Готовится статья о DNS сервере Unbound

[pomka]

Зона yar.[fake].local

Код: Выделить всё

zone:
        name: "yar.[fake].local"
        zonefile: "yar.[fake].local.zone"

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[pomka]

Опция forward закоментирована, stub прописана, лог 3 уровень:

Код: Выделить всё

[1218003530] unbound[20468:0] info: iterator operate: query <tserver1.yar.ostankino.local.yar.ostankino.local. A IN>
[1218003530] unbound[20468:0] info: processQueryTargets: <tserver1.yar.ostankino.local.yar.ostankino.local. A IN>
[1218003530] unbound[20468:0] debug: out of query targets -- returning SERVFAIL
[1218003530] unbound[20468:0] debug: return error response SERVFAIL
[1218003530] unbound[20468:0] debug: validator[module 0] operate: extstate:module_wait_module event:module_event_moddone
[1218003530] unbound[20468:0] info: validator operate: query <tserver1.yar.ostankino.local.yar.ostankino.local. A IN>
[1218003530] unbound[20468:0] debug: cache memory msg=35323 rrset=42852 infra=4704 val=41300

Код: Выделить всё

[1218003656] unbound[20617:0] debug: cache memory msg=33922 rrset=38868 infra=2584 val=41300
[1218003663] unbound[20617:0] debug: validator[module 0] operate: extstate:module_state_initial event:module_event_new
[1218003663] unbound[20617:0] info: validator operate: query <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass
[1218003663] unbound[20617:0] info: resolving <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] info: processQueryTargets: <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] info: sending query: <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] debug: sending to target: <yar.ostankino.local.> 192.168.1.253#53
[1218003663] unbound[20617:0] debug: cache memory msg=33922 rrset=38868 infra=2584 val=41300
[1218003663] unbound[20617:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply
[1218003663] unbound[20617:0] info: iterator operate: query <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] info: response for <tserver1.yar.ostankino.local. A IN>
[1218003663] unbound[20617:0] info: reply from <yar.ostankino.local.> 192.168.1.253#53
[1218003663] unbound[20617:0] info: query response was ANSWER
[1218003663] unbound[20617:0] info: finishing processing for <tserver1.yar.ostankino.local. A IN>

[pomka]

Во втором примере forward раскоментировно, stub закоментировано.

[pomka]

Давайте в открытую о зонах, что бы не было непоняток.

[terminus]

При использовании stub вот это:

Код: Выделить всё

tserver1.yar.ostankino.local.yar.ostankino.local.

откуда получается?

Учтите - при stup проводиться полное итерационное разрешение имени по всем шагам - корень, какие NS записи для зоны, обрашение к этим NS и запрос информации о записи... Где-то тут закралась ошибка.

У вас где-то в файле зоны точка или пропущена или стоит не там, или еще какая-нибудь ошибка. Ваш пример с зоной:

Код: Выделить всё

$TTL 1h
@       IN      SOA     ns1.yar.[fake].local.        admin.yar.[fake].ru.  (
        2008080402      ; Seria
        3h              ; Refresh
        1h              ; Retry
        1w              ; Expiry
        1d              ; TTL
)
                NS      ns1.yar.[fake].local

ns1.yar             A       192.168.1.253

Может все таки должно быть не
NS ns1.yar.[fake].local (бес токи)
а
NS ns1.yar.[fake].local.



Вы nslookup'ом поспрашивайте NSD о NS для ostankino.local. - и посмотрите, что он возвращает. Наверное вернет ns.yar.ostankino.local.ostankino.local. => в зоне надо поправить ns.yar.ostankino.local на ns.yar

[pomka]

yar не при чем. Зона полностью - yar.ostankino.local

[terminus]

Гадать можно долго - пришлите файл зоны чтобы можно было его нормально увидеть - наверняка там где-то ошибка которая все портит.

