https://www.opennet.me/openforum/vsluhforumID1/90634.html Система Freebsd-8, поднят bind-9 и pf. Dns кэширующий + slave зона внутреннего домена (MS AD). Если пинговать по имени хоста (локальный домен)с фри, то ip-ник определяется без проблем:<br># nslookup comp-1<br>Server: 127.0.0.1<br>Address: 127.0.0.1#53<br><br>Name: comp-1.domen.com<br>Address: 192.168.1.5<br><br>В pf.conf:<br><br>table &lt;test&gt; {comp-1, comp-2}<br><br>block all<br>pass on $ext_if from &lt;test&gt; to any<br><br>При проверке конфига ошибки нет, при загрузке выдает ошибку:<br>#pfctl -nf /etc/pf.conf<br>#pfctl -f /etc/pf.conf<br>no IP address found for comp-1<br>/etc/pf.conf:10: could not parse host specification<br>pfctl: Syntax error in config file: pf rules not loaded<br><br>если указать полное имя comp-1.domen.com, тоже выдает ошибку.<br>Как заставить PF определять локальные (внутренние) доменные имена?<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#21 Thu, 30 Dec 2010 12:01:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; указанный в /etc/resolv.conf, должен быть directly connected <br>&gt;&gt; 3. если ни на локальном хосте, ни в локальной сети нет сервера <br>&gt;&gt; DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, <br>&gt;&gt; должны быть в таблице маршрутизации <br>&gt;&gt; 4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в <br>&gt;&gt; правилах и IP, кто-то должен позаботиться о перезагрузке правил <br>&gt; Это вы все к чему пишите???<br>&gt; Я просил пояснить тезис о некорректной работе pf с fqdn, типа а <br>&gt; вдруг надо бежать <br>&gt; pr открывать) <br><br>пояснения по вашей просьбе; у новичков обычно своеобразные представления о корректной работе<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#20 Thu, 30 Dec 2010 11:18:40 GMT &gt;[оверквотинг удален]<br>&gt; он должен быть запущен и содержать информацию на момент загрузки правил <br>&gt; PF <br>&gt; для этого: <br>&gt; 2. если на локальном хосте нет сервера DNS, указанного в /etc/resolv.conf, сервер, <br>&gt; указанный в /etc/resolv.conf, должен быть directly connected <br>&gt; 3. если ни на локальном хосте, ни в локальной сети нет сервера <br>&gt; DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, <br>&gt; должны быть в таблице маршрутизации <br>&gt; 4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в <br>&gt; правилах и IP, кто-то должен позаботиться о перезагрузке правил <br><br>Это вы все к чему пишите???<br>Я просил пояснить тезис о некорректной работе pf с fqdn, типа а вдруг надо бежать <br>pr открывать)<br><br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#19 Thu, 30 Dec 2010 11:01:51 GMT &gt;&gt; Учитывая то, что PF по ряду причин не корректно работает с FQDN, <br>&gt; Поясните пожалуйста.<br>&gt; AFAIR там нет никакой магии, а совершенно обычный getaddrinfo(3) <br><br>для загрузки правил, содержащих FQDN на стадии первоначальной загрузки должны быть соблюдены некоторые условия:<br>1. если на локальном хосте есть сервер DNS, единственный указанный в /etc/resolv.conf, он должен быть запущен и содержать информацию на момент загрузки правил PF<br>для этого:<br>2. если на локальном хосте нет сервера DNS, указанного в /etc/resolv.conf, сервер, указанный в /etc/resolv.conf, должен быть directly connected<br>3. если ни на локальном хосте, ни в локальной сети нет сервера DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, должны быть в таблице маршрутизации<br>4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в правилах и IP, кто-то должен позаботиться о перезагрузке правил<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#18 Thu, 30 Dec 2010 07:23:51 GMT &gt; Учитывая то, что PF по ряду причин не корректно работает с FQDN,<br><br>Поясните пожалуйста.<br>AFAIR там нет никакой магии, а совершенно обычный getaddrinfo(3)<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#17 Thu, 30 Dec 2010 07:19:14 GMT Учитывая то, что PF по ряду причин не корректно работает с FQDN, в данной ситуации остается указывать только IP адреса в правилах. Привязку IP к имени хоста реализовать в MS DHCP резервированием.<br><br>Всем спасибо за участие в топике. Отдельная благодарность Aquarius.<br><br>Тема закрыта.<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#16 Thu, 30 Dec 2010 06:43:33 GMT &gt;[оверквотинг удален]<br>&gt; с 192.168.1.5 на любой другой, считаю не целесообразным вносить соответствие в <br>&gt; файл /etc/hosts, по той причине что его постоянно нужно будет корректировать <br>&gt; при изменении ip, а так как в сети больше сотни хостов, <br>&gt; можно заколупатся постоянно править файл /etc/hosts.<br>&gt; использовать скрипт, чтоб сам вносил изменения, тоже не выход, так как могут <br>&gt; быть ошибки на разных этапах.<br>&gt;&gt;&gt; в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится.<br>&gt;&gt;&gt; потому и задал вопрос.<br>&gt;&gt; это ошибочное мнение <br>&gt; почему? поясни если не сложно.<br><br>потому, что обеспечить актуальность записей, к примеру, в /etc/hosts и обеспечить перезагрузку правил pf при изменении /etc/hosts или занесение/удаление IP по FQDN в таблицу будет проще и эффективней, чем пытаться обеспечить загрузку правил с FQDN на старте системы и получить ее (систему) с неактуальными правилами (еще и при том, что эта загрузка через раз срабатывать будет в зависимости от фаз луны и других https://www.opennet.me/openforum/vsluhforumID1/90634.html#15 Wed, 29 Dec 2010 10:34:22 GMT &gt; мой совет обеспечить или прямое указание IP<br><br>по некоторым причинам нужно было указывать имя хоста<br><br>&gt; или указать соответствие в файле /etc/hosts все еще в силе поскольку Вы его упорно игнорируете, мое участие в этом топике сводится к указанию на явные ошибки кстати говоря<br><br>не игнорирую. учитывая ситуацию что хост по имени "comp-1" может изменить ip с 192.168.1.5 на любой другой, считаю не целесообразным вносить соответствие в файл /etc/hosts, по той причине что его постоянно нужно будет корректировать при изменении ip, а так как в сети больше сотни хостов, можно заколупатся постоянно править файл /etc/hosts.<br>использовать скрипт, чтоб сам вносил изменения, тоже не выход, так как могут быть ошибки на разных этапах.<br><br>&gt;&gt; в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится.<br>&gt;&gt; потому и задал вопрос.<br>&gt; это ошибочное мнение <br><br>почему? поясни если не сложно.<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#14 Wed, 29 Dec 2010 09:36:14 GMT &gt;&gt; не /etc/resolve.conf, а /etc/resolv.conf <br>&gt; В /etc/resolv.conf и пробывал оставить 127.0.0.1.<br>&gt; PF выдает ошибку при загрузке правил.<br><br>мой совет обеспечить или прямое указание IP, или указать соответствие в файле /etc/hosts все еще в силе<br>поскольку Вы его упорно игнорируете, мое участие в этом топике сводится к указанию на явные ошибки<br>кстати говоря, <br>&gt; в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится.<br>&gt; потому и задал вопрос.<br><br>это ошибочное мнение<br> https://www.opennet.me/openforum/vsluhforumID1/90634.html#13 Wed, 29 Dec 2010 06:53:08 GMT &gt; не /etc/resolve.conf, а /etc/resolv.conf <br><br>В /etc/resolv.conf и пробывал оставить 127.0.0.1.<br>PF выдает ошибку при загрузке правил.<br>