Перенаправление DNS

[berkut_174]

Плюс у меня есть два LTSP-сервера

Вот только что всё работало, спустя буквально час такая красота в логах:

Код: [Выделить]

Nov  1 11:19:04 srv-ltsp named[31852]: listening on IPv4 interface eno1, 192.168.1.120#53
Nov  1 11:19:04 srv-ltsp named[31852]: could not listen on UDP socket: permission denied
Nov  1 11:19:04 srv-ltsp named[31852]: creating IPv4 interface eno1 failed; interface ignored
Nov  1 11:19:05 srv-ltsp named[31852]: listening on IPv4 interface enp2s0, 192.168.4.1#53
Nov  1 11:19:05 srv-ltsp named[31852]: could not listen on UDP socket: permission denied
Nov  1 11:19:05 srv-ltsp named[31852]: creating IPv4 interface enp2s0 failed; interface ignored
eno1 - смотрит во внешнюю локальную сеть
enp2s0 - раздаёт IP адреса для нужд тонких клиентов, подключаемых к этому LTSP-серверу

Во внешней сети 192.168.1.1 - шлюз, 192.168.1.2 - локальный DNS и DHCP.

[berkut_174]

Поставил на LTSP-сервера dnsmasq вместо bind, работает как надо.
Только почему-то не формируются автоматически файлы /etc/dnsmasq.conf.d/60-resolvconf  и /etc/resolv.conf.dnsmasq, пришлось с машины с Simply Linux выдрать по две строчки с каждого из них. Кто-н. может объяснить почему ?

[Dmytro]

В таком положении можно обойти фильтрацию прописав на машине DNS-сервер руками.

Нет нельзя. Потому что на внешнем интерфейсе роутера, который идёт к провайдеру, прописан DNS от SkyDNS.

Само по себе это не должно блокировать запросы к другим DNS-серверам. Если такие запросы не проходят, значит, роутер блокирует запросы на 53 порт.

[berkut_174]

В общем не выходит каменный цветок...

Огромная просьба подсказать по настройке bind... я что-то окончательно запутался.

Значит схема такая: в роутер Zyxel Keenetic в WAN интерфейс приходит шнурок от провайдера, на роутере настроен сегмент из 3-х LAN со статичным адресом 192.168.2.1. В этом сегменте работает внутренняя локальная сеть, внутри которой есть сервер Кентавр 7 p7 со статичным адресом 192.168.2.100. На этом сервере настроен DNS+DHCP+LDAP+Samba+Squid+etc. На роутере настроен DHCP Relay на сервер Кентавр 7, то есть все клиенты в сети получают адрес с сервера Кентавр 7. На этом сервере по DHCP вместе с IP-адресом передаётся: шлюз - 192.168.2.1, DNS1 - 192.168.2.100, DNS2 - 193.58.251.251, домен поиска - firma. Статичный интерфейс на этом сервере имеет настройки:

resolv.conf

Код: [Выделить]

nameserver 192.168.2.100
nameserver 193.58.251.251
ipv4route

Код: [Выделить]

default via 192.168.2.1
ipv4address

Код: [Выделить]

192.168.2.100/24
Дело в том, что если на сервере прописаны DNS-сервера в файле resolv.conf, то при рестарте сети, прописанные в нём DNS-сервера попадают в конфиг bind'а в resolvconf-options.conf, что мне НЕ нужно ! В таком случае не работают профили в SkyDNS. Если же убрать DNS-адреса из resolv.conf, то сервер не может ходить в Интернет.

В итоге у меня напрашивается только один вариант, привести содержимое resolvconf-options.conf к виду:

Код: [Выделить]

# Generated by resolvconf
forward first;
forwarders {
192.168.2.100;
};
и выполнить:

Код: [Выделить]

chattr -i resolvconf-options.conf
Есть ли другие варианты, я уже устал бороться с bind...

[ruslandh]

Чует моё сердце, что стоит покопаться в конфиге resolvconf.conf

[Salomatin]

Может это поможет:
https://forum.altlinux.org/index.php?topic=37548.msg298438#msg298438
толковое  пояснение ALT-специфики

[berkut_174]

Закомментировал в /etc/resolvconf.conf

Код: [Выделить]

...
#named_options=/var/lib/bind/etc/resolvconf-options.conf

После этого файл пустой совсем. Локальные адреса с сервера пингуются по имени хоста, а в Интернет не уходят.
Разве не должно помочь на сервере нечто:

Код: [Выделить]

iptables -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination 193.58.251.251
iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 193.58.251.251
?
Что-то не работает...

[berkut_174]

Так, а кто подскажет, почему у меня в /etc/resolv.conf только строки:

Код: [Выделить]

domain firma
nameserver 127.0.0.1

Хочу ещё добавить сюда строку:

Код: [Выделить]

nameserver 193.58.251.251тогда работает вроде бы.

Или только в /etc/sysconfig/network RESOLV_MODS=no ?

