DNS сервер

[Olej]

я по этому поводу книгу читал, вспомнить бы какую...

1. Кэширующий DNS:

- Кеширующий DNS сервер для локальной сети на основе BIND 9 - это старая (2004г.) публикация (авт. Дмитрий Донченко), но на неё часто ссылаются (это FreeBSD, но разницы большой нет).

- Настройка кеширующего DNS сервера (BIND) для локальной сети. - это уже гораздо свежее (декабрь 2011г.). Здесь же, мельком, зацепили вопрос связки DNS + DHCP (см. ниже п.2):

Нет не Донченко. Я вспомнил, а затем нашел её. Это книга авторов Крикет Ли и Пол Альбитц - "DNS и BIND руководство для системных администраторов". Там на примере выдуманной доменой зоны расматривается обслуживание двух Enternet - сетей

Нет, я не имел в виду напомнить вам книгу
Тем более, что книгу, что вы назвали, я знаю, это одно из самых известных изданий в мире - http://www.books.ru/books/dns-i-bind-5- ... 30/?show=1:

Эта книга - Библия системного администратора по DNS ... но:
- она ориентирована на администратора крупной корпоративной сети ... и на bind;
- а я задал совершенно частную формулировку: разрешение внутренних имён в небольшой LAN (5-10-20-50 хостов) с DHCP;
- и для этого, мне кажется, больше подойдёт не bind, а dnsmasq
- совмещающий в себе одновременно функции и сервера DHCP и согласованного с ним в пару кэширующего сервера DNS
- и тем более, dnsmasq включен в репозитарии большинства дистрибутивов - легко установить попробовать:

Код: Выделить всё

bash-4.2$ yum list dnsmasq*
...
Установленные пакеты
dnsmasq.i686                                                 2.63-1.fc17                                           @_local 
dnsmasq-utils.i686                                           2.63-1.fc17                                           @updates

- достаточно хорошо описано вкратце конфигурирование для LAN - Dnsmasq:

Dnsmasq это легкий, простой в настройке DNS Forwarder и DHCP сервер. Он предназначен для поддержки DNS и DHCP, в небольших сетях (обычно до 50 компьютеров). Для локальных компьютеров он может использоваться как внутрений DNS сервер. Поскольку сервера DNS и DHCP интегрированы в dnsmasq то без проблем строится DDNS (динамический DNS). Dnsmasq поддерживает статический и динамический DHCP а также BOOTP/TFTP/PXE для загрузки по сети бездисковых машин.

- там даны готовые внятные примеры конфигураций...
- вот ещё свежий (8 января 2012 г.) текст, описывающий многие полезные опции настройки DNS/DHCP: Установка и настройка dnsmasq (DNS, DHCP, BOOTP/PXE, TFTP сервер).

Правда, я пока нигде не могу найти полного описания опций в конфиг файле, их синтаксиса, особенно для опций DHCP, записываемых в форме:

Код: Выделить всё

dhcp-option=3,192.168.10.1

- по номеру (3) опции , в показанном примере это собщаемый по DHCP "IP шлюза по умолчанию" ... наглядно

[Olej]

Правда, я пока нигде не могу найти полного описания опций в конфиг файле, их синтаксиса, особенно для опций DHCP, записываемых в форме:

Код: Выделить всё

dhcp-option=3,192.168.10.1

- по номеру (3) опции , в показанном примере это собщаемый по DHCP "IP шлюза по умолчанию" ... наглядно

Но очень много можно извлечь из online help:

Код: Выделить всё

bash-4.2$ man dnsmasq
DNSMASQ(8)                                                                                                   DNSMASQ(8)

NAME
       dnsmasq - A lightweight DHCP and caching DNS server.

SYNOPSIS
       dnsmasq [OPTION]...

DESCRIPTION
       dnsmasq  is a lightweight DNS, TFTP and DHCP server. It is intended to provide coupled DNS and DHCP service to a
       LAN.

- дальше следует огромный текст.

