Итак, прочитав немного и много, получив заворот мозгов решил сделать так:
ДАНО
1 - домен, выделенный провайдером (my.domain.net)
2 - белый айпи, выданный провайдером (называем его айпи_выданный_провайдером)
3 - ДНС-ы, выданные провайдером (ДНС_провайдера_1 ДНС_провайдера_2 ДНС_провайдера_3)ДЕЛАЮ:
etc/namedb/named.conf
options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";listen-on { 127.0.0.1;
IP_интерфейса_ФриБСД_в_локалку;
IP_интерфейса_ФриБСД_в_АДСЛ_модем; };forwarders {
ДНС_провайдера_1;
ДНС_провайдера_2;
ДНС_провайдера_3;
};// хэндбук - ничего не менял
zone "." {
type hint;
file "named.root";
};zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
type master;
file "master/localhost-v6.rev";
};// моя зона
// An my.domain.net master zone
zone "my.domain.net" {
type master;
file "master/my.domain.net";
allow-transfer { айпи_выданный_провайдером; };
};// обратная зона для этого хоста
zone "айпи_выданный_провайдером_задом-нперед.in-addr.arpa" {
type master;
file "master/айпи_выданный_провайдером_задом-нперед.rev";
};Файлы master/localhost.rev и master/localhost-v6.rev оставил по умолчанию,
ничего в них не менял
Хотя терзают сомнения меняфайл
master/my.domain.net$TTL 3600 ; 1 hour
my.domain.net. IN SOA ns1.my.domain.net. admin.my.domain.net. (
2010031701 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum TTL
); DNS Servers
IN NS ns1.my.domain.net.; MX Records
IN MX 10 mx.my.domain.net.
IN MX 20 mail.my.domain.net.
; не совсем ясно, почему используется две МХ записи?IN A айпи_выданный_провайдером
; Machine Names
localhost IN A 127.0.0.1
ns1 IN A IP_интерфейса_ФриБСД_в_локалку
mx IN A IP_интерфейса_ФриБСД_в_локалку
mail IN A IP_интерфейса_ФриБСД_в_локалку
Файл
master/айпи_выданный_провайдером_задом-нперед.rev
$TTL 3600айпи_выданный_провайдером_задом-нперед.in-addr.arpa. IN SOA ns1.my.domain.net. admin.my.domain.net. (
2010031701 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
3600 ) ; MinimumIN NS ns1.my.domain.net.
1 IN PTR my.domain.net.
2 IN PTR ns1.my.domain.net.
3 IN PTR mx.my.domain.net.
4 IN PTR mail.my.domain.net.
Все!
С этим завтра попытаюсь взлететь.
Буду благодарен, если многоуважаемые Гуру от ФриБСД заметят грубые ошибки,
и поправят меня.
>Итак, прочитав немного и много, получив заворот мозгов решил сделать так:
>ДАНО
>1 - домен, выделенный провайдером (my.domain.net)
>2 - белый айпи, выданный провайдером (называем его айпи_выданный_провайдером)
>3 - ДНС-ы, выданные провайдером (ДНС_провайдера_1 ДНС_провайдера_2 ДНС_провайдера_3)
>
>ДЕЛАЮ:
>
>Буду благодарен, если многоуважаемые Гуру от ФриБСД заметят грубые ошибки,
>и поправят меня.Не являюсь гуру, тем более фрибсд. Тем не менее в ваших настройках не смог найти НИЧЕГО конструктивного. Поправить можно ошибки, а не набор бессмысленных строк.
Сначала сформулируйте задачу: что вам нужно от этого днс? Может быть, она не тривиальна, и станет понятен смысл ваших настроек?
>Не являюсь гуру, тем более фрибсд. Тем не менее в ваших настройках
>не смог найти НИЧЕГО конструктивного. Поправить можно ошибки, а не набор
>бессмысленных строк.
>Сначала сформулируйте задачу: что вам нужно от этого днс? Может быть, она
>не тривиальна, и станет понятен смысл ваших настроек?Нужно почтовый сервер сделать
МХ записи провайдер не предоставил.
Собственно из-за этого огороды городимКонструктива там искать нет смысла.
Да и какой конструктив может предложить человек, с опытом равным 1,5 недели?Хотелось услышать на верном ли я пути. В чем бессмысленность моих строк.
Но, тем не менее, спасибо за отклик!