[ruslandh]

Что выдаёт

Код: [Выделить]

resolvconf -lСоздайте файл 
/etc/net/.../resolv.conf
например:
/etc/net/ifaces/default/resolv.conf

https://www.altlinux.org/Etcnet

Интерфейсы lo, default и unknown

Сразу после установки пакета etcnet в каталоге /etc/net/ifaces (в котором хранятся конфигурации интерфейсов) находятся три каталога:

    lo
    default
    unknown

Интерфейс lo — стандартная "петля" (loopback), которая должна быть во всякой Linux-системе, поэтому конфигурация для него включена по умолчанию. В остальном он ничем не отличается от любого другого интерфейса и конфигурируется точно так же файлами options и ipv4address.

Интерфейс default — это не интерфейс, а специальный каталог, файлы в котором обрабатываются следующим образом:

    resolv.conf — если присутствует, то копируется в /etc/resolv.conf.
    options — файл опций, читается после опций по умолчанию.
    options-<вид интерфейса> — этот файл содержит опции, специфичные для данного вида интерфейсов. Некоторые из них не обязательны и позволяют использовать особенности данного вида интерфейсов, например, LINKDETECT в options-eth; другие обязательны, например, HOST в options-bri. Обратите внимание, что эти файлы не рекомендуется редактировать. Если вам нужно задать опцию для интерфейса, то, как правило, это можно сделать в файле options в конфигурационном каталоге данного интерфейса. Это облегчит процесс обновления пакета etcnet.
    sysctl.conf-<вид интерфейса> — файл с переменными sysctl, которые необходимо изменить. Сейчас единственный такой файл — sysctl.conf-dvb, который отключает return path filter, что всегда нужно в случае асимметричной маршрутизации.
    iplink-<вид интерфейса> — файл с командами iplink, специфичными для данного вида.
    selectprofile — если этот файл исполняемый, то он будет вызван из сценариев ifup/ifdown, setup/shutdown для того, чтобы вернуть на стандартном выводе имя профиля, которое необходимо использовать. Это позволяет автоматически переключать профили в зависимости от каких-либо условий. В поставку включен пример сценария: /etc/net/scripts/contrib/selectprofile.
    fw — каталог с настройками сетевого экрана по умолчанию.

Интерфейс unknown — специальная конфигурация, которая будет использована в том случае, когда /etc/net просят сконфигурировать hotplug-интерфейс, для которого не существует каталога конфигурации. Это будет работать только в том случае, если включена опция ALLOW_UNKNOWN.

[berkut_174]

resolvconf -l

Код: [Выделить]

# resolv.conf from lo
nameserver 127.0.0.1
nameserver 193.58.251.251
domain firma

# resolv.conf from br0
nameserver 192.168.1.110
nameserver 193.58.251.251
В default создал тоже, но в выводе resolvconf инфы о нём нет.

[berkut_174]

Мне кажется, это перекрывает локальный DNS, у меня на всех клиентах так, но там вместо bind используется dnsmasq. OS Simply 7 p7.

[ruslandh]

В default создал тоже, но в выводе resolvconf инфы о нём нет.

Сеть передёрнули?

там вместо bind используется dnsmasq

Посмотрите его конфиг. resolvconf о существовании dnsmasq почему-то у вас не знает. (то-ли dnsmasq не включён, то-ли в кофиге что-то не так).
А что у вас в /etc/resolv.conf.dnsmasq ?

У меня с dnsmasq:

Код: [Выделить]

resolvconf -l
# resolv.conf from lo.dnsmasq
nameserver 127.0.0.1

# resolv.conf from eth0.dhcp
# Generated by dhcpcd from eth0.dhcp
nameserver 192.168.2.1

Так у вас уже используется 
nameserver 193.58.251.251, только он идёт вторым.

[berkut_174]

Сеть перезапускал, конечно.

то-ли dnsmasq не включён, то-ли в кофиге что-то не так

У меня bind, это всё тот же сервер Кентавр 7 p7. dnsmasq на клиентах используется, там проблем нет.

nameserver 193.58.251.251, только он идёт вторым.

В том-то и дело что нет! Все запросы идут на 127.0.0.1:53, то есть bind, а для него я отключил форвардинг, поэтому он не может дальше меня отправить. Сделал я так, потому что мне надо для работы с профилями SkyDNS так.

У меня получилось добавить через /etc/resolvconf.conf:

Код: [Выделить]

name_servers='193.58.251.251'но, получается так:

Код: [Выделить]

domain firma
nameserver 193.58.251.251
nameserver 127.0.0.1
А нужно 127.0.0.1 выше поставить, но не входит...

[ruslandh]

Код: [Выделить]

name_servers='127.0.0.1 193.58.251.251'??

[berkut_174]

# Generated by dhcpcd from eth0.dhcp

Вот такого никогда ни видел, ни на сервере, ни на клиентах.