Еапример:
tserver1.yar.ostankino.local
вместо
tserver1.yar.ostankino.local.
или
tserver1

[pomka]

Код: Выделить всё

$TTL 1h
@       IN      SOA     ns1.yar.ostankino.local.        admin.yar.sosiska.ru.  (
        2008080402      ; Serial
        3h              ; Refresh
        1h              ; Retry
        1w              ; Expiry
        1d              ; TTL
)
                NS      ns1.yar.ostankino.local

ns1             A       192.168.1.253
tserver1        A       192.168.254.100

[terminus]

Если зона @ = yar.ostankino.local то это

Код: Выделить всё

$TTL 1h
@       IN      SOA     ns1.yar.ostankino.local.        admin.yar.sosiska.ru.  (
        2008080402      ; Serial
        3h              ; Refresh
        1h              ; Retry
        1w              ; Expiry
        1d              ; TTL
)
                NS      ns1.yar.ostankino.local

ns1             A       192.168.1.253
tserver1        A       192.168.254.100

на самом деле получается:

Код: Выделить всё

$TTL 1h
yar.ostankino.local.       IN      SOA     ns1.yar.ostankino.local.        admin.yar.sosiska.ru.  (
        2008080402      ; Serial
        3h              ; Refresh
        1h              ; Retry
        1w              ; Expiry
        1d              ; TTL
)
yar.ostankino.local.                NS      ns1.yar.ostankino.local.yar.ostankino.local.

ns1.yar.ostankino.local.             A       192.168.1.253
tserver1.yar.ostankino.local.        A       192.168.254.100

Точку надо в NS!!! чтобы было так:

Код: Выделить всё

$TTL 1h
@       IN      SOA     ns1.yar.ostankino.local.        admin.yar.sosiska.ru.  (
        2008080402      ; Serial
        3h              ; Refresh
        1h              ; Retry
        1w              ; Expiry
        1d              ; TTL
)
                NS      ns1.yar.ostankino.local.

ns1             A       192.168.1.253
tserver1        A       192.168.254.100

Ведь чтобы было правильно, помните ведь, что записи без точки в конце плюсуюьтся к имени зоны! у вас таки NS с ошибкой указан!!!

[pomka]

А ведь на самом деле точки в NS не хватало. Все нормализовалось.

[terminus]

Ну вот и хорошо. Я внесу в статью о NSD информацию о том, что он может обрабатывать *такие* рекурсивные запросы...

Кстати - я недавно подисправил статью о Unbound - внес туда предупреждения на счет libevent и ограничений ulimit на файловые дискрипторы. Если давно уже читали - пересмотрите на всякий случай...

[Bracus]

В файле /etc/devfs.rules прописываем новый devfs releset:
Код: Выделить всё
[unbound_ruleset=20]
add hide
add path null unhide
add path zero unhide
add path crypto unhide
add path random unhide
add path urandom unhide

У меня файла /etc/devfs.rules изначально небыло, я его создал и поместил туда сее
после этого в /usr/local/etc/unbound/dev, появилось следующее:

Код: Выделить всё

/usr/local/etc/unbound/dev]#ls -la
total 4
dr-xr-xr-x  4 root     wheel          512 11 сен 01:14 .
drwxr-xr-x  3 unbound  wheel          512 10 сен 21:04 ..
crw-r--r--  1 root     wheel       0,  28 10 сен 21:13 acpi
crw-r-----  1 root     operator    0,  81 10 сен 21:13 ad0
crw-r-----  1 root     operator    0,  82 10 сен 21:13 ad0s1
crw-r-----  1 root     operator    0,  83 11 сен 01:13 ad0s1a
crw-r-----  1 root     operator    0,  84 10 сен 21:14 ad0s1b
crw-r-----  1 root     operator    0,  85 10 сен 21:13 ad0s1c
crw-r-----  1 root     operator    0,  86 11 сен 01:13 ad0s1d
crw-r-----  1 root     operator    0,  87 11 сен 01:13 ad0s1e
crw-r-----  1 root     operator    0,  88 11 сен 01:13 ad0s1f
crw-------  1 root     wheel       0,  29 10 сен 21:13 agpgart
crw-------  1 root     operator    0,  27 10 сен 21:13 ata
crw-------  1 root     wheel       0,  39 10 сен 21:13 atkbd0
crw-------  1 root     wheel       0,  94 10 сен 21:13 bpf0
crw-------  1 root     wheel       0,  95 10 сен 21:13 bpf1
crw-------  1 root     wheel       0,  96 10 сен 21:13 bpf2
crw-------  1 root     wheel       0,  97 10 сен 21:13 bpf3
crw-rw-rw-  1 root     wheel       0,  42 10 сен 21:13 bpsm0
crw-------  1 root     wheel       0,   6 10 сен 21:19 console
crw-------  1 root     wheel       0,  71 10 сен 21:13 consolectl
crw-rw-rw-  1 root     wheel       0,   7 10 сен 21:13 ctty
crw-rw----  1 uucp     dialer      0,  46 10 сен 21:13 cuad0
crw-rw----  1 uucp     dialer      0,  47 10 сен 21:13 cuad0.init
crw-rw----  1 uucp     dialer      0,  48 10 сен 21:13 cuad0.lock
crw-rw----  1 uucp     dialer      0,  52 10 сен 21:13 cuad1
crw-rw----  1 uucp     dialer      0,  53 10 сен 21:13 cuad1.init
crw-rw----  1 uucp     dialer      0,  54 10 сен 21:13 cuad1.lock
crw-------  1 root     wheel       0,   5 10 сен 21:13 devctl
cr--------  1 root     wheel       0,  78 10 сен 21:13 devstat
dr-xr-xr-x  2 root     wheel          512 10 сен 21:15 fd
crw-r-----  1 root     operator    0,  80 10 сен 21:13 fd0
crw-------  1 root     wheel       0,   8 10 сен 21:13 fido
crw-r-----  1 root     operator    0,   4 10 сен 21:13 geom.ctl
crw-------  1 root     wheel       0,  11 10 сен 21:13 io
lrwxr-xr-x  1 root     wheel            6 10 сен 21:15 kbd0 -> atkbd0
lrwxr-xr-x  1 root     wheel            7 10 сен 21:15 kbd1 -> kbdmux0
crw-------  1 root     wheel       0,  14 10 сен 21:13 kbdmux0
crw-------  1 root     wheel       0,  23 10 сен 21:13 klog
crw-r-----  1 root     kmem        0,  10 10 сен 21:13 kmem
crw-r-----  1 root     operator    0,  92 10 сен 21:13 md0
crw-------  1 root     wheel       0,  77 10 сен 21:13 mdctl
crw-r-----  1 root     kmem        0,   9 10 сен 21:13 mem
dr-xr-xr-x  2 root     wheel          512 10 сен 21:15 net
lrwxr-xr-x  1 root     wheel            7 10 сен 21:15 net1 -> net/rl0
lrwxr-xr-x  1 root     wheel            7 10 сен 21:15 net2 -> net/le0
lrwxr-xr-x  1 root     wheel            7 10 сен 21:15 net3 -> net/vx0
lrwxr-xr-x  1 root     wheel            9 10 сен 21:15 net4 -> net/plip0
lrwxr-xr-x  1 root     wheel            7 10 сен 21:15 net5 -> net/lo0
crw-------  1 root     wheel       0,   3 10 сен 21:13 network
crw-rw-rw-  1 root     wheel       0,  12 10 сен 21:27 null
crw-r--r--  1 root     wheel       0,  16 10 сен 21:13 pci
crw-------  1 root     wheel       0,  74 10 сен 21:13 ppi0
crw-rw-rw-  1 root     wheel       0,  41 10 сен 21:13 psm0
crw-rw-rw-  1 root     wheel       0,  98 10 сен 21:27 ptyp0
crw-rw-rw-  1 root     wheel       0, 102 10 сен 21:23 ptyp1
crw-rw-rw-  1 root     wheel       0,  24 11 сен 01:14 random
lrwxr-xr-x  1 root     wheel            4 10 сен 21:15 stderr -> fd/2
lrwxr-xr-x  1 root     wheel            4 10 сен 21:15 stdin -> fd/0
lrwxr-xr-x  1 root     wheel            4 10 сен 21:15 stdout -> fd/1
crw-------  1 root     wheel       0,  26 10 сен 21:13 sysmouse
crw-------  1 root     wheel       0,  43 10 сен 21:13 ttyd0
crw-------  1 root     wheel       0,  44 10 сен 21:13 ttyd0.init
crw-------  1 root     wheel       0,  45 10 сен 21:13 ttyd0.lock
crw-------  1 root     wheel       0,  49 10 сен 21:13 ttyd1
crw-------  1 root     wheel       0,  50 10 сен 21:13 ttyd1.init
crw-------  1 root     wheel       0,  51 10 сен 21:13 ttyd1.lock
crw-rw-rw-  1 root     wheel       0,  99 10 сен 21:27 ttyp0
crw-rw-rw-  1 root     wheel       0, 103 10 сен 21:23 ttyp1
crw-------  1 root     wheel       0,  55 10 сен 21:14 ttyv0
crw-------  1 root     wheel       0,  56 10 сен 21:14 ttyv1
crw-------  1 root     wheel       0,  57 10 сен 21:14 ttyv2
crw-------  1 root     wheel       0,  58 10 сен 21:14 ttyv3
crw-------  1 root     wheel       0,  59 10 сен 21:14 ttyv4
crw-------  1 root     wheel       0,  60 10 сен 21:14 ttyv5
crw-------  1 root     wheel       0,  61 10 сен 21:14 ttyv6
crw-------  1 root     wheel       0,  62 10 сен 21:14 ttyv7
crw-------  1 root     wheel       0,  63 10 сен 21:13 ttyv8
crw-------  1 root     wheel       0,  64 10 сен 21:13 ttyv9
crw-------  1 root     wheel       0,  65 10 сен 21:13 ttyva
crw-------  1 root     wheel       0,  66 10 сен 21:13 ttyvb
crw-------  1 root     wheel       0,  67 10 сен 21:13 ttyvc
crw-------  1 root     wheel       0,  68 10 сен 21:13 ttyvd
crw-------  1 root     wheel       0,  69 10 сен 21:13 ttyve
crw-------  1 root     wheel       0,  70 10 сен 21:13 ttyvf
lrwxr-xr-x  1 root     wheel            6 10 сен 21:15 urandom -> random
crw-rw----  1 root     operator    0,  31 10 сен 21:13 usb
crw-rw----  1 root     operator    0,  30 10 сен 21:13 usb0
crw-rw----  1 root     operator    0,  32 10 сен 21:13 usb1
crw-------  1 root     operator    0,  79 10 сен 21:13 xpt0
crw-rw-rw-  1 root     wheel       0,  13 10 сен 21:13 zero