>Нужно почтовый сервер сделать
>МХ записи провайдер не предоставил.
>Собственно из-за этого огороды городим
>Насколько я вас понял, провайдер выделил вам зону и прописал ее как подзону в своем днс.
В самом простом случае схема примерно такая:
В файле зоны нужно указать по меньшей мере одну MX запись на ваш почтовый сервер, и запись A для этого имени, указывая адрес, выданный провайдером (как я понимаю, должен быть виден из вне). Обратную зону для провайдерского адреса вы указывать не можете, так как не владеете соответствующей подзоной.Кроме того, вы можете, если это нужно, добавить зону с любым именем для разрешения внутренних адресов (видимо, серых). Здесь вы полный хозяин и можете настраивать и прямую и обратную зоны.
PS.
Ваш файл зоны с миним. изменениями, если я угадал, что вам нужно.файл
master/my.domain.net...
; DNS Servers
IN NS ns1.my.domain.net.; MX Records
IN MX 20 mail.my.domain.net.; Machine Names
ns1 IN A IP_интерфей_прова
mail IN A IP_интерфейс_прова
Спасибо за ответ!
а еще можно настроить через view разное видение зон снаружи и изнутрипримерно вот так:
options {
version "UNIX DNS Server";
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";listen-on { xxx.xxx.xxx.xxx;
};forwarders { yyy.yyy.yyy.yyy;
};};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; }
keys { "rndc-key"; };
};include "/etc/namedb/rndc.key";
view "internal" {match-clients { localnet;};
recursion yes;zone "." {
type hint;
file "named.root";
};zone "0.0.127.in-addr.arpa" {
type master;
notify no;
file "master/localhost.rev";
allow-transfer { none; };
allow-update { none; };
};zone "my.domain.net" {
type master;
file "master/int/my.domain.net.rev";
allow-query { localnet; };
allow-transfer { localnet; };
allow-update { none; };
};zone "localnet" {
type master;
file "master/int/localnet.rev";
allow-query { localnet; };
allow-transfer { localnet; };
allow-update { none; };
};zone "1.168.192.in-addr.arpa" {
type master;
file "master/int/1.168.192.in-addr.arpa.rev";
allow-query { localnet; };
allow-transfer { localnet; };
allow-update { none; };
};};
/* #################################################### */
view "external" {match-clients { any; };
recursion no;zone "my.domain.net" {
type master;
file "master/ext/my.domain.net.rev";
allow-transfer { none; };
allow-update { none; };
allow-query { any; };
};};
теперь снаружи my.domain.net - адрес провайдера, а изнутри - адрес локалки
и можешь остальные компы из локалки прописывать в зонах, снаружи их никто не увидит
добавкаacl localnet { 192.168.1.0/24;
localhost;
};
>добавкаcпасибо!
Добрый вечер,У меня появилась такая же задача, но под Linux Debian 5.0.
1. ADSL модем провайдера
2. IP статический + dns провайдера
3. Парочка купленных доменов, которые нужно прикрутить на сервер.Модем сейчас настроен в качестве роутера и на нем включен NAT ( 4 порта lan).
Хотелось бы чтобы помимо сервера, в интернет выходило еще пару компов.Будут ли какие отличия в настройках?
А вы не путайте котлеты с котлетами из мух. нат и днс - вещи разные. От того, что вы настроите днс в инет новые компы хотит не станут.
>А вы не путайте котлеты с котлетами из мух. нат и днс
>- вещи разные. От того, что вы настроите днс в инет
>новые компы хотит не станут.В какую сторону мне двигаться чтобы узнать ответ? :)
>>А вы не путайте котлеты с котлетами из мух. нат и днс
>>- вещи разные. От того, что вы настроите днс в инет
>>новые компы хотит не станут.
>
>В какую сторону мне двигаться чтобы узнать ответ? :)На юг, там теплее и снег чище :) Приятнее будет доки читать...
Вам надо определиться с конкретным вопросом, на который вы хотите знать ответ.