Код: Выделить всё

bash-4.2$ dnsmasq --help dhcp
Known DHCP options:
  1 netmask
  2 time-offset
  3 router
  6 dns-server
  7 log-server
  9 lpr-server
 13 boot-file-size
 15 domain-name
 16 swap-server
 17 root-path
 18 extension-path
 19 ip-forward-enable
 20 non-local-source-routing
 21 policy-filter
 22 max-datagram-reassembly
 23 default-ttl
 26 mtu
 27 all-subnets-local
 31 router-discovery
 32 router-solicitation
 33 static-route
 34 trailer-encapsulation
 35 arp-timeout
 36 ethernet-encap
 37 tcp-ttl
 38 tcp-keepalive
 40 nis-domain
 41 nis-server
 42 ntp-server
 44 netbios-ns
 45 netbios-dd
 46 netbios-nodetype
 47 netbios-scope
 48 x-windows-fs
 49 x-windows-dm
 60 vendor-class
 64 nis+-domain
 65 nis+-server
 66 tftp-server
 67 bootfile-name
 68 mobile-ip-home
 69 smtp-server
 70 pop3-server
 71 nntp-server
 74 irc-server
 77 user-class
 93 client-arch
 94 client-interface-id
 97 client-machine-id
119 domain-search
120 sip-server
121 classless-static-route
125 vendor-id-encap
255 server-ip-address

P.S. + компактный FAQ от авторов проекта.

[Olej]

- и для этого, мне кажется, больше подойдёт не bind, а dnsmasq

Это именно то, что требуется в той постановке задачи, как описано выше...
Записываю конспект для себя ... но может кому ещё пригодится:

1. было:
- ADSL роутер ZTE (ZXV10H108L) 192.168.1.1
- он же DHCP и DNS сервер
- и шлюз по умолчанию для LAN 192.168.1.0/24
Это стандартная конфигурация, как её сделали китайцы и предлагает настраивать Укртелеком.
Не устраивает тем, что хосты получающие IP с DHCP, многие из которых - это виртуальные машины VirtualBox, стартующие в хаотическом порядке, не могут обращаться друг к другу по сетевым именам хостов, а должны это делать по меняющимся от разу к разу IP. И всех ещё нужно обслуживать доступом во внешний Интернет...

2. стало:
- установил dnsmasq ...
- несколько смущает, что эксперименты провожу в Fedora 17 - управление службами под systemd, а все описания dnsmasq - под старой системой /etc/init.d ...
- прописываем конфигурацию ... это можно сделать в 1 файл /etc/dnsmasq.conf, или, как обычно для служб, в несколько любых файлов в каталог /etc/dnsmasq.d, которые обработаются последовательно друг за другом (это и есть как один файл)...

Код: Выделить всё

[root@notebook dnsmasq.d]# cat /etc/dnsmasq.d/dhcp.conf 
dhcp-range=192.168.1.120,192.168.1.159,255.255.255.0,12h	# объявляем диапазон адресов для аренды
dhcp-lease-max=256						# максимальное количество назначений адресов
#dhcp-host=00:1c:c0:e6:cf:98,atom,192.168.1.2			# привязка некоторых имён хостов к фиксированному IP (по MAC адресу)
dhcp-option=option:router,192.168.1.1				# основной шлюз для компьютеров
log-dhcp							# записывать дополнительную отладочную информацию

Код: Выделить всё

[root@notebook dnsmasq.d]# cat /etc/dnsmasq.d/dns.conf 
listen-address=127.0.0.1,192.168.1.5	# принимаем запросы на локальном адресе
#interface=eth0,wlan0			# слушать только эти интерфейсы (из LAN)
domain-needed 		# никогда не пересылать адреса без доменной части
bogus-priv 		# никогда не пересылать адреса из немаршрутизируемого пространства
stop-dns-rebind		# отклонять ответы от вышестоящих DNS серверов
			# с IP адресами локальной сети (блокировать DNS атаки)
rebind-localhost-ok	# отключить проверки для 127.0.0.0/8 
strict-order 		# пересылать запросы, с первого и по порядку
no-resolv		# не использовать /etc/resolv.conf
no-hosts		# не требуется читать /etc/hosts
domain=localdomain
local-ttl=7200		# настройки времени жизни кэша в секундах 7200=2h (два часа)
neg-ttl=14400
max-ttl=86400
address=/notebook/192.168.1.5	# адрес и имя нашего хоста, без этого он не будет разрешаться
address=/atom/192.168.1.7	# хост со статическим IP
# внешние DNS в порядке опроса:
server=192.168.1.1 	# ADSL ZTE router WAN
server=8.8.4.4#53 	# google OpenDNS
server=4.2.2.6#53	# Verizon DNS

- 1 хост с статическим IP=192.168.1.5 делаем DHCP сервером + кэширующим DNS
- останавливаем DHCP на ZTE роутере, но прописываем его IP=192.168.1.5 в DHCP как шлюз по умолчанию, иначе IP DHCP и будет дефаултом, и его же прописываем как DNS следующего уровня за локальным 192.168.1.5
- добавляю 1-й строчку (127.0.0.1) в /etc/resolv.conf:

