcpd ${dhcpd_isc_flags}
    fi
    


    Данный код позволяет запускать новый сервер не конфликтуя со старым, единственный минус в том, что параметр dhcpd_isc_flags должен быть равен "NO" или должен отсутствовать файл /etc/dhcpd-isc.conf для того, что бы сервер не запустился. Т.е. для прекращения его автоматического запуска придется приложить некоторые усилия (простым удалением строки не обойтись), но новый сервер ставят и прописывают на автозапуск не для того, что бы держать выключенным.

    После этого удаляем строку "dhcpd_flags" из rc.conf.local (для избежания конфликтов) и добавляем параметр dhcpd_isc_flags с указанием интерфейса для автоматического запуска.

    Листинг 3.5. Заменяем DHCP-сервер при запуске
    # grep -v "dhcpd" /etc/rc.conf.local > /tmp/rc.conf.local
    # cat /tmp/rc.conf.local > /etc/rc.conf.local
    # echo dhcpd_isc_flags="rl1" >> /etc/rc.conf.local


    Единственным способом проверить работоспособность конфигурации - перезагрузить систему. Если все прошло нормально и сервер успешно раздает адреса, то переходим к связыванию DHCP- и DNS-серверов. В начале создадим новый ключ для взаимодействия dhcpd и named.

    Листинг 3.6. Создание нового ключа
    # rndc-confgen > /tmp/new.key
    # grep "secret" /tmp/new.key
    secret "cqzKK8sQDKMkhog4EWC1sA==";
    # secret "cqzKK8sQDKMkhog4EWC1sA==";


    Создадим новый файл в /var/named/etc, который будет содержать сгенерированный ключ, следующего содержания.

    Листинг 3.7. Новый ключ для named(8)
    # cat /var/named/etc/dhcp.key
    key "dhcp-key" {
            algorithm hmac-md5;
            secret "cqzKK8sQDKMkhog4EWC1sA==";
    };
    


    Не забываем о владельце и правах доступа.

    Листинг 3.8. Права доступа к dhcp.key
    # chown root:named /var/named/etc/dhcp.key
    # chmod 640 /var/named/etc/dhcp.key


    Перед разрешением обновления зон необходимо установить корректные права доступа [1,3].

    Листинг 3.9. Установка прав доступа
    # chown -R named:named /var/named/master/


    Далее необходимо подключить новый ключ к named.conf(5) и разрешить обновление зон "internal.lan" и "0.168.192.in-addr.arpa".

    Листинг 3.10. Измененный named.conf(5)
    # cat /var/named/etc/named.conf
    ########################################################
    # named(8) configuration file
    ########################################################
    
    #
    # Includes
    #
    
    # Load keys
    include "/etc/rndc.key";
    include "/etc/dhcp.key";
    
    #
    # Access lists
    #
    
    acl clients {
            192.168.0.0/24;
            127.0.0.1;
    };
    
    #
    # Global options
    #
    
    options {
            # Hide version
            version "";
            # Listen
            listen-on { clients; };
            # Query permitions
            allow-query { clients; };
            allow-recursion { clients; };
            # Transfer permitions
            allow-transfer { none; };
    };
    
    #
    # Controls
    #
    
    controls {
            inet 127.0.0.1 allow { any; } keys { rndc-key; };
    };
    
    #
    # Standard zones
    #
    
    zone "." {
            type hint;
            file "etc/root.hint";
    };
    
    zone "localhost" {
            type master;
            file "standard/localhost";
            allow-transfer { 127.0.0.1; };
    };
    
    zone "127.in-addr.arpa" {
            type master;
            file "standard/loopback";
            allow-transfer { 127.0.0.1; };
    };
    
    #
    # ISP zones
    #
    
    zone "<isp-domain>" {
            type forward;
            forward first;
            forwarders { <isp-dns-1>; <isp-dns-2>; };
    };
    
    #
    # Intranet zones
    #
    
    zone "internal.lan" in {
            type master;
            file "master/internal.lan";
            allow-update { key dhcp-key; };
            max-journal-size 50k;
    };
    
    zone "0.168.192.in-addr.arpa" in {
            type master;
            file "master/0.168.192.in-addr.arpa";
            allow-update { key dhcp-key; };
            max-journal-size 50k;
    };
    


    Проверяем синтаксис и применяем новую конфигурацию.