Если вы хотите чтобы новые юзеры ходили через ваш модем-роутер в инет, то это NAT как минимум (если объясните новым юзерам как и какие данные прописывать в настройках подключения, то dhcp может не потребоваться).Если вы хотите прикрутить домен к ip, то это мало что изменит потом в мире. Ну прикрутите вы айпи к домену, ну будет весь мир его знать. А толку, если по этому айпи висит модем-роутер? И будет открываться веб-морда настройки роутера по доменному имени. А зачем? Разве что искать баги в прошивке, чтобы повесить модем и испортить настроение новым юзерам, которые только вышли в инет... Хотя... Можно, напр., перед девчонками хвалиться, что есть персональный веб-сайт, но пускает туда только избранных по секретному паролю ))
В общем, если вы хотите прикрутить айпи к доменному имени, то это DNS. И роутер тут не поможет. Нужно либо завести сервер-железку под этот dns-сервер-софтину, настроить и вывести его в инет путем соответствующей настройки NAT на роутере и с пробросом 53 порта по udp с роутера на сервер-железку, либо заказать у nic.ru к домену услуги Primary и Secondary DNS (не обязательно nic.ru, можно у того же регистратора, у которого брали домен).Полегчало? :)
>[оверквотинг удален]
>только избранных по секретному паролю ))
>В общем, если вы хотите прикрутить айпи к доменному имени, то это
>DNS. И роутер тут не поможет. Нужно либо завести сервер-железку под
>этот dns-сервер-софтину, настроить и вывести его в инет путем соответствующей настройки
>NAT на роутере и с пробросом 53 порта по udp с
>роутера на сервер-железку, либо заказать у nic.ru к домену услуги Primary
>и Secondary DNS (не обязательно nic.ru, можно у того же регистратора,
>у которого брали домен).
>
>Полегчало? :)Полегчало :)))
Юзера, которые паралельло сидеть будут - это так же я. А значит основной целью является вывести сайт(ы) в мир веба.
Железка есть, на ней линукс. У регистратора нужно попросить указать в DNS тот IP который дал мне провайдер, вы это имели ввиду под primary and secondary DNS ?
>[поскипано]
>
>Полегчало :)))
>Юзера, которые паралельло сидеть будут - это так же я. А значит
>основной целью является вывести сайт(ы) в мир веба.
>Железка есть, на ней линукс. У регистратора нужно попросить указать в DNS
>тот IP который дал мне провайдер, вы это имели ввиду под
>primary and secondary DNS ?Есчесно, в первом-втором предложении никакой логической связи не вижу. Звучит примерно как "%любое_действие%, а значит нужно вызывать звездный десант". ;))
Ну да ладно. Раз есть сайты и есть сервер-железка, значит с большой долей вероятности есть веб-сервер. То, что у вас линукс уже известно - вы спалились в посте #9. Но это не имеет ровно никакого значения в данном случае :)Primary и Secondary - это два физически разных сервера-железки, на которых настроены dns-сервера, чтобы рулить вашей зоной (=вашими доменами), т.е. исполнять свои прямые обязанности - говорить всем вопрошающим какой айпи у вашего домена. Один из них главный (primary), второй - на подстраховке, на случай если главный сковырнется или будет конфискован ФСБ (ну т.е. чтобы было еще кому отвечать за зону кроме главного).
У регистратора просить ничего не надо, если только регистратором не был ваш сосед или знакомый. Как правило, у них есть веб-морды для настройки домена (не настройки dns, а настройки домена! ну или свойства домена, если хотите). В тех настройках вы сами указываете адреса dns-серверов для вашего домена, иначе домен делегирован не будет (по-другому: доменом вы владеете, но воспользоваться не сможете). А эти адреса уже зависят от того, где будут находиться primary и secondary: их вы можете заказать у регистратора - тогда эти адреса он сам сообщит (а если веб-морда продвинута, то может даже и сам в настройках подставит).
Primary-Secondary можно организовать собственными силами, напр. primary настроить у себя, а secondary арендовать у консьержа в подъезде за бутылку шнапса. Тогда в настройках домена это будут соответственно ip_выданный_провайдером и ip_компа_консьержа (можно подсмотреть, пока консьерж спит). Но внутреннее чутье и кошка, сидящая рядом, подсказывают, что вам проще будет пойти первым путем и заказать Prim-Sec у регистратора.
