Есть сеть, из нее блоками адреса выделены клиентам, я в обранотой зоне для этой сети прописал имена, в таком формате:
ххх PTR gw-firma-mycity.domain.ru.
$GENERATE х-хх $ PTR ххх-ххх-ххх-$.firma-mycity.domain.ru.где domain.ru домен моей фирмы, я его тоже поддерживаю на своих ДНС
Так вот вопрос: нужно ли мне прописывать прямые адреса для этой сети?
Т.е. нужно ли мне в зоне domain.ru прописывать:
gw-firma-mycity A ххх.ххх.ххх.ххх
$GENERATE х-хх.firma-mycity $ A ххх-ххх-ххх-$или не нужно в моей зоне domain.ru прописывать?
У меня сейчас не прописано, вроде работатает, но хочется чтобы красиво все работало, до конца разобратся, совет нужен или ткните носом где почитать нужно как правельно делать.
Что то запутался :(
Не поверю, что никто не знает об этом ничего :(
>Не поверю, что никто не знает об этом ничего :(
вообще-то народ чаще всего прописывает прямую зону, а про обратнку забывает, а здесь наоборот. Может в ступоре? :)
>>Не поверю, что никто не знает об этом ничего :(
>
>
>вообще-то народ чаще всего прописывает прямую зону, а про обратнку забывает, а
>здесь наоборот. Может в ступоре? :)Настройку любого DNS нужно начинать с прямой зоны.
тобишь
SOA - тут всякая лабудаdomain.ru NS ns.domain.ru
domain.ru MX mail.domain.runs.domain.ru A 1.1.1.1
mail.domain.ru A 1.1.1.2
domain.ru A 1.1.1.1
и т.д.или я что-то непонимаю в твоем посте....
>Не поверю, что никто не знает об этом ничего :(а в чем проблема ВЗЯТЬ и почитать документацию, здесь же на opennet.ru
или RFC или еще лучше O'Reilly, все остальное уже как итог можно найти
косвенно из документов ripn.net или nic.ruесли с ПРЯМОЙ зоной все понятно - ответь себе на вопросы:
"Зачем нужна ОБРАТНАЯ зона?"
"Как связаны ПРЯМАЯ и ОБРАТНАЯ зоны?"ответы ВСЕ расставят по своим местам.
Озадачился я с этими зонами наблюдая логи почтовика:
Jun 1 14:10:14 host postfix/smtpd[15501]: warning: ххх.yyy.zzz.226: hostname gw-clien.domain.ru verification failed: hostname nor servname provided, or not knownПотом тут смотрел http://www.dnsstuff.com/ Reverse DNS lookup, увидел
Answer:
ххх.yyy.zzz.226 PTR record: xxx-yyy-zzz-266.domain.ru. [TTL 3600s] [A=None] *ERROR* A record does not point back to original IP.Почитал я на RIPE по прямым и по обратным, там как везде по отдельности... И в доках везеде по отдельности глава про обратную и глава про прямую. А вместе не догоню как связываются. поэтому и прошу помочь расставить точки над Ё
обратка тебе нужна, что бы преобразовать ip в hostname. Прямая наоборот. Соответственно если ты для зоны domain.ru имеешь только обратку, то зарезолвить по человечески domain.ru или почтовый обменник domain.ru ниодин хост не сможет.
>Озадачился я с этими зонами наблюдая логи почтовика:
>Jun 1 14:10:14 host postfix/smtpd[15501]: warning: ххх.yyy.zzz.226: hostname gw-clien.domain.ru verification failed:
>hostname nor servname provided, or not known
>
>Потом тут смотрел http://www.dnsstuff.com/ Reverse DNS lookup, увидел
>Answer:
>ххх.yyy.zzz.226 PTR record: xxx-yyy-zzz-266.domain.ru. [TTL 3600s] [A=None] *ERROR* A record does not
>point back to original IP.
>
>Почитал я на RIPE по прямым и по обратным, там как везде
>по отдельности... И в доках везеде по отдельности глава про обратную
>и глава про прямую. А вместе не догоню как связываются. поэтому
>и прошу помочь расставить точки над Ё
теория за тобой...Если зашел разговор о практике:
1) обратная зона ТОЖЕ требует регистрации, зачем и почему - понятно и
прозрачно (остается теорией на твоей совести)2) обратную зону регистрирует ПОЛУЧАТЕЛЬ сети, по правилам ТОГО где он
получал класс/ы сетей, LIR, AS3) в чем особенность обратной зоны? В том что там ОДНОЗНАЧНОЕ соответствие, ОДНОМУ IP строго соответствует одно ИМЯ (FQDN).
В прямой же зоне у нас масса FQDN может иметь один и тот же IP адресс:
RR=A или RR=CNAMEПочему многие в ряде сервисов проверяют наличие РЕВЕРСА? Ранее лишь
чтобы избежать спуфинга, подмен. Могу ошибаться, но не помню RFC по
которым важные сервисы требуют наличия РЕВЕРСА, касательно SMTP такого
точно нет.
Однако это не может запретить администратором отпинывать соединения
с машин без реверса, потому как это, тем не менее метод.Как проверяют?