    Листинг 3.11. Применение новой конфигурации named(8)
    # named-checkconf -t /var/named/ /etc/named.conf
    # rndc reload


    Теперь скопируем ключ dhcp.key в директорию /etc (не забывая о правах).

    Листинг 3.12 Копирование ключа dhcp.key
    # cp /var/named/etc/dhcp.key /etc/
    # chmod 600 /etc/dhcp.key


    Далее, необходимо внести некоторые изменения в конфигурационный файл DHCP-сервера:

  • объявить сервер авторитетным;
  • зафиксировать временные интервалы;
  • подключить ключ;
  • разрешить обновлять записи;
  • указать зоны и DNS-сервера, за них ответственные.

    В результате получим следующий конфигурационный файл.

    Листинг 3.13. Конфигурационный файл DHCP-сервера с поддержкой обновления DNS-записей
    # cat /etc/dhcpd-isc.conf
    ##########################################################
    # Simple dhcpd(8) configuration file for new DHCP sever
    ##########################################################
    
    #
    # Network:              192.168.0.0/24
    # Domain name:          internal.lan
    # Name servers:         192.168.0.254
    # Default router:       192.168.0.254
    # Addresses:            192.168.0.32 - 192.168.0.127
    # NTP Servers:          192.168.0.254
    #
    
    # Include keys
    include "/etc/dhcp.key";
    
    # Set server authoritative
    authoritative;
    
    # Lease timeouts in sec
    default-lease-time 14400;
    max-lease-time 86400;
    
    # Global DDNS options
    ddns-update-style interim;
    ddns-ttl 14400;
    
    # Global host options
    option  domain-name "internal.lan";
    option  domain-name-servers 192.168.0.254;
    option  ntp-servers 192.168.0.254;
    
    # Internal subnet
    subnet 192.168.0.0 netmask 255.255.255.0 {
            # Default gateway
            option routers 192.168.0.254;
    
            # Dynamical assigned address range
            range 192.168.0.32 192.168.0.127;
    
            # DDNS update options
            ignore client-updates;
            ddns-updates on;
            ddns-domainname "internal.lan.";
            ddns-rev-domainname "in-addr.arpa.";
    
            # Static host record
            host workstation {
                    hardware ethernet 40:00:00:00:00:05;
                    fixed-address 192.168.0.3;
            }
    
            # Direct zone update options
            zone internal.lan. {
                    primary 127.0.0.1;
                    key "dhcp-key";
            }
    
            # Reverse zone update options
            zone 0.168.192.in-addr.arpa. {
                    primary 127.0.0.1;
                    key "dhcp-key";
            }
    }
    


    Перезапускаем DHCP-сервер и проверяем, обновляются ли данные при выделении адреса узлу.

    Внимание: записи для узлов со статически указанным IP-адресом обновляться не будут. Такие записи необходимо вручную внести в файлы зон.

    4. Список литературы

    1. Dynamic DNS & DHCP // http://www.bsdguides.org/guides/openbsd/networking/dynamic_dns_dhcp.php
    2. Как правильно настроить DNS // http://www.nbsp.ru/articles/2005/12/14/kak_pravilno_nastroit_dns_chast1.html
    3. The Arda.Homeunix.Net DNS & DHCP Setup // http://www.arda.homeunix.net/dnssetup.html
    4. BIND9 Administrator Reference Manual // https://www.isc.org/files/Bv9.4ARM.pdf
    5. Лукас М. FreeBSD. Подробное руководство, 2-е издание. - Пер. с англ. - СПб.: Символ-Плюс, 2009. - 864 с., ил. // ISBN-10: 5-93286-126-6, ISBN-13: 978-5-93286-126-4, ISBN-13: 978-1-59327-151-0 (англ)
    6. Firewalling with OpenBSD's PF packet filter: Before we start // http://home.nuug.no/~peter/pf/en/preface.html



    Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?f=14&t=24465.

    размещено: 2010-03-01,
    последнее обновление: 2010-10-15,
    автор: BlackCat

    оценить статью:

    konstantine, 2010-10-15 в 4:45:02

    Листинг 2.6. Разрешение имен через DNS-сервер провайдера
    #
    # ISP zones
    #

    zone "<isp-domain>" {
           type forward;
           forward first;
           forwarders { <isp-dns-1>; <isp-dns-2>; };
    };

    Зачем это вообще надо ???

