Добрым словом и кулаком, добьёшься больше чем одним добрым словом.
https://forum.lissyara.su/
потому после старта в rc.conf он запускается по поднятия PPPoE соединения и не работает правильно, нужно рестартовать.ChihPih писал(а):А зачем перезапускать сервер имен в данном случае?
Код: Выделить всё
itc:
!bg /etc/pf-anchor.sh
Код: Выделить всё
itc:
!bg /etc/pf-anchor.sh Код: Выделить всё
/ect/rc.d/named restart Код: Выделить всё
#!/bin/sh
Модуль mac_portacl(4) используется для ограничения привязки (binding) к локальным портам TCP и UDP, используя различные переменные sysctl. По сути mac_portacl(4) делает возможной привязку к привилегированным портам, т.е. к портам с номерами меньше 1024 для не-root пользователей.
Каких прав? DNS стартует раньше, чем будет получен адрес по pppoe и соответственно не найдя адрес - не слушает его. Перезапуск с уже полученным адресом показывает, что адрес успешно "слушается" bind'om.ChihPih писал(а):Таким что bind тупо не может создать прослушивающий сокет на 53 порту, после сброса прав.
У меня все робит с mac_portacl без перезапусков.Каких прав? DNS стартует раньше, чем будет получен адрес по pppoe и соответственно не найдя адрес - не слушает его. Перезапуск с уже полученным адресом показывает, что адрес успешно "слушается" bind'om.
Код: Выделить всё
bsd9# grep 'listen-on' /etc/namedb/named.conf
listen-on { any; };
// listen-on-v6 { ::1; };
bsd9# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0c:29:fa:d9:38
inet 192.168.5.104 netmask 0xffffff00 broadcast 255.255.255.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bsd9# /etc/rc.d/named start
wrote key file "/var/named/etc/namedb/rndc.key"
Starting named.
bsd9# sockstat | grep named
bind named 14554 3 dgram -> /var/run/logpriv
bind named 14554 20 tcp4 192.168.5.104:53 *:*
bind named 14554 21 tcp4 127.0.0.1:53 *:*
bind named 14554 22 tcp4 127.0.0.1:953 *:*
bind named 14554 23 tcp6 ::1:953 *:*
bind named 14554 512 udp4 192.168.5.104:53 *:*
bind named 14554 513 udp4 127.0.0.1:53 *:*
bsd9# ifconfig em0 alias 1.1.1.1/24
bsd9# ifconfig tun0 create
bsd9# ifconfig tun0 2.2.2.2/24 2.2.2.1
bsd9# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0c:29:fa:d9:38
inet 192.168.5.104 netmask 0xffffff00 broadcast 255.255.255.255
inet 1.1.1.1 netmask 0xffffff00 broadcast 1.1.1.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 2.2.2.2 --> 2.2.2.1 netmask 0xffffff00
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
bsd9# sockstat | grep named
bind named 14554 3 dgram -> /var/run/logpriv
bind named 14554 20 tcp4 192.168.5.104:53 *:*
bind named 14554 21 tcp4 127.0.0.1:53 *:*
bind named 14554 22 tcp4 127.0.0.1:953 *:*
bind named 14554 23 tcp6 ::1:953 *:*
bind named 14554 512 udp4 192.168.5.104:53 *:*
bind named 14554 513 udp4 127.0.0.1:53 *:*
Код: Выделить всё
bsd9# nc -uv 192.168.5.104 53
Connection to 192.168.5.104 53 port [udp/domain] succeeded!
^C
bsd9# nc -uv 1.1.1.1 53
bsd9#Выдержка из кода версии 9.9.1-P2Что за термин такой "сбрасывает права"?
Код: Выделить всё
/*
* For operating systems which have a capability mechanism, now
* is the time to switch to minimal privs and change our user id.
* On traditional UNIX systems, this call will be a no-op, and we
* will change the user ID after reading the config file the first
* time. (We need to read the config file to know which possibly
* privileged ports to bind() to.)
*/
ns_os_minprivs();
Код: Выделить всё
void
ns_os_minprivs(void) {
#ifdef HAVE_SYS_PRCTL_H
linux_keepcaps();
#endif
#ifdef HAVE_LINUXTHREADS
ns_os_changeuser(); /* Call setuid() before threads are started */
#endif
#if defined(HAVE_LINUX_CAPABILITY_H) && defined(HAVE_LINUXTHREADS)
linux_minprivs();
#endif
}
Код: Выделить всё
void
ns_os_changeuser(void) {
char strbuf[ISC_STRERRORSIZE];
if (runas_pw == NULL || done_setuid)
return;
done_setuid = ISC_TRUE;
#ifdef HAVE_LINUXTHREADS
#ifdef HAVE_LINUX_CAPABILITY_H
if (!non_root_caps)
ns_main_earlyfatal("-u with Linux threads not supported: "
"requires kernel support for "
"prctl(PR_SET_KEEPCAPS)");
#else
ns_main_earlyfatal("-u with Linux threads not supported: "
"no capabilities support or capabilities "
"disabled at build time");
#endif
#endif
if (setgid(runas_pw->pw_gid) < 0) {
isc__strerror(errno, strbuf, sizeof(strbuf));
ns_main_earlyfatal("setgid(): %s", strbuf);
}
if (setuid(runas_pw->pw_uid) < 0) {
isc__strerror(errno, strbuf, sizeof(strbuf));
ns_main_earlyfatal("setuid(): %s", strbuf);
}
#if defined(HAVE_SYS_PRCTL_H) && defined(PR_SET_DUMPABLE)
/*
* Restore the ability of named to drop core after the setuid()
* call has disabled it.