Итого: в настройках домена указываются ip адреса Primary и Secondary серверов. В настройках dns-сервера на Primary указывается "mydomain.ru = ip_который_дал_провайдер".Возвращаемся к домашним железкам и первому абзацу, в котором хитрой логикой было установлено вероятное наличие на домашней железке веб-сервера. Чтобы уже настроенный домен работал во всем мире и во всех интернетах (подразумевается только веб), нужно сделать проброс 80-го порта с роутера на сервер. Это настраивается на роутере где-то рядом с настройками NAT. Если хочется фтп, пробрасываем и 20, 21 порты. Хочется ssh - 22й порт, почту - 25 и 110 (или 143).
А можно ничего и не пробрасывать, но для этого придется купить еще одну сетевуху в сервер, свитч, перевести адсл-модем в режим моста, настроить на серваке шлюз, PPPoE, nat и фаервол (последнее не обязательно, но ооочень желательно). %)Мораль: тем и отличаются dns от nat, что в dns нельзя пробрасывать порты, а в nat-е нету регистраторов. Котлеты - отдельно, домены - отдельно.
>>В какую сторону мне двигаться чтобы узнать ответ? :)
> куча буквА, сорри, половину своих слов я беру обратно. Я профукал, что у вас уже есть сервер :)) Пока писал - забыл %)
Мой пред. пост можно сократить до:
если новые юзеры хотят в инет - nat (+dhcp).
если домен - DNS, плюс проброс соответствующих портов в настройках nat на роутере, если хотите, чтобы по доменному имени (==айпи) отзывались соответствующие сервисы на сервере, а не сам роутер.Впрочем, слова о "куда идти - на юг" оставляю в силе. Мануалы почитать придется...
>если домен - DNS, плюс проброс соответствующих портов в настройках nat на
>роутере, если хотите, чтобы по доменному имени (==айпи) отзывались соответствующие сервисы
>на сервере, а не сам роутер.
>Можно еще вопрос (ибо вижу. что Вы в курсе дела)?
Как вы выше и говорили о модеме в разных режимах.
Сам я напоролся на "интересную" вещь
Сервер ФриБСД, который является шлюзом в интернет, и, соответственно раздает оный в локальную сеть (Packet filter в качестве файерволла, в его же правилах NAT и далее Squid)
На сервере был запущен анонимный ФТП
Итак, пока модем был в режиме бриджа - про адресу, выданному провайдером, а так же по доменному имени, выданному провайдером - легко открывался сей ФТП.
Что и должно было быть.. по идее, ибо ай-пи провайдера получал при подключении по РРРоЕ туннельный интерфейс (tun0)Возникла идея - перевести модем в режим роутера (как в итоге получилось, то это была не совсем умная идея)
Разумеется теперь "ай-пи-выданный-провайдером" принадлежит модему.
и никакого ФТП уже нету :-)))Первое, что мне пришло в голову - проброс порта 21 на модеме, что я и сделал
Как описано в мануале к данному модему (huaiwei MTX880)
сделал проброс 21-го порта на айпи 192.168.*.20 (это айпи сетевой карты сервера ФриБСД, которая "смотрит" в модем)
и.... ничего не изменилось.по адресу ftp://Provider`s_IP просит логин ип ароль на вход куда-то на "Provider`s_IP"
В чем моя ошибка?
Скажу сразу ДНС на сервере ФриБСД еще не поднят (в данное время уже не до него, хотя читаем мануалы и данный форум)
Заранее благодарен за ответ!
>[оверквотинг удален]
>Как описано в мануале к данному модему (huaiwei MTX880)
>сделал проброс 21-го порта на айпи 192.168.*.20 (это айпи сетевой карты сервера
>ФриБСД, которая "смотрит" в модем)
>и.... ничего не изменилось.
>
>по адресу ftp://Provider`s_IP просит логин ип ароль на вход куда-то на "Provider`s_IP"
>
>
>В чем моя ошибка?
>FTP сложный протокол - ему одного порта мало. Почитайте тут для начала http://netpromoter.ru/linkutility/help/ftp.html
>Итак, пока модем был в режиме бриджа - про адресу, выданному провайдером,
>а так же по доменному имени, выданному провайдером - легко открывался
>сей ФТП.
>Что и должно было быть.. по идее, ибо ай-пи провайдера получал при
>подключении по РРРоЕ туннельный интерфейс (tun0)Так и будет, ибо в режиме моста в модеме ничего не задерживается, все что приходит в момед сливается в исходящий порт. Разве что момед может побаловаться (но в пределах RFC) и что-нибудь там поинкапсулировать, но это нормально, так надо. Собственно, модем тут работает как некое "пассивное" устр-во, ему айпи нафиг не сдался, поэтому он легко поделится им с другим интерфейсом, если попросить (pppoe).