    BlackCat, 2010-10-15 в 8:01:10

    В статье это описано, но повторюсь: "сохранение возможности работать с внутренними ресурсами провайдера, если с внешними будут проблемы". Если требуется более подробный ответ - добро пожаловать на форум (ссылка на обсуждение в конце статьи).


    Оставьте свой комментарий:
    Ваше имя:   *
    e-mail:  
    жирный
    наклонный
    подчёркнутый
    ссылка
    цвет
    Нынешний год:   *
     


  • Хостинг HOST-FOOD

    2014-07-27, lissyara
    gmirror

    Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
    2013-08-20, zentarim
    Scan+Print server FreeBSD 9

    Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
    2011-11-20, BlackCat
    Разъём на WiFi-карту

    Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
    2011-09-14, manefesto
    Настройка git+gitosis

    Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
    2011-08-14, zentarim
    Wi-FI роутер + DHCP + DNS

    Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
    2011-06-15, -ZG-
    Охранная система на FreeBSD+LPT

    В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
    2011-03-13, terminus
    ng_nat

    Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
    2011-02-20, Капитан
    Nagios+Digitemp

    Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
    2011-02-17, Le1
    Zyxel Configuration

    Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
    2011-02-16, fox
    hast carp zfs ucarp cluster

    HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
    2011-02-04, BlackCat
    Восстановление ZFS

    История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
    2011-02-03, Капитан
    1-Wire

    Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
    2011-01-28, Капитан
    Температура в серверной

    Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
    2011-01-21, m4rkell
    Syslog server

    Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
    2011-01-07, lissyara
    Canon/gphotofs

    Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
    2010-12-13, Al
    IPSec

    Описание принципов работы IPSEC и способов аутентификации.
    2010-12-07, manefesto
    FreeBSD on flash

    Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
    2010-12-05, Fomalhaut
    root ZFS, GPT

    Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
    2010-09-05, Cancer
    Настройка аудиоплеера на ximp3

    Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
    2010-08-31, Cancer
    Установка и настройка OpenVPN

    На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
    2010-08-25, manefesto
    freebsd lvm

    Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
    2010-04-30, gonzo111
    proftpd file auth&quota

    Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
    2010-04-22, lissyara
    tw_cli

    Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
    2010-04-14, fox
    MySQL Master+Master

    MySQL (Master Master) and (Master Slave) Как настроить репликацию…
    2010-03-09, terminus
    DNS zones

    Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
    2010-03-09, aspera
    Squid+AD (group access)

    Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
    2010-03-02, BlackCat
    Шлюз: Часть 4

    Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
    2010-03-01, BlackCat
    Шлюз: Часть 3

    Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
    2010-03-01, BlackCat
    Шлюз: Часть 2

    Конфигурация МСЭ pf для проброса портов с изменением порта назначения и без, а так же поддержки активного режима FTP и ограничения максимального размера сегмента
    2010-03-01, BlackCat
    Шлюз: Часть 1

    Быстрая настройка шлюза/маршрутизатора с установлением PPPoE-соединения, поддержкой NAT и DNS-forwarding.
    2010-02-23, Morty
    darkstat

    Простая считалка траффика, со встроенным веб-сервером. Очень маленькая, может делать отчеты трафика по хостам, портам, протоколам, а также строить графики
    2010-01-23, gonzo111
    squid+sams+sqstat

    Пилим squid и sams - примеры конфигов с объяснениями. Установка SqStat.
    2009-12-19, schizoid
    mpd5 + radius + ng_car + Abills

    Настройка pppoe-сервера с биллинговой системой Abills и шейпером ng_car
    2009-11-16, lissyara
    UFS->ZFS

    Удалённая миграция с UFS на ZFS. Загрузка с раздела zfs. Настройка для работы с малым количеством памяти под архитектурой i386.
    2009-11-13, gx_ua
    fusefs-ntfs

    Установка, настройка и использование fusefs-ntfs, драйвер NTFS, предназанченного для монтирования NTFS разделов под FreeBSD
    2009-11-12, Morty
    LiveCD