*/
if (prctl(PR_SET_DUMPABLE,1,0,0,0) < 0) {
isc__strerror(errno, strbuf, sizeof(strbuf));
ns_main_earlywarning("prctl(PR_SET_DUMPABLE) failed: %s",
strbuf);
}
#endif
#if defined(HAVE_LINUX_CAPABILITY_H) && !defined(HAVE_LINUXTHREADS)
linux_minprivs();
#endif
}
Походу предыдущие посты вы прочли по диагонали... У него нет прав создавать прослушивающие сокеты на новых IP адресах. Поставьте net.inet.ip.portrange.reservedlow = net.inet.ip.portrange.reservedhigh = 0 и повторите эксперимент.При указании listen-on { any; }; bind слушает все доступные на момент запуска интерфейсы/IP-адреса! Если после запуска появиться новый интерфейс или IP-адрес то без перезапуска он его слушать не будет!
Если вам это непонятно, почитайте про bind, проведите эксперименты и поймёте, как он работает.
Вот, не поленился, проделал (FreeBSD 9, bind 9.9.1.2)
Есть "switch to minimal privs and change our user id", но переводиться оно по другому.Bind стартует под рутом (у которого нет ограничений), и потом переключается под простого пользователя, у которого гораздо меньше прав. Доходит надеюсь - было много, стало мало, то есть он сбрасывает права (привилегированного пользователя до уровня простого). Надеюсь щас ферштеен )))Да и я не увидел термина сбрасывания прав Есть "switch to minimal privs and change our user id", но переводиться оно по другому.
Код: Выделить всё
29-Dec-2011 20:43:34.282 network: could not listen on UDP socket: permission denied
29-Dec-2011 20:43:34.308 network: creating IPv4 interface ng0 failed; interface ignored
29-Dec-2011 21:43:34.283 network: could not listen on UDP socket: permission denied
29-Dec-2011 21:43:34.283 network: creating IPv4 interface ng0 failed; interface ignored
29-Dec-2011 22:43:34.284 network: could not listen on UDP socket: permission denied
29-Dec-2011 22:43:34.284 network: creating IPv4 interface ng0 failed; interface ignored
Код: Выделить всё
net.inet.ip.portrange.reservedlow=0
net.inet.ip.portrange.reservedhigh=0
security.mac.portacl.rules=uid:53:udp:53,uid:53:tcp:53
Есть кэп1) засунь своё "пля" себе подальше. Если не умеешь себя вести на форуме - лучше не заходи и не пиши.
Не получилось, твои проблемы. В рассылке никто не настаивал (и уж тем более "мягко" никого никуда не отсылали) на mac_portacl, было как предложение для FreeBSD. Поскольку там возникла та же проблема с недостатком прав. Поф что через час - вторичный DNS никто не отменял.2) я проделал всё, как ты описал, но бинд так и не стал слушать новые ИПы и новые интерфейсы. Пункт3 не сработал (я подождал 10 минут - можно ждать и час и 2, но кому нужен DNS сервер, который стартонёт через час?). Как оказалось нужно было подождать всего лишь ещё 50 минут, но мне было лень ждать.
Покопавшись в инете, нашёл интересное обсуждение http://www.mail-archive.com/bind-users@ ... 13319.html как раз в тему. Так вот, там один чел тоже вклинился с mac_portacl, но его "мягко" послали. Итого: существуют (на мой взгляд) несколько решений
- через скрипт в pppoe restart демона named'a (решение универсальное и годиться как для Linux так и для FreeBSD, Solaris, OpenBSD и может других)
- через скрипт в pppoe rndc reconfig (решение универсальное и годиться как для Linux так и для FreeBSD, Solaris, OpenBSD и может других)
- добавить в конфиг named'a параметр interface-interval 1; который заставит проверять наличие новых интерфейсов каждую минуту (решение универсальное и годиться как для Linux так и для FreeBSD, Solaris, OpenBSD и может других), но зачем это надо? как часто у вас добавляются новые интерфейсы, а зачем создавать лишнюю нагрузку (хоть и небольшую) на сервер?
Ну так топик, как собственно и форум, посвящен в основном ОС FreeBSD.Решение от тебя (если вообще оно рабочее) - сугубо завязано на freebsd и требует лишних движений. Хочется привести сюда картинку про буханку хлеба и троллейбус.
Это так сложно - прописать одну строчку в loader.conf и три в sysctl.conf, все пальцы об клаву смозолить можно.ПС. Зачем себе усложнять жизнь, если всё можно решить намного проще?
Предложенное тобой действие хорошо, если софт юзает один порт, а если это ipfw, который к примеру заблокирует интерфейс tun0... Так что решение skeletor'а универсальнее и кстати те же 2-и строчки, но в только в другом файле...ChihPih писал(а): Это так сложно - прописать одну строчку в loader.conf и три в sysctl.conf, все пальцы об клаву смозолить можно.