Как на это реагировать?

[Bracus]

Сорри! разобрался, ошибочка в конфинге

[korrado]

Поставил из исходников на Mandriva 2008.1 для тестирования. Прекрасно работает и мне нравится сам сервак.Присматриваюсь к нему, потому как BIND сильно дыряв и не справляется у меня на продакшене.

[korrado]

забыл написать, что у меня на продакшене днем 2K запросов в секунду

[korrado]

В BIND я статистику снимаю небольшим скриптиком и отсылаю на мониторинг zabbix_sende' ом.
тут просто этот скриптик переписываю и так же буду отсылать.
А серверр мониторинга тупо принимает и картинки красивые рисует

[terminus]

Подождите скриптик переписвать - скоро выходит версия unbound 1.1 - там будет новый инструмент unbound-control через который можно будет удобно снимать статистику как по общему числу запросов, так и детально для каждого типа (A PTR CNAME ...). В данный момент вся что есть "статистика" - это вывод в unbound.log при включенной директиве statistics-interval:


З.Ы.

Ставили из сырцов, на линуксе... Вы собрали с потоками и с libevent? Косяков с libevent нет у вас? У меня на FreeBSD косяки, и знаю по крайней мере еще одного человека у которого на Linux с ней же косяки. Вот обсуждение:
http://unbound.net/pipermail/unbound-us ... 00181.html
У вас такого нет?

[korrado]

перепробовал вот:
./configure --with-username=named --with-libevent=/usr/lib
./configure --with-username=named --with-libevent=/usr/lib/libevent-1.4.so.2.0.0
./configure --with-username=named --with-libevent=/usr/lib/libevent.so
ни одна команда не помогла, либевент не виделся так и собрал без него.

сейчас другая проблема актуальнее. Никак не могу прописать форвард для реверсного разрешения для локальной зоны 10.x.x.x
пишу
forward-zone:
name: "10.in-addr.arpa."
forward-addr: 10.80.30.4

он игнорирует запросы

name: "10.in-addr.arpa." nodefault

нельзя. Так и не понял как форвардить реверсные запросы

[korrado]

А за сведения о статистике в 1.1 спасибо

[skam]

статья отличная я по ней собрал unbound но вот не понял как зоны прописывать, синтаксис непонял!
задавал вопрос тут но как обычно начались споры чьё конгфу круче bind vs unbound
допустим имеем имя site.org и ip 10.10.10.10
нужно site.org показывать внешнему миру.