- одним достаточно НАЛИЧИЕ реверса как такого
- другие проверяют СООТВЕТСТВИЕ прямой и обратной зоны, например это
используют в MTA (плохо это или хорошо - другой вопрос, 50% можно
набрать "ЗА" и 50% "ПРОТИВ")Пример: допустим у меня есть nameserver который держит ПРЯМЫЕ и ОБРАТНУЮ
зону. Допустим у меня есть ОДНА машина которая имеет МНОГО IP и FQDN
в разных зонах:[unix1]~ > hostname
unix1.jinr.dubna.su
[unix1]~ > nslookup -q=a unix1.jinr.dubna.su.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: unix1.jinr.dubna.su
Address: 159.93.44.57[unix1]~ > nslookup -q=a unix1.jinr.ru.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: unix1.jinr.ru
Address: 159.93.44.57[unix1]~ > nslookup -q=a xnc.dubna.su.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: xnc.dubna.su
Address: 159.93.44.59[unix1]~ >
Допустим я еще держу несколько зон на этом NS. Теперь посмотрим RR=MX:
[unix1]~ > nslookup -q=ptr 159.93.44.57
Server: sunct0.jinr.ru
Address: 159.93.17.13057.44.93.159.in-addr.arpa name = unix1.jinr.ru
93.159.IN-ADDR.ARPA nameserver = ns1.jinr.ru
93.159.IN-ADDR.ARPA nameserver = ns1.dubna.ru
93.159.IN-ADDR.ARPA nameserver = ns2.jinr.ru
ns1.jinr.ru internet address = 159.93.17.7
ns1.dubna.ru internet address = 62.84.100.7
ns2.jinr.ru internet address = 159.93.14.7
[unix1]~ >имен у машины с IP=159.93.44.57 МНОГО, а реверс ОДИН с однозначным
соответствием, см выше RR=PTR:
57.44.93.159.in-addr.arpa name = unix1.jinr.ruИсходя из этого я для ВСЕХ остальных зон почту которых обслуживает ЭТА машина, БУДУ в качестве mail сервера:
RR=MX указывать unix1.jinr.ru
например:
[unix1]~ > nslookup -q=a unix1.jinr.ru.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: unix1.jinr.ru
Address: 159.93.44.57[unix1]~ > nslookup -q=a blues.dubna.su.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: blues.dubna.su
Address: 159.93.44.57[unix1]~ > nslookup -q=mx blues.dubna.su.
Server: sunct0.jinr.ru
Address: 159.93.17.130blues.dubna.su preference = 10, mail exchanger = sunct0.jinr.dubna.su
blues.dubna.su preference = 1, mail exchanger = unix1.jinr.dubna.su
blues.dubna.su nameserver = ns.dubna.su
blues.dubna.su nameserver = ns2.dubna.su
sunct0.jinr.dubna.su internet address = 159.93.17.130
unix1.jinr.dubna.su internet address = 159.93.44.57
ns.dubna.su internet address = 159.93.17.130
ns2.dubna.su internet address = 159.93.17.13
[unix1]~ >Делаю это исходя из соображений СООТВЕТСТВИЯ прямой и обратной зоны
КОНКРЕТНО для ПОЧТЫ. Есть случаи КОГДА можно идти ОТ ОБРАТНОГО.Соответственно, если Я САМ РУЛЮ обратными зонами, а ПРЯМЫЕ ОТДАЮ клиентам,
тогда РЕВЕРС я прописываю ТОТ КОТОРЫЙ нужен КЛИЕНТУ, обычно строгое
соответствие для RR=NS и/или RR=MX, остальные IP в обратной зоне я
не использую до тех пор пока КЛИЕНТ не ПОПРОСИТ.Это всего лишь пример, метод подхода, вариации, варианты - возможны
по ситуациям.Надеюсь понятно, ничего там сложного и завумного нет. Возможны заморочки
лишь с round-robin.
Народ, спасибо, все, кажися улеглось...lavr, спасибо доходчиво и подробно... У меня, в принцыпе так же...
Только я как раз наоборот, в RIPE регестрирую на всех своих клиентов обрантую зону, поднимаю зону у себя на ДНС по формату xxx-yyy-zzz-sss.client-city.mydomain.ru, а если клиент хочет чегото своего, то по просьбе указываю, или просто делегирую управление обратной зоной на его ДНС либо в RIPE либо со своего ДНСа (зависит от его сетки).
>Народ, спасибо, все, кажися улеглось...
>
>lavr, спасибо доходчиво и подробно... У меня, в принцыпе так же...
>Только я как раз наоборот, в RIPE регестрирую на всех своих клиентов
>обрантую зону, поднимаю зону у себя на ДНС по формату xxx-yyy-zzz-sss.client-city.mydomain.ru,
>а если клиент хочет чегото своего, то по просьбе указываю, или
>просто делегирую управление обратной зоной на его ДНС либо в RIPE
>либо со своего ДНСа (зависит от его сетки).чтд (что и требовалось доказать), регистрируй на клиентов, а делегирование
лучше на себя, если РЕАЛЬНО in.addr-arpa ведешь ты, ну вобщем это уже вопросы политики... главное что расставил точки над I :)
Автор шутит.