Код: Выделить всё

[root@notebook dnsmasq.d]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 127.0.0.1
nameserver 192.168.1.1

- на всех других хостах LAN, использующих этот кэширующий DNS эта 1-я строчка будет вписана в таком виде:

Код: Выделить всё

olej@atom:~$ cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 192.168.1.5
nameserver 192.168.1.1
nameserver 213.179.249.152
nameserver 8.8.8.8

- всё, можно стартовать службу:

Код: Выделить всё

[root@notebook dnsmasq.d]# service dnsmasq start
Redirecting to /bin/systemctl start  dnsmasq.service
[root@notebook dnsmasq.d]# service dnsmasq status
Redirecting to /bin/systemctl status  dnsmasq.service
dnsmasq.service - DNS caching server.
          Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; disabled)
          Active: active (running) since Fri, 21 Sep 2012 18:43:13 +0300; 8s ago
         Process: 6563 ExecStart=/usr/sbin/dnsmasq -s $HOSTNAME (code=exited, status=0/SUCCESS)
        Main PID: 6565 (dnsmasq)
          CGroup: name=systemd:/system/dnsmasq.service
                  └ 6565 /usr/sbin/dnsmasq -s notebook

- проверяем как стартовалось:

Код: Выделить всё

[root@notebook dnsmasq.d]# service dnsmasq status
Redirecting to /bin/systemctl status  dnsmasq.service
dnsmasq.service - DNS caching server.
          Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; disabled)
          Active: active (running) since Fri, 21 Sep 2012 18:54:28 +0300; 3s ago
         Process: 6736 ExecStart=/usr/sbin/dnsmasq -s $HOSTNAME (code=exited, status=0/SUCCESS)
        Main PID: 6738 (dnsmasq)
          CGroup: name=systemd:/system/dnsmasq.service
                  └ 6738 /usr/sbin/dnsmasq -s notebook

Sep 21 18:54:28 notebook dnsmasq[6738]: started, version 2.63rc6 cachesize 150
Sep 21 18:54:28 notebook dnsmasq[6738]: compile time options: IPv6 GNU-getopt DBus no-i18n no-IDN DHCP DHCPv6 no-L...ntrack
Sep 21 18:54:28 notebook dnsmasq-dhcp[6738]: DHCP, IP range 192.168.1.120 -- 192.168.1.159, lease time 12h
Sep 21 18:54:28 notebook dnsmasq[6738]: using nameserver 4.2.2.6#53
Sep 21 18:54:28 notebook dnsmasq[6738]: using nameserver 8.8.4.4#53
Sep 21 18:54:28 notebook dnsmasq[6738]: using nameserver 192.168.1.1#53
Sep 21 18:54:28 notebook dnsmasq[6738]: cleared cache

Всё стартовалось!

[Olej]

Всё стартовалось!

А теперь смотрим, что из этого получилось:
- запрос к локальному DNS:

Код: Выделить всё

bash-4.2$ time nslookup qnx.org.ru 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   qnx.org.ru
Address: 72.249.144.181

real    0m0.601s
user    0m0.002s
sys     0m0.006s

- а теперь как он кэширует запросы:

Код: Выделить всё

bash-4.2$ time nslookup qnx.org.ru 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   qnx.org.ru
Address: 72.249.144.181

real    0m0.011s
user    0m0.003s
sys     0m0.007s

- время ответа уменьшилось в 60 раз,
- разрешение имён нескольких локальных хостов LAN (это всё VM в VirtualBox), получивших IP с DHCP

Код: Выделить всё

bash-4.2$ ping fedora
PING fedora (192.168.1.137) 56(84) bytes of data.
64 bytes from fedora.localdomain (192.168.1.137): icmp_req=1 ttl=64 time=0.328 ms
64 bytes from fedora.localdomain (192.168.1.137): icmp_req=2 ttl=64 time=0.327 ms
^C
--- fedora ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.327/0.327/0.328/0.018 ms
bash-4.2$ ping vmUbuntu
PING vmUbuntu (192.168.1.126) 56(84) bytes of data.
64 bytes from vmUBUNTU.localdomain (192.168.1.126): icmp_req=1 ttl=64 time=0.547 ms
64 bytes from vmUBUNTU.localdomain (192.168.1.126): icmp_req=2 ttl=64 time=0.317 ms
^C
--- vmUbuntu ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.317/0.432/0.547/0.115 ms
bash-4.2$ ping debian
PING debian (192.168.1.128) 56(84) bytes of data.
64 bytes from debian.localdomain (192.168.1.128): icmp_req=1 ttl=64 time=1.43 ms
64 bytes from debian.localdomain (192.168.1.128): icmp_req=2 ttl=64 time=0.353 ms
^C
--- debian ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.353/0.894/1.435/0.541 ms

