Блокировка сайтов в alt-server 8

[progmo]

service bind restart

Если б все было так просто. Bind inactive у меня. Думаю это связано с тем, что машина это домен samba-ad + dhcp

[asy]

service bind restart

Если б все было так просто.

Это должно быть именно так просто.

Bind inactive у меня. Думаю это связано с тем, что машина это домен samba-ad + dhcp

Нет. А вот с чем - это надо смотреть /var/log/messages на предмет того, почему bind не запустился.

[progmo]

/var/log/messages на предмет того, почему bind не запустился.

Поскольку сеть работает, dns запросы клиентов домена моего уходят к нему,  от него дальше, то не рискнул запускать bind пока.


UPD в /var/log/messages такие строки нашел

Код: [Выделить]

Dec 12 09:45:51 server-06 bind: RNDC key generation succeeded
Dec 12 09:45:52 server-06 named[1585]: starting BIND 9.9.8-P4 (Extended Support Version) <id:deea0d7>
Dec 12 09:45:52 server-06 named[1585]: reading built-in trusted keys from file '/etc/bind.keys'
Dec 12 09:45:52 server-06 named[1585]: set up managed keys zone for view _default, file 'managed-keys.bind'
Dec 12 10:01:18 server-06 named[3018]: starting BIND 9.9.8-P4 (Extended Support Version) <id:deea0d7>
Dec 12 10:01:18 server-06 named[3018]: using 1 UDP listener per interface
Dec 12 10:01:18 server-06 named[3018]: using up to 4096 sockets
Dec 12 10:01:18 server-06 named[3018]: loading configuration from '/etc/named.conf'
Dec 12 10:01:18 server-06 named[3018]: reading built-in trusted keys from file '/etc/bind.keys'
Dec 12 10:01:18 server-06 named[3018]: using default UDP/IPv4 port range: [1024, 65535]
Dec 12 10:01:18 server-06 named[3018]: using default UDP/IPv6 port range: [1024, 65535]
Dec 12 10:01:18 server-06 named[3018]: listening on IPv4 interface lo, 127.0.0.1#53
Dec 12 10:01:18 server-06 named[3018]: sizing zone task pool based on 5 zones
Dec 12 10:01:18 server-06 named[3018]: set up managed keys zone for view _default, file 'managed-keys.bind'






[asy]

/var/log/messages на предмет того, почему bind не запустился.

Поскольку сеть работает, dns запросы клиентов домена моего уходят к нему,  от него дальше, то не рискнул запускать bind пока.

А от него дальше - это куда ? В итоге, кто DNS-запросы-то обрабатывает ?

Dec 12 10:01:18 server-06 named[3018]: listening on IPv4 interface lo, 127.0.0.1#53

Bind запустился, слушает на 127.0.0.1#53. Снаружи недоступен, разумеется, в таком виде. А кто-нибудь ещё 53 порт слушает на других интерфейсах ?

[progmo]

А от него дальше - это куда ?

Ну клиента dns выдается как ip сервера, у сервера dns это роутер на входе в мою сеть, у роутера dns провайдера и первыми стоят яндекс днсы

А кто-нибудь ещё 53 порт слушает на других интерфейсах ?

netstat -natp | grep 53

Код: [Выделить]

tcp        0      0 0.0.0.0:53                  0.0.0.0:*                   LISTEN      1576/samba
tcp        0      0 0.0.0.0:5355                0.0.0.0:*                   LISTEN      849/systemd-resolve
tcp        0      0 :::53                       :::*                        LISTEN      1576/samba
tcp        0      0 :::5355                     :::*                        LISTEN      849/systemd-resolve


[asy]

О как. Это Samba, получается, функции DNS исполняет ? Я дел с Самбой мало имею, даже не знаю, что дальше сказать. А как у неё настройки DNS делаются ?

Далее - неопробованное предположение, как сделать. В /etc/net/ifaces/lo/ipv4address добавить 127.0.0.2/8, Bind запустить до Самбы, в конфиге (options.conf) дописать listen-on { 127.0.0.2; };. У Самбы найти (если это, в принципе, возможно), где задаётся переадресация запросов на какие-то конкретные DNS и указать 127.0.0.2. Почему не 127.0.0.1 ? Я без понятия, должна ли Самба на 127.0.0.1 висеть. Если не должна, то можно без 127.0.0.2, но Bind должен быть запущен до Самбы всё равно. Либо Самбе самой надо список интерфейсов задать, чтобы на все не развешивалась.

[progmo]

Либо Самбе самой надо список интерфейсов задать, чтобы на все не развешивалась.

Это пока не для моих мозгов :( Подожду, может гуру форума подскажут решение.

Думаю может пока запустить на старом сервере dnsmasq но без выдачи ip (dhcp), а в альт сервере прописать его вторым днс`ом для локальных клиентов

[asy]

а в альт сервере прописать его вторым днс`ом для локальных клиентов

А где ? Слушает-то Самба. Если известно, где прописать, чтобы она реагировала, то вариант с Bind на 127.0.0.2 вполне должен сработать. Или прописать имеется ввиду на клиентах ? Если да, то так не пойдёт - Самба-то правильно отвечать будет, наверное ?

[progmo]

А где ?

В альтераторе

[asy]

А где ?

В альтераторе

Понятно. Это то, что DHCP клиентам отдаёт. А этот 172.22.4.206 - это кто ? Вот именно его надо заставить форвардить на таким образом настроенный Bind.

[progmo]

Идея моя не прошла, в альтераторе нельзя в поле DNS-сервер прописать более одного IP

А этот 172.22.4.206 - это кто

Это и есть новый сервер, где samba-ad

[asy]

Это и есть новый сервер, где samba-ad

Тогда возвращаемся к вопросу, как у Самбы DNS настраивается, и можно ли там форвардинг запросов описать.

Собственно, вот тут написано, что можно:
https://wiki.samba.org/index.php/Samba_Internal_DNS_Back_End

Осталось понять, проглотит ли она занятый 127.0.0.2:53.

И, разумеется, если есть сервер с dnsmasq форвард у samba-dc можно прописать на него. Кстати, не важно, dnsmasq этим будет заниматься, или bind (и на samba-dc можно на 127.0.0.2 не bind поднимать, а dnsmasq). Это уже личные предпочтения, скорее. Другой вопрос, что с точки зрения удобства лучше всё это совместить в рамках одной железки.

[progmo]

и на samba-dc можно на 127.0.0.2 не bind поднимать, а dnsmasq

Вот это было бы моим спасением, поднять на самом новом сервере dnsmasq. Вопрос не помешает ли это работе домена? И как это реализовать практически. Ну как поднять dnsmasq думаю понятно, а как отключить bind - если он и так остановлен?

[asy]

и на samba-dc можно на 127.0.0.2 не bind поднимать, а dnsmasq

Вот это было бы моим спасением, поднять на самом новом сервере dnsmasq. Вопрос не помешает ли это работе домена?

Всё зависит от того, как среагирует Samba на занятый 127.0.0.2#53.

И как это реализовать практически.

Один в один, как я про Bind написал. Просто конфиги другие.

Ну как поднять dnsmasq думаю понятно, а как отключить bind - если он и так остановлен?

chkconfig bind off. Или вовсе удалить, раз не используется.

[Skull]

alterator-net-domain или самостоятельно dns forwarder в smb.conf