Готовится статья о DNS сервере Unbound

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dwolfix
рядовой
Сообщения: 28
Зарегистрирован: 2010-06-02 7:44:38
Откуда: Орск
Контактная информация:

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Dwolfix » 2011-06-21 7:32:15

Определенно можно сказать только одно - на пустом месте вряд ли могло возникнуть. Сервера от разных провайдеров работают? Число запросов в сек. не великовато для такого кол-ва клиентов? Ограничения по ip-src не установлены?
Бороться за знания, терзать препятствия, аки волк!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2011-06-21 11:03:48

Провайдер один, по числу запросов, нормально, бывало и по 9 тыщ запросов, когда длинковские роутеры флудили, работали сервера без проблем.
Никаких ограничений нет, просто все упало в один день, проработав год. Может подскажите как необходимо было диагнастировать

Аватара пользователя
Dwolfix
рядовой
Сообщения: 28
Зарегистрирован: 2010-06-02 7:44:38
Откуда: Орск
Контактная информация:

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Dwolfix » 2011-06-21 13:16:09

Анализ логов, причем не только unbound'овских. Такое ощущение, что на обоих серверах внезапно сетевая активность в разы возросла. Что кажут "netstat -m" и "netstat -s"?
Бороться за знания, терзать препятствия, аки волк!

helpdesk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-29 7:21:39

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение helpdesk » 2011-06-22 6:10:27

netstat -m аномалий не показал, а netstat -s не смотрел.

netstat -an - udp4 0 0 ip.47132 *.* росло количество таких подключений, и, видимо, как достигало значения outgoing-range начинало тупить. То есть то что закешировал на это отвечал, а новые имена не резолвил

Гость
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Гость » 2011-06-24 0:58:41

1. Вам стоит обновится до версии 1.4.10. Подробности в CVE-2011-1922 VU#531342;
2. Можете привести свою конфигурацию Unbound?
3. Если тюнили OS, то что именно и как?

BlackPhantom
мл. сержант
Сообщения: 128
Зарегистрирован: 2007-11-02 11:34:10

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение BlackPhantom » 2011-09-12 21:00:53

Поставил Unbound на freebsd 8.1. Зоны не использую, chroot тоже не использую, хочу просто использовать как кэширующий сервер. Не могу понять, где прописывать днс сервера провайдера ?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение terminus » 2011-09-12 21:03:58

BlackPhantom писал(а):Поставил Unbound на freebsd 8.1. Зоны не использую, chroot тоже не использую, хочу просто использовать как кэширующий сервер. Не могу понять, где прописывать днс сервера провайдера ?

Код: Выделить всё

forward-zone: 
    name: "."
    forward-addr 8.8.8.8
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

BlackPhantom
мл. сержант
Сообщения: 128
Зарегистрирован: 2007-11-02 11:34:10

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение BlackPhantom » 2011-09-12 21:31:15

forward-addr:
только с двоеточие захотел стартовать. Пробовал прописывать и forward-addr и forward-host, рельтат одинаковый, имена не резолвятся.

Код: Выделить всё

 forward-zone:
name: "."
forward-addr: 195.5.61.70
forward-addr: 213.179.249.131
forward-addr: 213.179.249.132

BlackPhantom
мл. сержант
Сообщения: 128
Зарегистрирован: 2007-11-02 11:34:10

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение BlackPhantom » 2011-09-12 22:15:48

Вот сейчас мой конфиг, остальное по умолчанию

Код: Выделить всё

server:
	verbosity: 3
	num-threads: 2
	do-ip6: no
	access-control: 0.0.0.0/0 allow
	chroot: ""
	logfile: "/var/log/unbound"
 forward-zone:
	name: "."
	forward-addr: 195.5.61.70
	forward-addr: 213.179.249.131
	forward-addr: 213.179.249.132
 forward-zone:
	name: "."
	forward-host: 195.5.61.70
	forward-host: 213.179.249.131
	forward-host: 213.179.249.132


BlackPhantom
мл. сержант
Сообщения: 128
Зарегистрирован: 2007-11-02 11:34:10

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение BlackPhantom » 2011-09-12 23:18:51

все, решил проблему, надо было указать

Код: Выделить всё

interface: 127.0.0.1
interface: 172.24.1.1

Yury
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yury » 2011-11-03 10:50:57

Коллеги, что может быть не так:

# Unbound usage statistics ready for cacti.
#
# Version 0.7.1

./unbound_cacti
./unbound_cacti: syntax error at line 180: `histogram_000000_000000_to_000000_065536=$' unexpected


uname -a
SunOS host3 5.10 Generic_127127-11 sun4v sparc SUNW,SPARC-Enterprise-T5120 Solaris

терминус_
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус_ » 2011-11-03 11:49:37

Очевидно, что в /bin/sh из SunOS нет встроенных математических функций - конструкция вида:

Код: Выделить всё

variable1=$(($variable2 + $variable3))
не отрабатывает.