В режиме роутера момед будет смотреть на пакет и думать, ему ли это пришло или надо поделиться с кем-нибудь (NAT, проброс). В этом случае момед - некая активная сущность и айпи он не отдаст, ему самому надо.
>и.... ничего не изменилось.Не знаю точно насчет хуавеев, но некоторые роутеры сами умеют ftp, чтобы, напр., по этому ftp закинуть роутеру новую прошивку. Возможно, фтп роутера срабатывает то того, как пришедший пакет завернется натом.
>В чем моя ошибка?Если роутер фтп не умеет, возможно, не хватает проброшенного натом 20-го порта.
Если хотите чтобы момед был роутером, возьмите что-нибудь посерьезнее хуавея. Заодно и вайфай дома организуете. И перед друзьями не будет стыдно :))
>Скажу сразу ДНС на сервере ФриБСД еще не поднят (в данное время
>уже не до него, хотя читаем мануалы и данный форум)ДНС нужен, чтобы железки могли понять человека, когда тот им говорит "сходи на warez.site.com", принеси свежий кряк для интернета. С данном случае - все на ip, так что пофик.
>ДНС нужен, чтобы железки могли понять человека, когда тот им говорит "сходи
>на warez.site.com", принеси свежий кряк для интернета. С данном случае -
>все на ip, так что пофик.верно,
но ведь использую в resolv.conf ДНС-а провайдером выданные.
И все работает.
>>ДНС нужен, чтобы железки могли понять человека, когда тот им говорит "сходи
>>на warez.site.com", принеси свежий кряк для интернета. С данном случае -
>>все на ip, так что пофик.
>
>верно,
>но ведь использую в resolv.conf ДНС-а провайдером выданные.
>И все работает.А вы хотите, чтобы не работало? :)
Если у вас нет собственного перенаправляющего dns, то в ресолв.конф вместо вашего dns и должны быть прописаны dns провайдера (что по сути - те же яйца, только снизу).Я-то писал к тому, что наличие (не)настроенного dns на работоспособность nat или ftp не влияет, если вы оперируете ip. Могут быть задержки в работе сервисов, если сервис пытается отрезолвить ip в доменное имя (чтобы красиво в лог записать, напр.), а dns не настроен, но не более.
>Добрый вечер,
>
>У меня появилась такая же задача, но под Linux Debian 5.0.
>
>1. ADSL модем провайдера
>2. IP статический + dns провайдера
>3. Парочка купленных доменов, которые нужно прикрутить на сервер.Не заморачивайтесь пока своим DNS сервером, пользуйтесь услугами регистратора.
>
>Модем сейчас настроен в качестве роутера и на нем включен NAT (
>4 порта lan).
>Хотелось бы чтобы помимо сервера, в интернет выходило еще пару компов.
>При нате и так у Вас наверное всё ходит. С модема пробросьте нужные порты на сервер (http etc.)
>Будут ли какие отличия в настройках?
>[оверквотинг удален]
>
>>
>>Модем сейчас настроен в качестве роутера и на нем включен NAT (
>>4 порта lan).
>>Хотелось бы чтобы помимо сервера, в интернет выходило еще пару компов.
>>
>
>При нате и так у Вас наверное всё ходит. С модема пробросьте
>нужные порты на сервер (http etc.)
>>Будут ли какие отличия в настройках?1. Вы правы насчет регистратора и DNS. Спасибо.
2. Настроил проброс портов на модеме ZXDSL 831, но есть вопрос: почему, когда я обращаюсь на внешний IP то все равно вижу запрос пароля для входа в веб морду модема?Спасибо
>[оверквотинг удален]
>>При нате и так у Вас наверное всё ходит. С модема пробросьте
>>нужные порты на сервер (http etc.)
>>>Будут ли какие отличия в настройках?
>
>1. Вы правы насчет регистратора и DNS. Спасибо.
>2. Настроил проброс портов на модеме ZXDSL 831, но есть вопрос: почему,
>когда я обращаюсь на внешний IP то все равно вижу запрос
>пароля для входа в веб морду модема?
>
>СпасибоЭто у меня просит пароль. А если извне ломится на стат IP, то все видно клева :) А почему у меня просит? Может чего не обновилось?