» Кеширующий DNS сервер для локальной сети на основе BIND 9

Route
я не знаю как оно работает, но мне почему-то кажется, что в этой записи просто указываются сети , с которых может почта от данного домена.
Очень даже правильная идея.

Добавлено:
P.S. почему-то вспомнилось:
на каждую хитрую задницу всегда найдется болт с левой резьбой. Спамеры все равно что-то придумают

Цитата:

Прописывается под ip4 должны все сети, что у меня ходят, т.е. локальные, или только те, кому предназначен данный домен?

Прописываться должны только те адреса, с которых идет почта из твоего домена.
Если отсылкой почты занимаются только компы, адреса которых прописаны в MX - то можно сделать так:
"v=spf1 mx -all"


Цитата:

Спамеры все равно что-то придумают

Тут уже хрен что придумаешь - если эта технология будет использоваться повсеместно - то спамерам для нелегальной рассылки придется взламывать почтовики или ДНС сервера...

BigHarry

Цитата:

Тут уже хрен что придумаешь - если эта технология будет использоваться повсеместно - то спамерам для нелегальной рассылки придется взламывать почтовики или ДНС сервера...

Чтобы использовать эту технологию повсеместно нужно очень большое желание и убедительные доводы, каких пока у данной технологии более чем недостаточно.

Вообще-то у SPF есть один косяк неприятный. Я на эти грабли уже наступил, поэтому хочу и вас предупредить.

Однажды у нас были проблемы с почтовым сервером и прием почты с внешних адресов был отключен на несколько часов, соответственно вся почта, адресованная на наш домен, шла на другой MX, являющийся бэкапом основного. После восстановления нормальной работы сервера вся внешняя почта, пришедшая за время простоя почтового сервера, пошла с этого бэкап MX-а. Но фишка-то в том, что мой бэкап-MX не прописан в SPF тех почтовых доменов, откуда почта была отослана. Соответственно, вся эта почта была отвергнута моим сервером, как не прошедшая SPF-проверку. Хорошо еще, что дело было на 8 Марта и все это были поздравления-открытки. Пришлось отключать проверку почты на SPF, если соединение установлено с бэкап-MXами. Тонкость, которую надо [у]знать.

Добавлено:
Естесственно, что была отвергнута почта только с тех доменов, которые имеют SPF-запись.

ooptimum
И это только одна ситуация...
А если провайдер сменит диапазон IP-аддресов...
А целая проблема с переадресацией и релеями...
Так что SPF пока не панацея...

Впрочем я уже начал оффтопить, потому умолкаю ;)

ooptimum
Причем тут косяки SPF ? Эта проблема в настройках вашего сервера, а не в SPF, ведь ваш почтовик зачем-то проверял SPF, принимая почту с резервного.
Tropin
Если провайдер сменит диапазон IP адресов - то он наверняка сделает соотвествующие поправки в ДНС записях, иначе - такой провайдер рискует получить кучу шишек от злых клиентов.

Zmey

Время жизни данных в кэшеше, полученных от какого либо сервера имён, определяется параметром TTL в секундах (запись в файле зоны вида: $TTL 3800), указаным в зонном файле того сервера, откуда инфа получена.

HighTower
существует механизм распределения нагрузки. для этого есть запись SRV в зонном файле. Выглядит она так:

служба.протокол.имя [ttl] IN SRV приоритет вес порт сервер

пример - 25% веб запросов обслуживает новый сервер, остальное - старый:

http.tcp.www SRV 0 1 80 www.server.ru
SRV 0 3 8080 old.server.ru

а чтоб проходили по резервному каналу, когда основной недоступен то это динамическая маршрутизация с применением OSPF или BGP/ Например с помощью gated.


А теперь такой вопрос - в биндах есть опция, указываемая в файле конфигурации, что выполняет "забирание" не только резолва, но и всего кеша с сервера, откуда адрес резолвится, если это не запрещено админом (обычно в россии не запрещено). Кто помнит как она выглядит?

Tropin

Цитата:

И это только одна ситуация...
А если провайдер сменит диапазон IP-аддресов...
А целая проблема с переадресацией и релеями...
Так что SPF пока не панацея...

а если мыши мыши кабель перегрызут?
а какая проблема ?
а вот если бы все пользовались, тогда бы мне не валились по 50 писем откатов в день на ролевое мыло.

Доброго времени.
Вот такая интересная проблемма вылезла:

; <<>> DiG 9.2.3 <<>> @myhost.ru
;; global options: printcmd
;; connection timed out; no servers could be reached

Хотя в процессах :

1889 ? S 0:00 /usr/sbin/named -u named
2045 pts/1 S 0:00 grep named

в логах никакой ругани нет...
все запустилось...

может кто подскажет

P/S
система FC2
Bind 9.2.3

Заранее благодарен.[q][/q]

Всем ку-ку!
А кто-нибудь поднимал на одной машине несколько -MASTER зон?

как обратная зона пишется - адрес-то один, а доменов много?

alexicmow

Цитата:

Всем ку-ку!
А кто-нибудь поднимал на одной машине несколько -MASTER зон?

нет, у нас вот пару К доменов есть - на каждый стоит отдельный ДНС . представляешь как это все выглядит ?:)


Цитата:

как обратная зона пишется - адрес-то один, а доменов много?

а при чем тут обратная зона ?

Доброго времени суток.

Необходимо сделать почту для локальной сети.
Для этого надо:
- настроить у себя master DNS
- настроить slave DSN - буду использовать ресурс secondary.net.ua
- настроить трансфер зон с master na slave
- зарегистрировать и купить домен
- ну и дальше строить собственно почту.