вам надо заменить все $(( a + b )) на что-то такое, что дает возможность складывать значения переменных и возвращать результат.

может быть так, если саносовский bc такой же как в БСД:

Код: Выделить всё

variable1=`echo $variable2 + $variable3 | bc`

Гость
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Гость » 2011-11-03 12:35:00

Да, спасибо, действительно заработало, а как вот такую конструкцию заменить:

mem_total_sbrk=$(($mem_total_sbrk \* 1024))

извините, я просто особо не программер, по этому и такие вопросы :)

и пришлось еще добить до 32 thread.num.queries :)

Yury
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yury » 2011-11-03 12:46:08

И еще стало вот так ругаться:



./unbound_cacti
syntax error on line 1, teletype
syntax error on line 1, teletype
...

терминус_
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус_ » 2011-11-03 13:18:13

Гость писал(а):Да, спасибо, действительно заработало, а как вот такую конструкцию заменить:

mem_total_sbrk=$(($mem_total_sbrk \* 1024))

Код: Выделить всё

mem_total_sbrk=`echo $mem_total_sbrk * 1024 | bc`

Гость
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Гость » 2011-11-03 13:25:57

Спасибо большое, вроде помогло с bc разобрался.
Тот что стоял по умолчанию походу не очень был, погуглил и поставил другой.

терминус_
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус_ » 2011-11-03 13:32:53

Yury писал(а):И еще стало вот так ругаться:



./unbound_cacti
syntax error on line 1, teletype
syntax error on line 1, teletype
...
незнаю. вам надо адаптировать мой скрипт под shell SunOS. или добиться его работы на sh или переписать его на ksh

что именно вызывает ошибку "syntax error on line 1, teletype" я не знаю.
если математические операции через bc теперь работают, то может теперь ошибка где-то с синтаксисом if []

терминус_
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение терминус_ » 2011-11-03 13:38:59

Гость писал(а):
и пришлось еще добить до 32 thread.num.queries :)
У вас будет 32 потока и для этого вам нужна статистика по thread0.num.queries ... thread31.num.queries ?

В этом случае вам понадобиться еще и поменять cacti шаблоны. Там жестко прописаны настройки для сбора статистики только для 4х потокоы и на графики вывод только для четырех. График не перестаевается динамически про изменении скрипта-парсера unbound_cacti. Надо будет по аналогии добавить новые data source и графики для них.


Yury
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yury » 2011-11-03 17:22:34

Все в принципе сделал, но графики не рисует, на машинке с cacti делаю:

Код: Выделить всё

snmpget -v2c -Ovqa -c <snmp_community> <host> .1.3.6.1.3.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1
Получаю:

Код: Выделить всё

SNMPv2-SMI::experimental.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1 = STRING: "thread0_num_queries:0 thread1_num_queries:0 thread2_num_queries:0 thread3_num_queries:0 thread4_num_queries:0 thread5_num_queries:0 thread6_num_queries:0 thread7_num_queries:0 thread8_num_queries:0 thread9_num_queries:0 thread10_num_queries:0 thread11_num_queries:0 thread12_num_queries:0 thread13_num_queries:0 thread14_num_queries:0 thread15_num_queries:0 thread16_num_queries:0 thread17_num_queries:0 thread18_num_queries:0 thread19_num_queries:0 thread20_num_queries:0 thread21_num_queries:0 thread22_num_queries:0 thread23_num_queries:0 thread24_num_queries:0 thread25_num_queries:0 thread26_num_queries:0 thread27_num_queries:0 thread28_num_queries:0 thread29_num_queries:0 thread30_num_queries:0 thread31_num_queries:0 total_num_queries:0 total_num_cachehits:0 num_query_tcp:0 num_query_ipv6:0 unwanted_queries:0 unwanted_replies:0 total_num_prefetch:0"
Это провильно? :)

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение terminus » 2011-11-03 19:31:52

Это значит, что или не работает unbound-control или не работает скрипт-парсер unbound_cacti.
Все значения переменный в дефолте. Так они объявлены в скрипте - цикл case in не поменял значения.

