Автор Тема: Блокировка сайтов в alt-server 8 (Прочитано 2861 раз)

progmo · « **Ответ #30 :** 13.12.2016 19:35:32 »

Цитата: Skull от 13.12.2016 19:26:48

alterator-net-domain или самостоятельно dns forwarder в smb.conf

Ув. Андрей значит связка dnsmasq + samba-ad должна работать без проблем? В смысле это дикие костыли или вполне нормальное решение? И домен будет работать и dns на базе dnsmasq

dns forwarder в /etc/samba/smb.conf указывает на вышестоящий днс сервер, в моем случае это адрес роутера на входе в корпоративную сеть.
Полагаю Вы имели ввиду указать тут ip другого сервера в сети, где поднят dnsmasq. А можно ли dnsmasq включить на сервере где поднят домен samba-ad?

Skull · « **Ответ #31 :** 13.12.2016 22:33:01 »

Я не работал с dnsmasq и по его поводу ничего сказать не могу.

asy · « **Ответ #32 :** 13.12.2016 22:52:56 »

Цитата: Skull от 13.12.2016 22:33:01

Я не работал с dnsmasq и по его поводу ничего сказать не могу.

Тут больше вопрос, можно ли запустить samba-dc, если на одном из IP что-то висит на 53 порту. По той ссылке, что я постил ранее, пишут, что "Samba DNS Server Does Not Start", когда занят 127.0.0.1#53. Так что вопрос в том, можно ли поднять ещё один интерфейс, и чтобы Samba либо не пыталась там повиснуть, либо не считала его занятость проблемой.

ruslandh · « **Ответ #33 :** 14.12.2016 00:09:32 »

dnsmasq можно повесить на любой порт. Вопрос в том, что-бы клиент знал, что обращаться надо не по стандартному порту. Ну, или кто-то перенаправлял запросы от

Цитата: /etc/dndmasq.conf

....
# Listen on this specific port instead of the standard DNS port
# (53). Setting this to zero completely disables DNS function,
# leaving only DHCP and/or TFTP.
#port=5353
....

Там ещё много полезных ключиков есть.

asy · « **Ответ #34 :** 14.12.2016 10:28:35 »

Цитата: ruslandh от 14.12.2016 00:09:32

Вопрос в том, что-бы клиент знал, что обращаться надо не по стандартному порту.

Опять же, это вопрос к samba-dc в данном случае.

progmo · « **Ответ #35 :** 14.12.2016 10:57:47 »

Блин, думаю пока откажусь от домена на альте, раз такие сложности. Хранить в нем токлько учетки и иметь кучу проблем в сети не рационально мне кажется.
Уберу роль домена, подниму dnsmasq, он прекрасно справится с моей сотней машин в сети и умеет в одну строчку блокировать сайты. Что мне и надо.

ruslandh · « **Ответ #36 :** 14.12.2016 10:59:02 »

Я что-то не очень пойму - кто у samba-dc сидит на 53-м порту.
Вот смотрю схему:
https://wiki.samba.org/index.php/Samba_AD_DC_Port_Usage
и вижу:

Код: [Выделить]

Samba AD DCs running the Samba internal DNS server.
т.е. это может быть и dnsmasq.

ruslandh · « **Ответ #37 :** 14.12.2016 11:00:45 »

Зачем иметь и bind и dnsmasq?

ruslandh · « **Ответ #38 :** 14.12.2016 11:01:09 »

Только из-за альтератора?

progmo · « **Ответ #39 :** 14.12.2016 11:02:53 »

Цитата: ruslandh от 14.12.2016 10:59:02

Я что-то не очень пойму - кто у samba-dc сидит на 53-м порту.

Самба и сидит. dnsmasq вообще отключен (служба)

Код: [Выделить]

tcp        0      0 0.0.0.0:53                  0.0.0.0:*                   LISTEN      1576/samba
tcp        0      0 0.0.0.0:5355                0.0.0.0:*                   LISTEN      849/systemd-resolve
tcp        0      0 :::53                       :::*                        LISTEN      1576/samba
tcp        0      0 :::5355                     :::*                        LISTEN      849/systemd-resolve

progmo · « **Ответ #40 :** 14.12.2016 11:06:00 »

Цитата: ruslandh от 14.12.2016 11:00:45

Зачем иметь и bind и dnsmasq?

Нет такой цели. Пусть будет bind, если б в нем можно было блочить сайты, как мне писали пример выше в теме. Но он отключен когда машина в роли домена samba-ad выступает. На 53 м порту самба висит, и как я понимаю просто форвардит запросы на адрес который указан в /etc/samba/smb.conf

Код: [Выделить]

[global]
        netbios name = SERVER-06
        realm = AAA.ORG
        workgroup = AAA
        dns forwarder = 172.22.4.1
        server role = active directory domain controller
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/mcx.org/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

Это весь конфиг smb.conf

Skull · « **Ответ #41 :** 14.12.2016 12:19:05 »

Цитата: asy от 14.12.2016 10:28:35

Цитата: ruslandh от 14.12.2016 00:09:32
Вопрос в том, что-бы клиент знал, что обращаться надо не по стандартному порту.
Опять же, это вопрос к samba-dc в данном случае.

https://wiki.samba.org/index.php/Samba_Internal_DNS_Back_End
По документации порт не меняется. Как вариант — иметь долгие разборки с увязкой с bind (который в Альте ещё и в чруте).
Проще и быстрее виртуалку поднять.

asy · « **Ответ #42 :** 15.12.2016 20:05:56 »

Цитата: Skull от 14.12.2016 12:19:05

Проще и быстрее виртуалку поднять.

Может быть.

Кстати, ещё идея. Повесить обычный DNS на 127.0.0.2:5353 какой-нибудь, в Самбе сделать переадресацию на 127.0.0.2, а через iptables редиректить 53 на 5353, если запрос на 127.0.0.2.

progmo · « **Ответ #43 :** 15.12.2016 20:34:39 »

Цитата: asy от 15.12.2016 20:05:56

Кстати, ещё идея.

Я к сожалению сдался :(
Вот в новой теме другую проблему теперь решаю. Зря связался с доменом, опыта еще мало https://forum.altlinux.org/index.php?topic=37765.msg301535#msg301535

Dmytro · « **Ответ #44 :** 15.12.2016 22:05:38 »

Цитата: progmo от 15.12.2016 20:34:39

Я к сожалению сдался :(

Я не думаю, что "к сожалению". Вы попытались сразу построить очень сложную систему, не имея для этого базовых знаний ни в используемом продукте, ни в принципах работы подобных систем. После чего трезво оценили свои возможности. Уверен, решение на данном этапе правильное.

Сейчас настроите сервисы попроще, освоите Linux получше... А дальше по мере накопления информации и роста потребностей вернетесь к своему начинанию, но уже с четким пониманием того, что Вам нужно. Вот тогда и сможете построить хорошую инфраструктуру.

Форум сообщества
Альт Линукс