    Создание собственного LiveCD с необходимыми вам изменениями, автоматизирование данного процесса, а так же вариант скоростной сборки СД.
    2009-09-27, lissyara
    Samba как PDC

    Контроллер домена - аналог M$ NT4 домена под самбой, без использования LDAP и прочей хиромантии. Просто и быстро =)
    2009-08-30, terminus
    ipfw nat

    Подробное руководство по ipfw nat, сложные случаи конфигурации.
    2009-08-24, levantuev
    HotSpot

    Установка Hotspot системы в общественное заведение.
    2009-08-18, lissyara
    diskless

    Создание бездисковых терминалов под управлением FreeBSD - с загрузкой по сети. Используются для старта rdesktop и подключения к виндовому серверу терминалов.
    2009-07-29, BAV_Lug
    Видеонаблюдение

    Настройка бюджетного варианта видеонаблюдения на удаленном объекте
    2009-07-22, Cancer
    OpenLDAP адресная книга

    Настройка и создание адресной книги на базе OpenLDAP + phpLDAPadmin
    2009-06-30, SergeySL
    AimSniff

    Руководство по созданию системы мониторинга ICQ-переписки на базе AimSniff, использующей базу данных MySQL для хранения и Web-интерфейс WAS (Web Aim Sniff) для просмотра перехваченных сообщений
    2009-06-25, atrium
    Управление правами доступа

    Полномочия пользователей и файлов, принадлежащих им, формирует концепцию ОС UNIX.
    2009-06-16, DNK
    Exim+PgSQL

    Установка почтовой системы exim+pgsql на FreeBSD 7.1
    2009-05-30, mvalery
    HDD(mbr) -> HDD(gpt)

    Как разбить диск размером более 2TB на разделы, сделать загрузочным, а затем перенести на него информацию с рабочей системы — донора.
    2009-05-22, Cancer
    SendXMPP

    Отправка сообщений на Джаббер сервер по средствам SendXMPP
    2009-05-11, Raven2000
    Network UPS Tools

    Network UPS Tools представляет собой набор программ, которые обеспечивают общий интерфейс для мониторинга и администрирование UPS оборудования.
    2009-04-29, m0ps
    IPSEC over GRE with RIP

    Пример IPSEC over GRE и динамическим роутингом (RIP), с ADSL в качестве последней мили на оборудовании Cisco.
    2009-04-24, WhiteBear777
    qemu network

    Появилась необходимость поставить на БСД эмулятор(qemu) и настроить в качестве гостевой ОС Windows XP, предоставив ей выход в локалку и в сеть internet...
    2009-04-22, vp
    freebsd + huawei 162 gsm modem

    В статье описывается простой способ подключения модема huawei 162 к freebsd + первичная настройка smstools
    2009-04-12, mvalery
    Мониторинг RAID

    Мониторинг из командной строки RAID компаний AMCC 3ware, HighPoint, Dell (Perc 5/i и PERC 6/i) и LSI (MegaRAID SAS 8408E и SAS1078)
    2009-04-09, texnotronic
    RAID1 via LAN

    Функциональности DRBD во FreeBSD можно добиться примонтировав блочное устройство по сети при помощи GEOM Gate (ggate) и добавив его в зеркало с локальным диском средствами gmirror.
    2009-04-03, Raven2000
    Оптимизация хоста для CMS

    В последнее время на старый и не очень быстрый ПК (Celeron 800 RAM 256) мною было навешано с десяток сайтов и некоторые были из серии тяжелых CMS. И так нам дано FreeBSD 7.1 и ~10 сайтов/CMS.
    2009-04-01, atrium
    VSFTPD + AD && MySQL

    Настройка самого безопасного сервера FTP - vsftpd.
    2009-03-31, Dron
    Peoplenet + C-motech (3G)

    Описание подключения к сети Peoplenet посредством 3G модема С-motech CCu-650U на FreeBSD
    2009-03-25, lissyara
    mod_auth_external

    mod_auth_external - авторизация пользователей в apache c помощью внешней программы - например, системных пользователей.
    2009-03-24, gx_ua
    Lightsquid

    Частично lightsquid может заменить sams: быстрая и простая инсталляция, быстрый парсер, cgi скрипт для динамической генерации отчета, нет привязки к БД, различные графические отчеты, мультиязычный инт
    2009-03-18, LHC
    Установка Zabbix-1.6