[terminus]

Кажется вы чуть-чуть запутались - если я правильно вас понял, то вам необходим авторитарный DNS сервер на котором вы бы могли запустить свою зону?

Дело в том, что Unbound это исключительно *кеширующий* DNS сервер - такой делает только то, что принимает от клиентов запросы на рекурсивные разрешения имен и проводит эти разрешения помещая ответы в свой кеш, а потом возвращает ответ клиенту. Для обслуживания зон необходимо использовать другие DNS сервера - например NSD который разработала та же компания которая написала Unbound.

BIND и M$ DNS сочетают в одном сервере как рекурсор так и авторитарный сервер. Эта архитектура считается не совсем безопасной, поэтому умные люди так не делают - например пакет djbdns разделен на два DNS сервера - на рекурсор dnscache и на авторитарный tinydns. Точно так же поступили и разработчики из NLnet Labs - написали два сервера Unbound и NSD.

Значит, если вам нужен только авторитарный сервер на котором вы можете запускать зону, то читайте вторую статью про NSD http://www.lissyara.su/?id=1696. Если нужны и кеширующий сервер и авторитарный, тогда в дополнение к Unbound на той же машине можно запустить еще и NSD.

Уточните задачу - я помогу, если что...

[skam]

так точно! я ошибался
задача стандартная пересылать запросы пользователей корпоративной сети на сервер имён провайдера и держать свою зону второго уровня site.org

для этого мне хватит и одного nsd как я понемаю?

[terminus]

Одного NSD не хватит - он не кеширует и не пересылает запросы. Надо использовать оба и NSD и Unbound.

Допустим, что DNS сервер провайдера на который надо пересылать рекурсию имеет IP 1.2.3.4 тогда в настройках Unbound надо будет прописать:

Код: Выделить всё

forward-zone:
       name: "."
       forward-addr: 1.2.3.4

Сложнее обеспечить одновременный запуск NSD и Unbound - ведь они используют для работы один и тот же 53 UDP порт. Если у вас DNS сервер расположен во внутренней или DMZ сети то, наверное, самое простое - дать ему в дополнение еще один IP 10.10.10.11 и запускать NSD на нем, а Unbound на старом.

Для обеспечения одновременной работы на одной машине NSD и Unbound в их настройках, кроме введения разных IP адресов, не надо делать каких-либо дополнительных установок. Если все будет работать правильно, то в случае необходимости Unbound будет корректно проводить разрешение имен из зоны запущеной на NSD. Единственное, если есть жедание провести оптимизацию, то у Unbound можно прописать:

Код: Выделить всё

stub-zone:
       name: "site.org."
       stub-addr: 10.10.10.11

Тогда он не будет попусту проводить полный цикл рекурсии, а сразу же станет пересылать все запросы к site.org на соседний IP где работает NSD...

[24rus]

При проверке unbount, после ввода команды "ps auxw | grep unbound" на экране:

calcru: negative runtime of -53576 usee for pid 30 (pagezero)
calcru: negative runtime of -53576 usee for pid 30 (pagezero)
unbound 562 0,0 1,4 6984 3600 ?? Is 11:35 0:00,04 /usr/local/sbin/unbound
unbound 615 0,0 1,4 7056 3604 ?? I 11:35 0:00,01 /usr/local/sbin/unbound
unbound 640 0,0 1,4 7056 3604 ?? I 11:35 0:00,01 /usr/local/sbin/unbound
unbound 641 0,0 1,4 7056 3604 ?? I 11:35 0:00,01 /usr/local/sbin/unbound

Вопрос: что означают в верху две строки начинающиеся с "calcru" ?

[terminus]

Код: Выделить всё

calcru: negative runtime of -53576 usee for pid 30 (pagezero) 
calcru: negative runtime of -53576 usee for pid 30 (pagezero)

Сообщения белого цвета и то же самое видно в /var/log/messages ?
Вы похоже в какой-то виртуальной машине FreeBSD запустили? Я такое видел когда работаешь под M$ Virtual PC.

Можно игнорировать эти сооющения...