- разрешение имени в LAN хоста со статическим IP (прописанным в dns.conf):

Код: Выделить всё

bash-4.2$ ping atom
PING atom (192.168.1.7) 56(84) bytes of data.
64 bytes from atom (192.168.1.7): icmp_req=1 ttl=64 time=0.208 ms
64 bytes from atom (192.168.1.7): icmp_req=2 ttl=64 time=0.176 ms
^C
--- atom ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.176/0.192/0.208/0.016 ms

[Olej]

А теперь смотрим, что из этого получилось:

А теперь - как всё то же самое выглядит с любого произвольного хоста LAN, получившего IP с DHCP, и использующего тот же кэширующий DNS на 195.168.1.5 :

Код: Выделить всё

olej@debian:~$ uname -n
debian
olej@debian:~$ cat /etc/debian_version 
wheezy/sid
olej@debian:~$ uname -r
3.2.0-2-686-pae

(как вы понимаете, чтобы копировать лог сюда в тему, я могу писать только с этого хоста, а значит, если бы разрешалка DNS не работала, то и вписать бы это не получилось).

- запрос ранее кэшированного (с другого хоста LAN!) имени (время ответа - результат берётся из кэша):

Код: Выделить всё

olej@debian:~$ time nslookup qnx.org.ru
Server:		192.168.1.5
Address:	192.168.1.5#53

Non-authoritative answer:
Name:	qnx.org.ru
Address: 72.249.144.181

real	0m0.035s
user	0m0.020s
sys	0m0.012s

- разрешение DHCP хостов LAN:

Код: Выделить всё

olej@debian:~$ ping fedora
PING fedora.localdomain (192.168.1.137) 56(84) bytes of data.
64 bytes from fedora.localdomain (192.168.1.137): icmp_req=1 ttl=64 time=0.339 ms
64 bytes from fedora.localdomain (192.168.1.137): icmp_req=2 ttl=64 time=0.664 ms
^C
--- fedora.localdomain ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.339/0.501/0.664/0.164 ms
olej@debian:~$ ping vmUbuntu
PING vmUbuntu.localdomain (192.168.1.126) 56(84) bytes of data.
64 bytes from vmUBUNTU.localdomain (192.168.1.126): icmp_req=1 ttl=64 time=1.00 ms
64 bytes from vmUBUNTU.localdomain (192.168.1.126): icmp_req=2 ttl=64 time=0.406 ms
^C
--- vmUbuntu.localdomain ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.406/0.707/1.009/0.302 ms

- разрешение имени хоста LAN со статическим IP:

Код: Выделить всё

olej@debian:~$ ping atom
PING atom (192.168.1.7) 56(84) bytes of data.
64 bytes from atom.local (192.168.1.7): icmp_req=1 ttl=64 time=0.731 ms
64 bytes from atom.local (192.168.1.7): icmp_req=2 ttl=64 time=0.286 ms
^C
--- atom ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.286/0.508/0.731/0.223 ms

- разрешение имени хоста, на котором и работают DHCP+DNS (должен быть прописан в dns.conf отдельной строкой):

Код: Выделить всё

olej@debian:~$ ping notebook
PING notebook (192.168.1.5) 56(84) bytes of data.
64 bytes from notebook.local (192.168.1.5): icmp_req=1 ttl=64 time=0.268 ms
64 bytes from notebook.local (192.168.1.5): icmp_req=2 ttl=64 time=0.391 ms
^C
--- notebook ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.268/0.329/0.391/0.064 ms

[Olej]

Всё стартовалось!

Есть некоторые минимальные вопросы, а в остальном это именно то, что хотелось!

Вопросы требующие уточнения вот какие:

- при управления сетью на хостах Network Manadger (а не ручным конфигурированием ifconfig), он (NM) при новом старте перепишет /etc/resolv.conf ... как-то с этим надо разобраться;

- получается в LAN всё-таки один несимметричный хост (192.168.1.5 в примере), на котором и крутятся DHCP+DNS - он должен стартовать раньше других в LAN.