    Установка и первоначальная настройка системы мониторинга Zabbix (версия 1.6)
    2009-03-16, Cancer
    Принт-Сервер Samba+LPD & AD

    Простейшая настройка Принт-Сервера на FreeBSD используя Samba+LPD & AD
    2009-03-04, Mad_caterpillar
    ipsec_vpnc

    Настройка VPN IPSec концентратора на FreeBSD 6.2 для клиента cisco с использованием ipsec-tools и авторизацией в активной директории
    2009-02-18, Andy
    Free-SA

    Программа анализирует log файлы Squid'а и формирует по ним отчет.
    2009-02-02, Cancer
    Openfire Jabber Server

    Установка Jabber сервера на примере Openfire
    2009-01-28, Cancer
    mpd5 + сжатие и шифрование

    Установка VPN сервера mpd5 + сжатие и шифрование
    2009-01-26, vp
    freebsd + webcamera

    Подключение и настройка вебмкамеры для работы с freebsd на примере Logitech QCam STX
    2009-01-10, Grishun_U_S
    конфиг для офисов

    В статье разбирается конфиг для офиса, пользователи которого имеют строгие ограничения по портам. Заворачиваем www трафик на транспарентный прокси, а остальное NAT'им. Эффективно делим канал интернет
    2008-12-27, Storoge
    sftp+chroot

    Возникла необходимость дать возможность нескольким пользователям заливать на сервер контент для своих сайтов через sftp, чтобы при этом не страдала безопасность.
    2008-12-13, Morty
    PurefFTPd

    Администрирование pureftpd-сервера с помощью вэб интерфейса Usermanager
    2008-12-11, lissyara
    termlog

    Небольшая простая утилита, использующаяся для записи в файл всего что происходит на терминалах системы. Полезно, когда есть доступ по ssh у тех, кому не очень доверяете. Паранойя - это не плохо =)
    2008-11-26, Cancer
    SQUID+SAMS +Rejik-(ADLDAP)

    Установка Прокси сервера SQUID с красивой мордой SAMS и редиректором REJIK,для учета кто куда ходил + графики в pdf,РЕЖИК собственно рубит банеры и запрещает пользователям ходить на запрещенные сайты,
    2008-11-22, dvg_lab
    php5-oci8

    Решение проблем segmentation fault (core dumped) при работе с oracle8-client и php5-oci8
    2008-11-21, m0ps
    NTP

    Пример настройки NTP сервера для локальной сети и клиента, для синхронизации времени с локальный NTP сервером. Обновление ntpd из портов.
    2008-11-20, Cancer
    SQUID+SAMS +Rejik-(NTLM)

    Установка Прокси сервера SQUID с аутентификацией по NTL с красивой мордой SAMS и редиректором REJIK,для учета кто куда ходил + графики в pdf, РЕЖИК собственно рубит банеры и запрещает пользователям хо
    2008-11-20, UA
    Hotspot

    Настройка безпроводной точки доступа (WiFi) на freebsd
    2008-11-12, Shaman
    Enemy Territory

    Появилась у меня такое желание поднять сервер Enemy Territory. Поискал погуглил, ничего толкового не нашел пришлось все самому делать. И вот решил поделиться опытом. Начинаем......
    2008-11-11, lissyara
    Samba+ NT ACL

    Использование vfs самбы - модули full_audit и recycle. Настройка для использования в качестве файлопомойки с 500+ одновременно работающих юзеров. Раздача прав через нативный виндовый интерфейс.
    2008-11-11, Raven2000
    Upgrading OpenBSD

    Сегодня мы будем обновлять OpenBSD. Систему необходимо поддерживать в актуальном виде и следить, чтобы все работало, как часы и все дырки были залатаны до прихода врага =)
    подписка

        вверх      
    Статистика сайта
    Сейчас на сайте находится: 29 чел.
    За последние 30 мин было: 100 человек
    За сегодня было
    13185 показов,
    816 уникальных IP
     

      Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
      Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

    © lissyara 2006-10-24 08:47 MSK

    Время генерации страницы 0.0676 секунд
    Из них PHP: 57%; SQL: 43%; Число SQL-запросов: 61 шт.
    Исходный размер: 167371; Сжатая: 29563