форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение		[ Отслеживать ]

"PF + DNS и ошибка загрузки правил pf.conf"	+/–
Сообщение от KARDAN (ok) on 27-Дек-10, 16:07
Система Freebsd-8, поднят bind-9 и pf. Dns кэширующий + slave зона внутреннего домена (MS AD). Если пинговать по имени хоста (локальный домен)с фри, то ip-ник определяется без проблем: # nslookup comp-1 Server:         127.0.0.1 Address:        127.0.0.1#53 Name:   comp-1.domen.com Address: 192.168.1.5 В pf.conf: table <test> {comp-1, comp-2} block all pass on $ext_if from <test> to any При проверке конфига ошибки нет, при загрузке выдает ошибку: #pfctl -nf /etc/pf.conf #pfctl -f /etc/pf.conf no IP address found for comp-1 /etc/pf.conf:10: could not parse host specification pfctl: Syntax error in config file: pf rules not loaded если указать полное имя comp-1.domen.com, тоже выдает ошибку. Как заставить PF определять локальные (внутренние) доменные имена?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
Сообщение от sage444 (ok) on 27-Дек-10, 16:18
>[оверквотинг удален] > block all > pass on $ext_if from <test> to any > При проверке конфига ошибки нет, при загрузке выдает ошибку: > #pfctl -nf /etc/pf.conf > #pfctl -f /etc/pf.conf > no IP address found for comp-1 > /etc/pf.conf:10: could not parse host specification > pfctl: Syntax error in config file: pf rules not loaded > если указать полное имя comp-1.domen.com, тоже выдает ошибку. > Как заставить PF определять локальные (внутренние) доменные имена? а что у вас в /etc/resolve.conf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 27-Дек-10, 16:24
	> а что у вас в /etc/resolve.conf resolve.conf: domain  domen.com nameserver      127.0.0.1 nameserver      xxx.xxx.xxx.xxx
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от guest (??) on 28-Дек-10, 11:08
	А покажите еще nsswitch.conf
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
Сообщение от Aquarius (ok) on 27-Дек-10, 16:50
>[оверквотинг удален] > block all > pass on $ext_if from <test> to any > При проверке конфига ошибки нет, при загрузке выдает ошибку: > #pfctl -nf /etc/pf.conf > #pfctl -f /etc/pf.conf > no IP address found for comp-1 > /etc/pf.conf:10: could not parse host specification > pfctl: Syntax error in config file: pf rules not loaded > если указать полное имя comp-1.domen.com, тоже выдает ошибку. > Как заставить PF определять локальные (внутренние) доменные имена? это проблема курицы и яйца во время загрузки правил сеть может быть настроена, но не должна работать, в том смысле, что должна не работать P.S. обеспечьте или прямое указание IP, или укажите соответствие в файле /etc/hosts P.P.S. и не пытайтесь решать проблемы, посильные только барону Мюнхгаузену, старайтесь их избегать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 27-Дек-10, 17:34
	> это проблема курицы и яйца > во время загрузки правил сеть может быть настроена, но не должна работать, > в том смысле, что должна не работать зачем сеть, если копия зоны домена есть в DNS (bind-9) и по идее PF, перед загрузкой правил может проверить соответствие ip-шников. > P.S. обеспечьте или прямое указание IP, или укажите соответствие в файле /etc/hosts в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится. потому и задал вопрос.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 17:42
	>> это проблема курицы и яйца >> во время загрузки правил сеть может быть настроена, но не должна работать, >> в том смысле, что должна не работать > зачем сеть, если копия зоны домена есть в DNS (bind-9) и по > идее PF, перед загрузкой правил может проверить соответствие ip-шников. >> P.S. обеспечьте или прямое указание IP, или укажите соответствие в файле /etc/hosts > в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), > так что ip-шники прописать не получится. > потому и задал вопрос. только прикол в том, что pf в момент загрузки правил запросит их ip и дальше будет работать с этими ip до следующей перезагрузки правил. если у клиента со временем ip изменится pf на это не обратит внимание до следующей перезагрузки правил.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 27-Дек-10, 17:55
	> только прикол в том, что pf в момент загрузки правил запросит их > ip и дальше будет работать с этими ip до следующей перезагрузки > правил. если у клиента со временем ip изменится pf на это > не обратит внимание до следующей перезагрузки правил. это уже другая проблема. а как его заставить взять IP с DNS и не выдавать ошибку при загрузке правил?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 21:41