Есть SUSE 9.2. Есть ADSL модем, через который собственно мы выходим наружу.
Модем и suse включены в общий свич (туда же подключены и все компы фирмы)
На модеме есть два сетевых интерфейса - один езернет (192.168.0.6), второй ppp0 - внешний статический IP:


Код:
BusyBox v0.61.pre (2004.10.14-08:14+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

# ifconfig
br0 Link encap:Ethernet HWaddr 00:0F:3D:F2:0F:F5
inet addr:192.168.0.6 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:24238356 errors:0 dropped:0 overruns:0 frame:0
TX packets:4761812 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2997549662 (2858.6 Mb) TX bytes:2958801868 (2821.7 Mb)

eth0 Link encap:Ethernet HWaddr 00:0F:3D:F2:0F:F5
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:24239061 errors:0 dropped:0 overruns:0 frame:0
TX packets:4761812 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3336935792 (3182.3 Mb) TX bytes:2958801868 (2821.7 Mb)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

nas0 Link encap:Ethernet HWaddr 00:0F:3D:F2:0F:F5
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4823117 errors:0 dropped:0 overruns:0 frame:0
TX packets:4691168 errors:55843 dropped:0 overruns:55843 carrier:0
collisions:0 txqueuelen:100
RX bytes:2930130866 (2794.3 Mb) TX bytes:2219772605 (2116.9 Mb)

ppp0 Link encap:Point-Point Protocol

inet addr:.XXX.YYY.ZZZ.16 P-t-P:XYZ.ZXY.ZYZ.ZXX Mask:255.255.255.255


UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:4798380 errors:0 dropped:0 overruns:0 frame:0
TX packets:4722273 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2890605922 (2756.6 Mb) TX bytes:2079437028 (1983.1 Mb)

#

прям какой-то жж получается, типа история из жизни.


Цитата:

ладно.. мне пора.. завтра допишу со всеми точными данными

ну ладно - давай... дописывай.


Только нормально пиши, потому что я нифига не понял.

tankistua
ну кажись нормально написал...

и никото ничего не посоветует ?

все.. проблема пофиксена.
спасибо ooptimum

на модеме в дефолтноv правилt проброски DNS запросов из протоколов был токо UDP.
А как выяснилось - трансферинг зон проходит по TCP/
Итого, стоило создать новое правило в котором есть и UDP и TCP и все сразу зашуршало !

I love Ru-Board !

А че за глюк:
Ошибка загрузки зоны root.hint: файл не найден
Соответственно дальше bind не грузится.
Народ,HELP!

Цитата:

А че за глюк:
Ошибка загрузки зоны root.hint: файл не найден
Соответственно дальше bind не грузится.
Народ,HELP!

нет зоны описывающей корневые сервера
в конфиг
zone "." {
type hint;
file "named.root"; };
зону берем с ftp://ftp.internic.net/domain/named.root но там она старая поэтому берем свежую
dig @e.root-servers.net . ns >named.root

Цитата:

Dr_Spectre

Да в том то и дело - описание корневой зоны с описанием файла зоны - все это есть.
named-checkzone проверяет зону в файлике - все ок (ну там нет ни одной записи SOA...)
А вот именно при загрузке bind не прокатывает. Я уже закидывал в другие папки с указанием пути к файлу named.root и сам файл по другому обзывал - ну нифига?
Я знаю, что чудес не бывает - ??????

ну подскажите - почему-то пишутся большие по размеру логи - 10 минул - 1 мег
смутно подозреваю что так быть недолжно, или это нормально ?

доброго времени всем

такая проблемка.
на 53 порт генерится довольно большой траффик 20 30 Мб в сутки

в логах постоянно записи типа lame server resolving
думаю дело в этом..
вопрос как это прекратить
заранее благодарен.

RER
эти записи из-за неправильно настроенного днс, которому делегировали зону
этот днс неавторитативен для делегированной ему зоны
прекратить ты это не сможешь

посмотри какие зоны у тебя запрашивают и напиши адлминистратору домена, что пусть он лучше уберет тебя с нс-ов.

Рекомендую напугать тем, что ты поднимешь зону и пропишешь в нее, чего захочешь :)
А в качестве мх-ов прописать 127.0.0.1 - вот веселуха то будет :)

Может быть что то недопонимаю
на этом ДНС поднята зона под локальный домен...
более ничего....
может я что в настройках намудрил

lime degation - это к тебе обращаются за данными из зоны.

Т.е. получается , что кто-то вписал в качестве нс-ов для какого-то домена твой сервер. Пошерсти логи, на предмет какой домен запрашивается. А потом уже решай, что с этим делать.

tankistua
Дык доменов кучи запрашивается..
причем разные все

В resolv.conf есть замечательная опция search. И если я пытаюсь сделать запрос на Linux машине:
nslookup qqq
то из search добавляются хвостики и привисываются в конце, пока не найдется IP-адрес.
Вопрос - как заставить это же делать BIND ?
Т.е. чтобы nslookup qqq с других машин (само собой, что DNS-сервер у них - это Linux машина) тоже работал.

Labutin
Если разговор про виндовые клиенты, то в настройках tcp/ip есть Кнопка дополнительно, вкладка DNS и там можно суффиксы прописать.

Клиенты действительно виндовые. Но на каждом так не очень хочется делать (домена нет). Можно BIND научить суффиксы добавлять?

Labutin имхо bind так не заставить работать ! впрочем я не гуру в bind и точно утверждать не буду ! как вариант на самих виндовых тачках в tcp/ip во вкладке dns можно прописать dns суффиксы, которые нужно добавлять .