Что показывает команда:

Код: Выделить всё

unbound-control stats
там есть статистика?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Yuri
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yuri » 2011-11-03 20:12:28

Да нет, просто трафик я до этого не пускал туда, сейчас картина следующая:

SNMPv2-SMI::experimental.1983.1.1.4.1.2.10.99.97.99.104.101.95.104.105.116.115.1 = STRING: "thread0_num_queries:311855 thread1_num_queries:88 thread2_num_queries:6331 thread3_num_queries:109 thread4_num_queries:715 thread5_num_queries:61378 thread6_num_queries:349 thread7_num_queries:105 thread8_num_queries:180 thread9_num_queries:17121 thread10_num_queries:77 thread11_num_queries:157 thread12_num_queries:224801 thread13_num_queries:2727 thread14_num_queries:832 thread15_num_queries:123221 thread16_num_queries:2101 thread17_num_queries:144727 thread18_num_queries:106 thread19_num_queries:1402 thread20_num_queries:106 thread21_num_queries:262 thread22_num_queries:293006 thread23_num_queries:199 thread24_num_queries:4543 thread25_num_queries:267919 thread26_num_queries:187790 thread27_num_queries:107 thread28_num_queries:45706 thread29_num_queries:522 thread30_num_queries:169 thread31_num_queries:128 total_num_queries:1698839 total_num_cachehits:1613346 num_query_tcp:86 num_query_ipv6:0 unwanted_queries:41723 unwanted_replies:17 total_num_prefetch:0"


т.е. я в прошлом письме хотел спросить, что так и должен выглядеть ответ, и какти его сама потом парсит исходя из этих данных?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение terminus » 2011-11-03 20:49:13

Да, ответ так и должен выглядеть. Какти ждет данные в формате ключ:значение, между собой значения разделяются пробелом. Все ОК.
В настройках data source в Какти потом прописывается соответсвие имени ключа и имени RRD потока в RRD базе данных.

Я сейчас уже не помню все подробности, но вы в настройках шаблонов легко найдете где добавить новые data source и как построить для них дополнительные графики. Просто по аналогии - это не должно быть сложно.

это за сколько минут - за пять?

Код: Выделить всё

total_num_queries:1698839 
5662 запросов в секунду? :smile:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Yury
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yury » 2011-11-03 21:15:10

Ок, я по процессам графики еще не создал, обязательно сделаю.

Да, за 5 минут ;) только вот что то тупит оно(unbound), я никак не могу подобрать параметры для такого количества запросов.
Причем, это второй из DNS серверов, который выдается абонентам ;) первый Bind.

Yury
проходил мимо

Re: Готовится статья о DNS сервере Unbound

Непрочитанное сообщение Yury » 2011-11-03 21:34:24

Конфиг примерно такой:

Код: Выделить всё

# See unbound.conf(5) man page, version 1.4.13.
server:
        # verbosity number, 0 is least verbose. 1 is default.
        verbosity: 0
        statistics-interval: 0
        statistics-cumulative: no
        extended-statistics: yes
        num-threads: 32
        interface: 10.0.20.2
        port: 53
        outgoing-interface: 10.0.20.2
        outgoing-range: 2048
        edns-buffer-size: 1024
        msg-cache-size: 128m
        msg-cache-slabs: 32
        num-queries-per-thread: 1024
        rrset-cache-size: 256m
        rrset-cache-slabs: 32
        cache-max-ttl: 86400
        infra-host-ttl: 60
        infra-lame-ttl: 120
        infra-cache-slabs: 32
        infra-cache-numhosts: 10000
        infra-cache-lame-size: 10k
        do-ip4: yes
        do-ip6: no
        do-udp: yes
        do-tcp: yes
        do-daemonize: yes
        access-control: 0.0.0.0/0 refuse
        access-control: 127.0.0.0/8 allow
        access-control: х.x.x.x/16 allow
        access-control: ::0/0 refuse
        access-control: ::1 allow
        access-control: ::ffff:127.0.0.1 allow
        chroot: "/etc/opt/csw/unbound"
        username: "unbound"
        directory: "/etc/opt/csw/unbound"
        use-syslog: yes
        log-time-ascii: yes
        log-queries: yes
        pidfile: "/var/run/unbound.pid"
        root-hints: "/etc/opt/csw/unbound/named.cache"
        hide-identity: yes
        hide-version: yes
        identity: "DNS"
        version: "0"
        harden-glue: yes
        do-not-query-address: 127.0.0.1/8
        do-not-query-address: ::1
        do-not-query-localhost: yes
        module-config: "iterator"
remote-control:
        control-enable: yes
        control-interface: 127.0.0.1
         control-port: 8953
        server-key-file: "/etc/opt/csw/unbound/unbound_server.key"
        server-cert-file: "/etc/opt/csw/unbound/unbound_server.pem"
        control-key-file: "/etc/opt/csw/unbound/unbound_control.key"
        control-cert-file: "/etc/opt/csw/unbound/unbound_control.pem"


Что улучшить чтоб не тормозило(долгий ответ) при такой нагрузке даже не знаю :)