dns

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

dns

Непрочитанное сообщение kapka » 2008-05-21 12:10:22

Шлюз freebsd 6.2, ipfw, nat, bind установлено, работает в рабоче-тестовом режиме. Тоесть сервер вроде-как рабочий, но я на нем еще и учусь, благо работа позволяет...
Некоторые правила из ipfw:

Код: Выделить всё

${cmd} add deny ip from table\($a317\) to www.bizarre.kiev.ua in via vr0
${cmd} add deny ip from table\($a317\) to www.heroeswm.ru in via vr0
${cmd} add deny ip from table\($a317\) to chat.org.ua in via vr0
${cmd} add deny ip from table\($a317\) to chatline.com.ua in via vr0
${cmd} add deny ip from table\($a317\) to chat.gala.net in via vr0
${cmd} add deny ip from table\($a317\) to hivechat.com in via vr0
${cmd} add deny ip from table\($a317\) to schat.org.ua in via vr0
${cmd} add deny ip from table\($a317\) to www.troya.com.ua in via vr0
${cmd} add deny ip from table\($a317\) to 1.chat.mail.ru in via vr0
${cmd} add deny ip from table\($a317\) to nik-chat.net in via vr0
${cmd} add deny ip from table\($a317\) to dwar.ru in via vr0
После внесения изменений (неважно каких) или просто так выполняю:

Код: Выделить всё

/etc/netstart
...
00900 deny ip from table(1) to 212.40.34.149 in via vr0
01000 deny ip from table(1) to 69.42.209.42 in via vr0
01100 deny ip from table(1) to 213.186.192.180 in via vr0
ipfw: hostname ``chatline.com.ua'' unknown
01200 deny ip from table(1) to 195.245.80.70 in via vr0
ipfw: hostname ``hivechat.com'' unknown
ipfw: hostname ``schat.org.ua'' unknown
01300 deny ip from table(1) to 62.149.12.108 in via vr0
ipfw: hostname ``1.chat.mail.ru'' unknown
ipfw: hostname ``nik-chat.net'' unknown
[color=#FF0000]ipfw: hostname ``dwar.ru'' unknown[/color]
...

nslookup dwar.ru
Server:                10.10.1.1
Address:        10.10.1.1#53

Non-authoritative answer:
Name:        dwar.ru
Address: 88.212.221.153
/etc/netstart
00900 deny ip from table(1) to 212.40.34.149 in via vr0
01000 deny ip from table(1) to 69.42.209.42 in via vr0
01100 deny ip from table(1) to 213.186.192.180 in via vr0
ipfw: hostname ``chatline.com.ua'' unknown
01200 deny ip from table(1) to 195.245.80.70 in via vr0
ipfw: hostname ``hivechat.com'' unknown
ipfw: hostname ``schat.org.ua'' unknown
01300 deny ip from table(1) to 62.149.12.108 in via vr0
ipfw: hostname ``1.chat.mail.ru'' unknown
ipfw: hostname ``nik-chat.net'' unknown
[color=#FF0000]01400 deny ip from table(1) to 88.212.221.153 in via vr0[/color]
Так могу все проблемные хосты подключить, разве что только и вправду не отвечают... Где траблы то?
мы живем в стране с обширными недокументированными возможностями...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: dns

Непрочитанное сообщение manefesto » 2008-05-21 12:14:15

трабла в том что надо указывать IPшник
я такой яростный шо аж пиздеЦ
Изображение

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-21 12:52:12

Но он же должен разрешать за именем? Причем некоторые хосты разрешает, а некоторые нет. После рестарта намеда вообще ничего не узнает... Экспериментировал с локальными адресами - без проблем.
мы живем в стране с обширными недокументированными возможностями...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: dns

Непрочитанное сообщение Alex Keda » 2008-05-21 18:45:03

может неразрезольвить, может в несколько адресов резольвить...
всяко бывает.
Убей их всех! Бог потом рассортирует...

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-21 21:38:42

Так в том то и дело что резолвит всегда, а вот когда применяю правила файрвола с доменным именем - не резолвит. Так происходит до тех пор пока какая-нибудь программа не обратится к этому имени (пофиг какая, nslookup например, или клиент в сети). После чего и ipfw начинает это правило нормально применять. Все это не касается локальных доменных имен, они разрешаются нормально.
мы живем в стране с обширными недокументированными возможностями...

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-21 22:26:57

Еще одно наблюдение: проблемы если использовать /etc/netstart и при рестарте системы. Если /etc/rc.d/ipfw restart - все работает нормально. Может кто объяснить?
мы живем в стране с обширными недокументированными возможностями...

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-23 15:54:26

Неужто никто не знает? Или я непонятно описал проблему?
мы живем в стране с обширными недокументированными возможностями...

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: dns

Непрочитанное сообщение LMik » 2008-05-23 16:38:09

kapka писал(а):Неужто никто не знает? Или я непонятно описал проблему?
я так понимаю у тебя бинд тоже на этом компе?
А он загружаетя раньше фаервола?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-23 22:43:55

LMik писал(а):я так понимаю у тебя бинд тоже на этом компе?
да
LMik писал(а):А он загружаетя раньше фаервола?
нет...
мы живем в стране с обширными недокументированными возможностями...

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-05-24 12:38:55

изменил порядок загрузки, проблема осталась :?
мы живем в стране с обширными недокументированными возможностями...

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: dns

Непрочитанное сообщение kapka » 2008-09-29 13:56:38

Проблема еще актуальна. Например сегодня:

Код: Выделить всё

#nslookup www.ru
;; connection timed out; no servers could be reached

#nslookup www.ru 195.5.46.10 (днс провайдера)
Server:         195.5.46.10
Address:        195.5.46.10#53

Non-authoritative answer:
Name:   www.ru
Address: 194.87.0.50

#cat /etc/namedb/named.conf              
acl "linet" {10.0.0.0/8;192.168.0.0/24;127.0.0.1;};
options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";
        listen-on {10.10.1.1;192.168.0.1;127.0.0.1;};
        allow-query {"linet";};
        forwarders {
                195.5.46.10;
                195.5.46.11;
                192.5.46.17;
                82.207.67.2;
                82.207.67.6;
        };
        query-source address * port 53;
};


zone "." {
        type hint;
        file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
        type master;
        file "master/localhost.rev";
};

zone "licey.local" {
        type master;
        file "master/licey.local";
};

// zone "mobi.licey.local" {
//      type master;
//      file "master/mobi.licey.local";
// };


zone "10.IN-ADDR.ARPA" {
        type master;
        file "master/licey.local-reverse";
};

zone "0.168.192.IN-ADDR.ARPA" {
        type master;
        file "master/mobi.licey.local-reverse";
};
На место стает все без моего вмешательства через некоторое время... Перезагрузка вроде помогала, нет возможности проверить.
мы живем в стране с обширными недокументированными возможностями...