- запуская dnsmasq я делал вот это:

- останавливаем DHCP на ZTE роутере,

Любопытно, что происходит с LAN, если в ней (по недосмотру, скажем) остаются 2 работающих DHCP?

[Olej]

- при управления сетью на хостах Network Manadger (а не ручным конфигурированием ifconfig), он (NM) при новом старте перепишет /etc/resolv.conf ... как-то с этим надо разобраться;

После перезагрузки хоста (одного из) - NM переписал /etc/resolv.conf, вот так:

Код: Выделить всё

[olej@fedora ~]$ cat /etc/resolv.conf 
# Generated by NetworkManager
domain localdomain
search localdomain
nameserver 192.168.1.5

Т.е. он в качестве DNS получил тот же IP, с которого он получил DHCP.
Это правильно ... но DNS2, DNS3 ... - резервные послетали, если наш кэш-DNS упадёт, то сеть ляжет.

А можно ли как-то NM отучить переписывать /etc/resolv.conf ?
Об этом, кстати, много обсуждений в разных форумах...
И что из этого выйдет?

[Olej]

- запуская dnsmasq я делал вот это:

- останавливаем DHCP на ZTE роутере,

Любопытно, что происходит с LAN, если в ней (по недосмотру, скажем) остаются 2 работающих DHCP?

Снова разрешаю DHCP на ZTE ADSL роутере - 192.168.1.1 (с диапазоном аренды IP = 192.168.1.20 - 192.168.1.59, поэтому сразу будет видно откуда хост получил свой IP).
В LAN 2 DHCP - 192.168.1.5 + 192.168.1.1
+ перезагрузка хоста LAN :

Код: Выделить всё

[olej@fedora ~]$ cat /etc/resolv.conf 
# Generated by NetworkManager
domain localdomain
search localdomain
nameserver 192.168.1.5

[olej@fedora ~]$ ifconfig p2p1
p2p1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.137  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::a00:27ff:fe87:ea29  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:87:ea:29  txqueuelen 1000  (Ethernet)
        RX packets 129  bytes 42150 (41.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 121  bytes 29854 (29.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Хост получил IP с DHCP 192.168.1.5, но каким образом выбрался он?

[Olej]

- при управления сетью на хостах Network Manadger (а не ручным конфигурированием ifconfig), он (NM) при новом старте перепишет /etc/resolv.conf ... как-то с этим надо разобраться;

Вчера ночью я ушёл спать с командой :

Код: Выделить всё

[root@notebook dnsmasq.d]# service dnsmasq enable
Redirecting to /bin/systemctl enable  dnsmasq.service
ln -s '/usr/lib/systemd/system/dnsmasq.service' '/etc/systemd/system/multi-user.target.wants/dnsmasq.service'

И подправив свойства соединения в NetManager:

NM_031.png (59.17 КБ) 8717 просмотров

Сегодня утром загрузился в состоянии (не прикасаясь к настройкам):

Код: Выделить всё

bash-4.2$ service dnsmasq status
Redirecting to /bin/systemctl status  dnsmasq.service
dnsmasq.service - DNS caching server.
	  Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; enabled)
	  Active: active (running) since Sat, 22 Sep 2012 09:36:13 +0300; 8min ago
	 Process: 799 ExecStart=/usr/sbin/dnsmasq -s $HOSTNAME (code=exited, status=0/SUCCESS)
	Main PID: 821 (dnsmasq)
	  CGroup: name=systemd:/system/dnsmasq.service
		  └ 821 /usr/sbin/dnsmasq -s notebook

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.

NM_030.png (55.11 КБ) 8716 просмотров

Код: Выделить всё

bash-4.2$ cat /etc/resolv.conf
# Generated by dnssec-trigger 0.11
nameserver 127.0.0.1

И в итоге:

Код: Выделить всё

bash-4.2$ time nslookup qnx.org.ru
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	qnx.org.ru
Address: 72.249.144.181

real	0m1.285s
user	0m0.002s
sys	0m0.014s

bash-4.2$ time nslookup qnx.org.ru
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
Name:	qnx.org.ru
Address: 72.249.144.181

real	0m0.011s
user	0m0.002s
sys	0m0.009s

DNS кэшируется (причём, на этот раз ускорение обработки запросов DNS из кэша в 110 раз).

[tundra37]

Так почему не сделать привязку к MAC-адресам. Роутеры это умеют, значит есть аппарат в Линукс.
А еще сеть DDNS - динамический DNS, когда каждый узел регистрирует свое имя на этом сервере: делается привязка постоянного имени к динамическому IP.