	>> только прикол в том, что pf в момент загрузки правил запросит их >> ip и дальше будет работать с этими ip до следующей перезагрузки >> правил. если у клиента со временем ip изменится pf на это >> не обратит внимание до следующей перезагрузки правил. > это уже другая проблема. а как его заставить взять IP с DNS > и не выдавать ошибку при загрузке правил? fBSD80#     cat /etc/pf.conf table <tt> { server, www } block all pass on em1 from <tt> to any fBSD80#     pfctl -f /etc/pf.conf fBSD80#     pfctl -sT tt fBSD80#     pfctl -t tt -Ts    192.168.11.1    192.168.11.11 fBSD80#
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 28-Дек-10, 10:11
	> fBSD80#  cat /etc/pf.conf > table <tt> { server, www } > block all > pass on em1 from <tt> to any > fBSD80#  pfctl -f /etc/pf.conf Правила не загружаются выдает ошибку: #pfctl -f /etc/pf.conf no IP address found for comp-1 /etc/pf.conf:10: could not parse host specification pfctl: Syntax error in config file: pf rules not loaded > fBSD80#  pfctl -sT > tt > fBSD80#  pfctl -t tt -Ts >    192.168.11.1 >    192.168.11.11 > fBSD80# При проверке таблица не создана: #pfctl -t test -Ts pfctl: Table does not exist. По какой-то причине PF не проверяет (не может найти)имя "comp-1" в локальном DNS freebsd. Что нужно указать, или прописать, чтоб PF начал проверять имена в bind-е?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от reader (ok) on 28-Дек-10, 11:30
	>[оверквотинг удален] >> fBSD80#  pfctl -t tt -Ts >>    192.168.11.1 >>    192.168.11.11 >> fBSD80# > При проверке таблица не создана: > #pfctl -t test -Ts > pfctl: Table does not exist. > По какой-то причине PF не проверяет (не может найти)имя "comp-1" в локальном > DNS freebsd. > Что нужно указать, или прописать, чтоб PF начал проверять имена в bind-е? я показал вывод с чистой freeBSD 8.0 подняв только bind и ни чего не пересобирая. попробуйте в /etc/resolve.conf оставить один nameserver 127.0.0.1, в bind включите логирование запросов и проверьте
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 28-Дек-10, 12:38
	> попробуйте в /etc/resolve.conf оставить один nameserver 127.0.0.1, в bind включите логирование запросов и проверьте Попробывал, не получилось. В логах на запросы видно, что обращения по именам идут от 127.0.0.1, то есть от самой фри. вот что странно, при проверке правил, если добавить ключ -v, PF корректно определяет IP: #pfctl -vnf /etc/pf.conf table <test> {192.168.1.5, 192.168.1.6} block all pass on $ext_if from <test> to any Но тогда почему он не хочет их загружать? может это глюк в PF?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от Aquarius (ok) on 28-Дек-10, 21:50
	>> попробуйте в /etc/resolve.conf оставить один nameserver 127.0.0.1, в bind включите логирование запросов и проверьте не /etc/resolve.conf, а /etc/resolv.conf
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 29-Дек-10, 09:53
	> не /etc/resolve.conf, а /etc/resolv.conf В /etc/resolv.conf и пробывал оставить 127.0.0.1. PF выдает ошибку при загрузке правил.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от Aquarius (ok) on 29-Дек-10, 12:36
	>> не /etc/resolve.conf, а /etc/resolv.conf > В /etc/resolv.conf и пробывал оставить 127.0.0.1. > PF выдает ошибку при загрузке правил. мой совет обеспечить или прямое указание IP, или указать соответствие в файле /etc/hosts все еще в силе поскольку Вы его упорно игнорируете, мое участие в этом топике сводится к указанию на явные ошибки кстати говоря, > в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится. > потому и задал вопрос. это ошибочное мнение
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от KARDAN (ok) on 29-Дек-10, 13:34
	> мой совет обеспечить или прямое указание IP по некоторым причинам нужно было указывать имя хоста > или указать соответствие в файле /etc/hosts все еще в силе поскольку Вы его упорно игнорируете, мое участие в этом топике сводится к указанию на явные ошибки кстати говоря не игнорирую. учитывая ситуацию что хост по имени "comp-1" может изменить ip с 192.168.1.5 на любой другой, считаю не целесообразным вносить соответствие в файл /etc/hosts, по той причине что его постоянно нужно будет корректировать при изменении ip, а так как в сети больше сотни хостов, можно заколупатся постоянно править файл /etc/hosts. использовать скрипт, чтоб сам вносил изменения, тоже не выход, так как могут быть ошибки на разных этапах. >> в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится. >> потому и задал вопрос. > это ошибочное мнение почему? поясни если не сложно.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от Aquarius (ok) on 30-Дек-10, 09:43
	>[оверквотинг удален] > с 192.168.1.5 на любой другой, считаю не целесообразным вносить соответствие в > файл /etc/hosts, по той причине что его постоянно нужно будет корректировать > при изменении ip, а так как в сети больше сотни хостов, > можно заколупатся постоянно править файл /etc/hosts. > использовать скрипт, чтоб сам вносил изменения, тоже не выход, так как могут > быть ошибки на разных этапах. >>> в локальном домене IP раздаются DHCP (MS AD + DHCP + DNS), так что ip-шники прописать не получится. >>> потому и задал вопрос. >> это ошибочное мнение > почему? поясни если не сложно. потому, что обеспечить актуальность записей, к примеру, в /etc/hosts и обеспечить перезагрузку правил pf при изменении /etc/hosts или занесение/удаление IP по FQDN в таблицу будет проще и эффективней, чем пытаться обеспечить загрузку правил с FQDN на старте системы и получить ее (систему) с неактуальными правилами (еще и при том, что эта загрузка через раз срабатывать будет в зависимости от фаз луны и других небесных, а иногда и не небесных тел)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
Сообщение от KARDAN (ok) on 30-Дек-10, 10:19
Учитывая то, что PF по ряду причин не корректно работает с FQDN, в данной ситуации остается указывать только IP адреса в правилах. Привязку IP к имени хоста реализовать в MS DHCP резервированием. Всем спасибо за участие в топике. Отдельная благодарность Aquarius. Тема закрыта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от guest (??) on 30-Дек-10, 10:23
	> Учитывая то, что PF по ряду причин не корректно работает с FQDN, Поясните пожалуйста. AFAIR там нет никакой магии, а совершенно обычный getaddrinfo(3)
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от Aquarius (ok) on 30-Дек-10, 14:01
	>> Учитывая то, что PF по ряду причин не корректно работает с FQDN, > Поясните пожалуйста. > AFAIR там нет никакой магии, а совершенно обычный getaddrinfo(3) для загрузки правил, содержащих FQDN на стадии первоначальной загрузки должны быть соблюдены некоторые условия: 1. если на локальном хосте есть сервер DNS, единственный указанный в /etc/resolv.conf, он должен быть запущен и содержать информацию на момент загрузки правил PF для этого: 2. если на локальном хосте нет сервера DNS, указанного в /etc/resolv.conf, сервер, указанный в /etc/resolv.conf, должен быть directly connected 3. если ни на локальном хосте, ни в локальной сети нет сервера DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, должны быть в таблице маршрутизации 4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в правилах и IP, кто-то должен позаботиться о перезагрузке правил
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от guest (??) on 30-Дек-10, 14:18
	>[оверквотинг удален] > он должен быть запущен и содержать информацию на момент загрузки правил > PF > для этого: > 2. если на локальном хосте нет сервера DNS, указанного в /etc/resolv.conf, сервер, > указанный в /etc/resolv.conf, должен быть directly connected > 3. если ни на локальном хосте, ни в локальной сети нет сервера > DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, > должны быть в таблице маршрутизации > 4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в > правилах и IP, кто-то должен позаботиться о перезагрузке правил Это вы все к чему пишите??? Я просил пояснить тезис о некорректной работе pf с fqdn, типа а вдруг надо бежать pr открывать)
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "PF + DNS и ошибка загрузки правил pf.conf"	+/–
	Сообщение от Aquarius (ok) on 30-Дек-10, 15:01
	>[оверквотинг удален] >> указанный в /etc/resolv.conf, должен быть directly connected >> 3. если ни на локальном хосте, ни в локальной сети нет сервера >> DNS, указанного в /etc/resolv.conf, маршруты, позволяющие соединиться с сервером DNS, >> должны быть в таблице маршрутизации >> 4. помимо этого, всякий раз, как меняется соответствие между FQDN, задействованном в >> правилах и IP, кто-то должен позаботиться о перезагрузке правил > Это вы все к чему пишите??? > Я просил пояснить тезис о некорректной работе pf с fqdn, типа а > вдруг надо бежать > pr открывать) пояснения по вашей просьбе; у новичков обычно своеобразные представления о корректной работе
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема