forum.opennet.ru - "настройка bind9" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"настройка bind9"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"настройка bind9"
Сообщение от serg on 17-Дек-02, 12:45 (MSK)
как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то... спасибо
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: настройка bind9, trin, 13:03 , 17-Дек-02, (1)
- RE: настройка bind9, serg, 19:53 , 17-Дек-02, (4)
  - RE: настройка bind9, trin22, 23:02 , 17-Дек-02, (5)
  - RE: настройка bind9, trin, 13:24 , 18-Дек-02, (6)
RE: настройка bind9, undetect, 13:15 , 17-Дек-02, (2)
- RE: настройка bind9, trin, 13:31 , 17-Дек-02, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: настройка bind9"

Сообщение от trin on 17-Дек-02, 13:03  (MSK)

>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей
>одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то...
>спасибо
Сделать split-brain: два демона bind, можно на одной машине, один привязан к реальному адресу, второй - к приватному, оба держат зоны для одного и того же доменного имени company.net например (или разных company.net для реального демона, и company.msft - для приватного). Приватный демон поддерживает динамические обновления с хостов приватной сети и резолвит запросы от этих хостов, форвардером имея реального демона, реальный демон полностью отсекьюрен (запрет рекурсии для внешних, запрет динамических обновлений полный, запрет передачи зоны для всех, кроме вторичного сервера, правила на файрволле). Вот, в принципе и все.
Очень хорошо оба демона запускать в chroot, и лучше в разных :)
Рекомендую предварительно прочитать Bind9 Administration Guide - поставляется вместе с bind.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: настройка bind9"

Сообщение от serg on 17-Дек-02, 19:53  (MSK)

что-то мне совсем поплохело с этим view. после того, как переписал named.conf - бинд не запускается, в логах пишет только loading configuration from '/etc/named.conf' и все. ни ошибок, ничего.можно на какой-нибудь конфиг взглянуть? буду очень признателен

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: настройка bind9"

Сообщение от trin22 on 17-Дек-02, 23:02  (MSK)

>что-то мне совсем поплохело с этим view. после того, как переписал named.conf
>- бинд не запускается, в логах пишет только loading configuration from
>'/etc/named.conf' и все. ни ошибок, ничего.можно на какой-нибудь конфиг взглянуть? буду
>очень признателен
Попробуйте без view - по старинке :)) Сначала попробуйте добиться работы одной части задачи - например внутренней зоны, а потом уже добавите следующий кусок. Я сам с view не делал - и из guide понял, что появилась эта опция только в 9-й версии, возможно, есть какие-то особенности.
Хотя, странно, что в логах нет ругани...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: настройка bind9"

Сообщение от trin on 18-Дек-02, 13:24  (MSK)

Приватный демон (AD, динамические обновления от хостов локалки, обработка запросов по своему домену, перенаправление запросов про "чужое" провайдерскому ns с богатым кэшем)
named.conf.in
>>>
acl "internals" { 192.168.0.0/24; 127.0.0.1; };
acl "isp"       { x.x.x.x; };
acl "admins" { 192.168.0.2; };
options {
        version " ";
        directory "/var/named";
        forward first;
        forwarders { isp-ns.ip.addr.here; };
        pid-file "/var/run/named-in.pid";
        allow-recursion { internals; };
        listen-on { 192.168.0.1; 127.0.0.1; };
zone "company.ru" IN {
        type master;
        file "company.data.in";
        allow-transfer { admins; };
        allow-query { internals; };
        allow-update { internals; };
};
zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "company.rev.in";
        allow-transfer { admins; };
        allow-query { internals; };
        allow-update { internals; };
};
// Cache config
zone "." IN {
        type hint;
        file "named.ca";
};
zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "named.local";
        allow-query { internals; };
        allow-update { none; };
};
<<<
Публичный демон - отвечает на вопросы про зону компании, а на все остальные - посылает к рутам.
named.conf.ex
>>>
acl "slave" { isp-ns.ip.addr.here; };
acl "admins" { admin.ext-ip.addr.here; };
options {
        version " ";
        directory "/var/named";
        forward first;
        forwarders { isp-ns.ip.addr.here; };
        pid-file "/var/run/named-ex.pid";
        allow-recursion { none; };
        notify-source isp-ns.ip.addr.here ;
        transfer-source ext.ip.addr.here ; //i have ip aliases on eth0
        listen-on { ext.ip.addr.here; };
};
// Externally visible zones
zone "company.ru" IN {
        type master;
        file "company.data.ex";
        allow-query { any; };
        allow-update { none; };
        allow-transfer { slave; admins; };
};
zone "x.x.x.in-addr.arpa" IN {
        type master;
        file "company.rev.ex";
        allow-query { any; };
        allow-update { none; };
        allow-transfer { slave; admins; };
};
// Cache config
zone "." IN {
        type hint;
        file "named.ca";
};
zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "named.local";
        allow-query { any; };
        allow-update { none; };
};
Вот, кажется, так. Не скажу, что это абсолютно правильный конфиг, но работает. Наверное, можно получше написать. Может кто чего предложит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: настройка bind9"

Сообщение от undetect on 17-Дек-02, 13:15  (MSK)

>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей
>одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то...
>спасибо
Что нгибудь вроде следующего:
acl intranet { my; IPs; };
...
view "internal" {
    match-clients { intranet; };
    recursion  yes;
    <описание зон внутренней сети>
    ...
};
view external {
    match-clients { any; };
    recursion  no;
    <описание внешних зон>
    ...
};

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: настройка bind9"

Сообщение от trin on 17-Дек-02, 13:31  (MSK)

>>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей
>>одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то...
>>спасибо
>
>Что нгибудь вроде следующего:
>acl intranet { my; IPs; };
>...
>view "internal" {
>    match-clients { intranet; };
>    recursion  yes;
>    <описание зон внутренней сети>
>    ...
>};
>
>view external {
>    match-clients { any; };
>    recursion  no;
>    <описание внешних зон>
>    ...
>};
Вах, красиво! :) Не обратил внимания на такие новшества. Правда, удобнее конфигурить, но несколько послабее секьюрити, как мне кажется. Но здорово.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: настройка bind9"
Сообщение от trin on 17-Дек-02, 13:03 (MSK)
>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей >одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то... >спасибо Сделать split-brain: два демона bind, можно на одной машине, один привязан к реальному адресу, второй - к приватному, оба держат зоны для одного и того же доменного имени company.net например (или разных company.net для реального демона, и company.msft - для приватного). Приватный демон поддерживает динамические обновления с хостов приватной сети и резолвит запросы от этих хостов, форвардером имея реального демона, реальный демон полностью отсекьюрен (запрет рекурсии для внешних, запрет динамических обновлений полный, запрет передачи зоны для всех, кроме вторичного сервера, правила на файрволле). Вот, в принципе и все. Очень хорошо оба демона запускать в chroot, и лучше в разных :) Рекомендую предварительно прочитать Bind9 Administration Guide - поставляется вместе с bind.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: настройка bind9"
	Сообщение от serg on 17-Дек-02, 19:53 (MSK)
	что-то мне совсем поплохело с этим view. после того, как переписал named.conf - бинд не запускается, в логах пишет только loading configuration from '/etc/named.conf' и все. ни ошибок, ничего.можно на какой-нибудь конфиг взглянуть? буду очень признателен
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: настройка bind9"
	Сообщение от trin22 on 17-Дек-02, 23:02 (MSK)
	>что-то мне совсем поплохело с этим view. после того, как переписал named.conf >- бинд не запускается, в логах пишет только loading configuration from >'/etc/named.conf' и все. ни ошибок, ничего.можно на какой-нибудь конфиг взглянуть? буду >очень признателен Попробуйте без view - по старинке :)) Сначала попробуйте добиться работы одной части задачи - например внутренней зоны, а потом уже добавите следующий кусок. Я сам с view не делал - и из guide понял, что появилась эта опция только в 9-й версии, возможно, есть какие-то особенности. Хотя, странно, что в логах нет ругани...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: настройка bind9"
	Сообщение от trin on 18-Дек-02, 13:24 (MSK)
	Приватный демон (AD, динамические обновления от хостов локалки, обработка запросов по своему домену, перенаправление запросов про "чужое" провайдерскому ns с богатым кэшем) named.conf.in >>> acl "internals" { 192.168.0.0/24; 127.0.0.1; }; acl "isp" { x.x.x.x; }; acl "admins" { 192.168.0.2; }; options { version " "; directory "/var/named"; forward first; forwarders { isp-ns.ip.addr.here; }; pid-file "/var/run/named-in.pid"; allow-recursion { internals; }; listen-on { 192.168.0.1; 127.0.0.1; }; zone "company.ru" IN { type master; file "company.data.in"; allow-transfer { admins; }; allow-query { internals; }; allow-update { internals; }; }; zone "0.168.192.in-addr.arpa" IN { type master; file "company.rev.in"; allow-transfer { admins; }; allow-query { internals; }; allow-update { internals; }; }; // Cache config zone "." IN { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-query { internals; }; allow-update { none; }; }; <<< Публичный демон - отвечает на вопросы про зону компании, а на все остальные - посылает к рутам. named.conf.ex >>> acl "slave" { isp-ns.ip.addr.here; }; acl "admins" { admin.ext-ip.addr.here; }; options { version " "; directory "/var/named"; forward first; forwarders { isp-ns.ip.addr.here; }; pid-file "/var/run/named-ex.pid"; allow-recursion { none; }; notify-source isp-ns.ip.addr.here ; transfer-source ext.ip.addr.here ; //i have ip aliases on eth0 listen-on { ext.ip.addr.here; }; }; // Externally visible zones zone "company.ru" IN { type master; file "company.data.ex"; allow-query { any; }; allow-update { none; }; allow-transfer { slave; admins; }; }; zone "x.x.x.in-addr.arpa" IN { type master; file "company.rev.ex"; allow-query { any; }; allow-update { none; }; allow-transfer { slave; admins; }; }; // Cache config zone "." IN { type hint; file "named.ca"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-query { any; }; allow-update { none; }; }; Вот, кажется, так. Не скажу, что это абсолютно правильный конфиг, но работает. Наверное, можно получше написать. Может кто чего предложит?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: настройка bind9"
Сообщение от undetect on 17-Дек-02, 13:15 (MSK)
>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей >одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то... >спасибо Что нгибудь вроде следующего: acl intranet { my; IPs; }; ... view "internal" { match-clients { intranet; }; recursion yes; <описание зон внутренней сети> ... }; view external { match-clients { any; }; recursion no; <описание внешних зон> ... };
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: настройка bind9"
	Сообщение от trin on 17-Дек-02, 13:31 (MSK)
	>>как мне правильно настроить днс (бинд9) мастером для приватной и внешней сетей >>одновременно? в приватной сети построен домен на в2ксерв? заморочился я что-то... >>спасибо > >Что нгибудь вроде следующего: >acl intranet { my; IPs; }; >... >view "internal" { > match-clients { intranet; }; > recursion yes; > <описание зон внутренней сети> > ... >}; > >view external { > match-clients { any; }; > recursion no; > <описание внешних зон> > ... >}; Вах, красиво! :) Не обратил внимания на такие новшества. Правда, удобнее конфигурить, но несколько послабее секьюрити, как мне кажется. Но здорово.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх