Discussion:
secondary DNS
(слишком старое сообщение для ответа)
Victor Sudakov
2016-10-20 09:12:44 UTC
Permalink
Dear All,

Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
монстроидальное, чем bind. Рекурсивный резолвинг от него не требуется, лишь бы
только зоны отдавал.

dns/nsd ?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-10-20 07:19:47 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
bind 9.9
VS> монстроидальное, чем bind.
для secondary нужно то, что умеет нормальный *xfr, а это - bind

VS> Рекурсивный резолвинг от него не требуется, лишь бы
тем более. Это единственное, что нынче уже лучше отдавать не bind'у а кому-то
потупее и попроще.
Alex
Victor Sudakov
2016-10-20 12:12:00 UTC
Permalink
Dear Alex,

20 Oct 16 10:19, you wrote to me:

VS>> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
AK> bind 9.9
VS>> монстроидальное, чем bind.
AK> для secondary нужно то, что умеет нормальный *xfr, а это - bind

А что у nsd не так с *xfr? Я не ради спора, действительно интересно.

VS>> Рекурсивный резолвинг от него не требуется, лишь бы
AK> тем более. Это единственное, что нынче уже лучше отдавать не bind'у а
AK> кому-то потупее и попроще.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-10-20 15:35:30 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

AK>> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS> А что у nsd не так с *xfr? Я не ради спора, действительно интересно.
насколько я помню - просто отсутствует как таковой (а нахрена оно надо
проекту, который сделан для рут-серверов? )

заведомо работает у двоих - bind и MS. Hу и у djb, как обычно,
странное, и ни с чем толком несовместимое решение только в одну
сторону.
Alex
Victor Sudakov
2016-10-20 20:42:50 UTC
Permalink
Dear Alex,

20 Oct 16 18:35, you wrote to me:

AK>>> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS>> А что у nsd не так с *xfr? Я не ради спора, действительно
VS>> интересно.
AK> насколько я помню - просто отсутствует как таковой (а нахрена оно надо
AK> проекту, который сделан для рут-серверов? )

Я посмотрел, в конфигах там довольно много посвящено axfr-у. Не бутафорское же
оно.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-10-20 20:59:39 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> Я посмотрел, в конфигах там довольно много посвящено axfr-у. Hе бутафорское же
может, доделали с тех пор как я на него смотрел. Его в общем-то весьма
активно пилят (еще бы, учитывая ддосы и повсеместное шествие дурацкого
dnssec) . Только обрати внимание, тебе надо инициировать, а не отдавать.

Hо я бы подождал конца bind 9.9, а уже потом перебирался бы. Жить с питоновским
ушлепищем думаю, будет невозможно, так что выбор невелик.
Alex
Konstantin Stefanov
2016-10-21 06:41:58 UTC
Permalink
Post by Alex Korchmar
Hо я бы подождал конца bind 9.9, а уже потом перебирался бы. Жить с
питоновским ушлепищем думаю, будет невозможно, так что выбор
невелик.
Ща на дворе 9.10, тоже не питоновский, так что ждать дольше (9.9 тоже
еще поддерживается, если что).
--
Константин Стефанов

Сайт anna.karenina.ru не работает в связи с переездом.
Alex Korchmar
2016-10-21 07:58:32 UTC
Permalink
Konstantin Stefanov <***@mail.ru> wrote:

KS> Ща на дворе 9.10, тоже не питоновский, так что ждать дольше (9.9 тоже
python-utils появились еще в 9.9
Если нужен dnssec - проще сразу перебираться на текущую версию, если нет -
нет смысла, оно все примерно теми же руками сделано, и чем дальше, тем хуже
и бестолковее - студенты вырастают, аспиранты защищают свою PhD, и уходят в
более интересные места.
Alex
Eugene Grosbein
2016-10-21 13:59:36 UTC
Permalink
Post by Alex Korchmar
Hо я бы подождал конца bind 9.9, а уже потом перебирался бы. Жить с
питоновским ушлепищем думаю, будет невозможно, так что выбор
невелик.
KS> Ща на дворе 9.10, тоже не питоновский, так что ждать дольше (9.9 тоже
KS> еще поддерживается, если что).

Тащем-то 9.11 и это тоже не bind10.

$ make -C /usr/ports/dns/bind911 run-depends-list
/usr/local/ports/databases/lmdb
/usr/local/ports/devel/libedit
/usr/local/ports/dns/idnkit
/usr/local/ports/security/openssl
/usr/local/ports/textproc/libxml2

В build-depends-list тоже нет питона.

Eugene
--
Поэты - страшные люди. У них все святое.
Konstantin Stefanov
2016-10-21 09:25:05 UTC
Permalink
Post by Alex Korchmar
Post by Alex Korchmar
Hо я бы подождал конца bind 9.9, а уже потом перебирался бы. Жить
с питоновским ушлепищем думаю, будет невозможно, так что выбор
невелик.
KS> Ща на дворе 9.10, тоже не питоновский, так что ждать дольше (9.9
тоже KS> еще поддерживается, если что).
Тащем-то 9.11 и это тоже не bind10.
Отстал я. Hадо relnotes почитать, вдруг там что интересное.
Post by Alex Korchmar
$ make -C /usr/ports/dns/bind911 run-depends-list
/usr/local/ports/databases/lmdb /usr/local/ports/devel/libedit
/usr/local/ports/dns/idnkit /usr/local/ports/security/openssl
/usr/local/ports/textproc/libxml2
--
Константин Стефанов

The early bird gets the worm, but the second mouse get the cheese.
Vova Uralsky
2016-10-23 09:28:02 UTC
Permalink
Hello Victor!

20 Oct 16 23:42, Victor Sudakov wrote to Alex Korchmar:

VS> Я посмотрел, в конфигах там довольно много посвящено axfr-у. Hе
VS> бутафорское же оно.

Глянул RelNotes, похоже оно от рождения поддерживается:

NSD 1.2.1
July 16th, 2003

Bugfixes

AXFR terminates early if a zone containa a CNAME pointing the the zone's
domain name (SOA record) (bug #56).
During an AXFR memory above the top of the stack was accessed. This could
lead to occassional AXFR errors (bad packets).

Проект начался в июне 2003го, чтоли.

Regards,
Vova
Alex Korchmar
2016-10-23 16:39:32 UTC
Permalink
Vova Uralsky <***@f257.n5030.z2.fidonet.org> wrote:

VU> Глянул RelNotes, похоже оно от рождения поддерживается:
в общем, когда я на него посмотрел - оно либо не работало вовсе, либо не было
bind'осовместимо, что, в общем-то, одно и то же.

И это было сильно позже не только 2003го, но и 2006го тоже.

Так что рекомендую проверять до того, как делать из этой странной
хрени secondary
Alex
Vova Uralsky
2016-10-23 18:16:38 UTC
Permalink
Hello Alex!

23 Oct 16 19:39, Alex Korchmar wrote to Vova Uralsky:

VU>> Глянул RelNotes, похоже оно от рождения поддерживается:
AK> в общем, когда я на него посмотрел - оно либо не работало вовсе, либо
AK> не было
AK> bind'осовместимо, что, в общем-то, одно и то же.

Это как? Онож в RFC опысано!

AK> И это было сильно позже не только 2003го, но и 2006го тоже.

В 2006 мне довелось участвовать в обновлении DNS инфраструктуры в одной
конторе. Мы тогда перевели всё на nsd. Всё работало, и работает на nsd до сих
пор, насколько мне известно. Из последних наблюдений, поскольку мой халявный
колокейшн навернулся, перенес секондари на RPi к PCExtreme, уж года три как nsd
секондарит там пару десятков зон. Три из них обновляются динамически через
связку cgi -> nsupdate -> bind. Обновления зон видно в течении пары секунд.

AK> Так что рекомендую проверять до того, как делать из этой странной
AK> хрени secondary

Ага, WOW, да и только.

Regards,
Vova
Alex Korchmar
2016-10-23 20:18:09 UTC
Permalink
Vova Uralsky <***@f257.n5030.z2.fidonet.org> wrote:

AK>> bind'осовместимо, что, в общем-то, одно и то же.
VU> Это как? Онож в RFC опысано!
djb вон это расскажи, ага. Он даже отдельную утиль написал для этой цели,
после долгих уговоров, но и она только в одну сторону, и то с фокусами.

VU> В 2006 мне довелось участвовать в обновлении DNS инфраструктуры в одной
VU> конторе. Мы тогда перевели всё на nsd.
может у вас просто secondary не было?
Alex
Vova Uralsky
2016-10-24 17:17:30 UTC
Permalink
Hello Alex!

23 Oct 16 23:18, Alex Korchmar wrote to Vova Uralsky:

AK>>> bind'осовместимо, что, в общем-то, одно и то же.
VU>> Это как? Онож в RFC опысано!
AK> djb вон это расскажи, ага. Он даже отдельную утиль написал для этой
AK> цели,
AK> после долгих уговоров, но и она только в одну сторону, и то с
AK> фокусами.

Всё работает без утилей от djb. И что значит "в одну сторону"? Прописывайте
правильное имя в SOA и на нём и обновляйте. Хотите странного, пишите костыли?

VU>> В 2006 мне довелось участвовать в обновлении DNS инфраструктуры в
VU>> одной конторе. Мы тогда перевели всё на nsd.
AK> может у вас просто secondary не было?

:-D у меня всё работает.

Regards,
Vova
Alex Korchmar
2016-10-25 08:02:40 UTC
Permalink
Vova Uralsky <***@f257.n5030.z2.fidonet.org> wrote:

VU> Всё работает без утилей от djb. И что значит "в одну сторону"?
что ты ни одного слова не понял, как обычно.
Alex
Vova Uralsky
2016-10-28 13:44:08 UTC
Permalink
Hello Alex!

25 Oct 16 11:02, Alex Korchmar wrote to Vova Uralsky:

VU>> Всё работает без утилей от djb. И что значит "в одну сторону"?
AK> что ты ни одного слова не понял, как обычно.

Я для себя тоже сделал вывод, что ты видел nsd только на картинке и ничего
дельного про него сказать не можешь. Может и слышал звон, но как-то с остальным
не сложилось.

Regards,
Vova
Valentin Davydov
2016-10-24 08:40:32 UTC
Permalink
Date: Sun, 23 Oct 2016 21:16:38 +0300
В 2006 мне довелось участвовать в обновлении DNS инфраструктуры в одной
конторе. Мы тогда перевели всё на nsd. Всё работало, и работает на nsd до сих
пор, насколько мне известно. Из последних наблюдений, поскольку мой халявный
колокейшн навернулся, перенес секондари на RPi к PCExtreme, уж года три как nsd
секондарит там пару десятков зон. Три из них обновляются динамически через
связку cgi -> nsupdate -> bind. Обновления зон видно в течении пары секунд.
Cgi на php, надо полагать?

Вал. Дав.
Alex Korchmar
2016-10-24 08:52:02 UTC
Permalink
Valentin Davydov <***@m.davydov.spb.su> wrote:

VD> Cgi на php, надо полагать?
как будто это что-то плохое.
Я вот как раз в том же, по-моему, 2006м переделывал с горя менеджилку
доменов на perl - вот это был трэш и п-ц, у него на то чтобы
нарисовать менюшку со списком доменов уходило пятнадцать минут и
пол-гига тогда еще адски дорогой оперативы.
Alex
Andrey Ostanovsky
2016-10-25 11:33:32 UTC
Permalink
Hello Alex!

23 Oct 16 19:39, you wrote to Vova Uralsky:

AK> Так что рекомендую проверять до того, как делать из этой странной
AK> хрени secondary

А что с ним будет-то? У меня где-то связка nsd/unbound работает и в качестве
secondary. Никто не жалуется...

Andrey
Valentin Davydov
2016-10-25 13:34:21 UTC
Permalink
Date: Tue, 25 Oct 2016 14:33:32 +0300
AK> Так что рекомендую проверять до того, как делать из этой странной
AK> хрени secondary
А что с ним будет-то? У меня где-то связка nsd/unbound работает и в качестве
secondary. Hикто не жалуется...
А как оно работает? Вот обновил ты зону на праймари, инкрементировал
serial, пнул демона, дальше что? Бинд в таких случаях сам смотрит по
зоне кто у него секондари, рассылает нотификации, а они самостоятельно
же xferят зону, предварительно убедившись, что у них старая.

Вал. Дав.
Alex Korchmar
2016-10-25 13:58:53 UTC
Permalink
Andrey Ostanovsky <***@f1957.n5030.z2.fidonet.org> wrote:

AK>> Так что рекомендую проверять до того, как делать из этой странной
AK>> хрени secondary

AO> А что с ним будет-то?
я уже совсем не помню деталей, но у меня оно секондарить не желало (точнее,
желало только с самого себя и тоже как-то странно)
Alex
Vova Uralsky
2016-10-28 13:47:26 UTC
Permalink
Hello Alex!

25 Oct 16 16:58, Alex Korchmar wrote to Andrey Ostanovsky:

AK> я уже совсем не помню деталей, но у меня оно секондарить не желало
AK> (точнее,
AK> желало только с самого себя и тоже как-то странно)

Что такое невезёт и как с этим бороться? У меня всё работает. (уже лет 10+)
ЧЯДH?

Regards,
Vova

Vova Uralsky
2016-10-23 09:08:42 UTC
Permalink
Hello Alex!

20 Oct 16 18:35, Alex Korchmar wrote to Victor Sudakov:

AK>>> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS>> А что у nsd не так с *xfr? Я не ради спора, действительно интересно.
AK> насколько я помню - просто отсутствует как таковой (а нахрена оно
AK> надо проекту, который сделан для рут-серверов? )

Склероз проклятый? Когда я примерно в 2006 познакомился с nsd, проблем с этим
не было.

Regards,
Vova
Valentin Davydov
2016-10-21 07:01:59 UTC
Permalink
Date: Thu, 20 Oct 2016 15:12:00 +0300
VS>> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
AK> bind 9.9
VS>> монстроидальное, чем bind.
AK> для secondary нужно то, что умеет нормальный *xfr, а это - bind
А что у nsd не так с *xfr? Я не ради спора, действительно интересно.
Его каждый раз руцями пинать надобно. Если это приходится делать редко,
то терпимо.

Вал. Дав.
Sergey Anohin
2016-10-20 19:20:52 UTC
Permalink
Hello *Alex* *Korchmar*
VS>> Рекуpсивный pезолвинг от него не тpебуется, лишь бы
AK> тем более. Это единственное, что нынче уже лучше отдавать не bind'у а
AK> кому-то потупее и попpоще.

а как на счет идущего в дефолте с эхотагом unbound? я его ни pазу не юзал,
он ваще pабочий?

Bye, Alex Korchmar, 20 октябpя 16
Alex Korchmar
2016-10-20 20:55:38 UTC
Permalink
Sergey Anohin <***@p1.f10.n5034.z2.fidonet.org> wrote:

AK>> тем более. Это единственное, что нынче уже лучше отдавать не bind'у а
AK>> кому-то потупее и попpоще.
SA> а как на счет идущего в дефолте с эхотагом unbound? я его ни pазу не юзал,
SA> он ваще pабочий?
ваще - рабочий, но и проблем в нем в общем далеко не ноль.
Прямого смысла его использовать кроме вот "идет же в коробочке" скорее всего
нет.
Для линупсов вот не идет, а dnsmasq - идет (для дома, для семьи он и
authoritative изобразит, хиленько-кривенько). Hе говоря уже про локальный
nscd, если больше ничего не нужно.

А держать на тыщи юзеров unbound - верная гарантия, что где-нибудь притаились
грабли.
Alex
Anton Gorlov
2016-10-20 20:52:26 UTC
Permalink
Привет Sergey!

20 окт 16 года (а было тогда 22:20)
Sergey Anohin в своем письме к Alex Korchmar писал:

VS>>> Рекуpсивный pезолвинг от него не тpебуется, лишь бы
AK>> тем более. Это единственное, что нынче уже лучше отдавать не
AK>> bind'у а кому-то потупее и попpоще.
SA> а как на счет идущего в дефолте с эхотагом unbound? я его ни pазу не
SA> юзал, он ваще pабочий?


Вполне.
Только он ниразу на секондари. Он рекурсор и кеш.


С уважением. Anton aka Stalker

Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Alex Korchmar
2016-10-20 21:44:40 UTC
Permalink
Anton Gorlov <***@f37.n5059.z2.fidonet.org> wrote:

AG> Только он ниразу на секондари. Он рекурсор и кеш.
ну так мы уже именно об этом. secondary это VS хочет.
Alex
Sergey Anohin
2016-10-20 22:00:00 UTC
Permalink
Hello *Anton* *Gorlov*
AG> Вполне.
AG> Только он ниpазу на секондаpи. Он pекуpсоp и кеш.

Как в настpойке? Сложнее бинда?

Bye, Anton Gorlov, 21 октябpя 16
Alex Korchmar
2016-10-21 05:00:24 UTC
Permalink
Sergey Anohin <***@p1.f10.n5034.z2.fidonet.org> wrote:

SA> Как в настpойке? Сложнее бинда?
для рекурсии настройка бинда - десяток строчек, из которых четыре - скобочки.
В большинстве случаев приезжает в виде конфига из дистрибутива.
Можно добавить еще с два десятка, если неохота видеть в логе то, что идиоты-
авторы туда суют по умолчанию, и охота то что может быть на самом деле важно.
А можно и не добавлять, все равно ты эти логи нечитатель, я полагаю.

У unbound и того нет.
ns2[121]~> ls -la /etc/unbound/conf.d/
total 8
drwxr-xr-x 2 unbound unbound 512 Mar 25 2016 ./
drwxr-xr-x 3 unbound unbound 512 Mar 25 2016 ../

(домашнее задание - догадаться, почему уже это - двойной признак пидорасов в
самом плохом смысле, хотя еще ни одной строчки их конфигов в системе нет?)
Alex
Andrey Ostanovsky
2016-10-22 18:01:00 UTC
Permalink
Hello Alex!

21 Oct 16 08:00, you wrote to Sergey Anohin:

AK> У unbound и того нет.
ns2[121]~>> ls -la /etc/unbound/conf.d/
AK> total 8
AK> drwxr-xr-x 2 unbound unbound 512 Mar 25 2016 ./
AK> drwxr-xr-x 3 unbound unbound 512 Mar 25 2016 ../

Традиционно, ищем в /var, как и у bind-а последнее время...

$ ls -la /var/unbound/
total 28
drwxr-xr-x 3 unbound unbound 12 24 апр 12:28 .
drwxr-xr-x 32 root wheel 32 22 окт 08:19 ..
drwxr-xr-x 2 unbound unbound 2 10 окт 2015 conf.d
-rw-r--r-- 1 root unbound 153 22 апр 2016 forward.conf
-rw-r--r-- 1 root unbound 2622 24 апр 12:15 localdomain.conf
-r-------- 1 unbound unbound 759 29 фев 2016 root.key
-rw-r--r-- 1 root unbound 3169 24 апр 12:27 root.zone
-rw-r--r-- 1 root unbound 4428 24 апр 12:26 unbound.conf
-rw-r----- 1 root unbound 1277 29 фев 2016 unbound_control.key
-rw-r----- 1 root unbound 802 29 фев 2016 unbound_control.pem
-rw-r----- 1 root unbound 1277 29 фев 2016 unbound_server.key
-rw-r----- 1 root unbound 790 29 фев 2016 unbound_server.pem

Andrey
Alex Korchmar
2016-10-22 20:20:28 UTC
Permalink
Andrey Ostanovsky <***@f1957.n5030.z2.fidonet.org> wrote:

AK>> У unbound и того нет.
AO> ns2[121]~>> ls -la /etc/unbound/conf.d/
AK>> total 8
AK>> drwxr-xr-x 2 unbound unbound 512 Mar 25 2016 ./
AK>> drwxr-xr-x 3 unbound unbound 512 Mar 25 2016 ../

AO> Традиционно, ищем в /var, как и у bind-а последнее время...
одно - симлинк на другое.
И в /usr/src/etc тоже ничего там нет.

Возможно, если его запустить, стартовые скрипты что-то нагенерят туда.
Alex
Eugene Grosbein
2016-10-24 01:09:58 UTC
Permalink
22 окт 2016, суббота, в 21:20 NOVT, Alex Korchmar написал(а):

AK> Возможно, если его запустить, стартовые скрипты что-то нагенерят туда.

Именно так. Если стартовый скрипт видит, что конфига нет, то
запускает /usr/sbin/local-unbound-setup, передавая ему параметры
из rc.conf или дефолтов:

local_unbound_setup()
{
echo "Performing initial setup."
/usr/sbin/local-unbound-setup -n \
-u unbound \
-w ${local_unbound_workdir} \
-c ${local_unbound_config} \
-f ${local_unbound_forwardconf} \
-o ${local_unbound_controlconf} \
-a ${local_unbound_anchor} \
${local_unbound_forwarders}
}

То же самое можно сделать без запуска демона командой
service local_unbound setup

Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
Alex Korchmar
2016-10-24 08:28:30 UTC
Permalink
Eugene Grosbein <***@f1.n5006.z2.fidonet.org> wrote:

EG> Именно так. Если стартовый скрипт видит, что конфига нет, то
EG> запускает /usr/sbin/local-unbound-setup, передавая ему параметры
ты лучше объясни, зачем этому дерьму writable каталог с конфигами,
и, попутно, зачем жрать говно ложкой?
Alex
Eugene Grosbein
2016-10-24 14:38:36 UTC
Permalink
24 окт 2016, понедельник, в 09:28 NOVT, Alex Korchmar написал(а):

EG>> Именно так. Если стартовый скрипт видит, что конфига нет, то
EG>> запускает /usr/sbin/local-unbound-setup, передавая ему параметры
AK> ты лучше объясни, зачем этому дерьму writable каталог с конфигами,

Можно подумать, у bind иначе:

named[657]: the working directory is not writable

AK> и, попутно, зачем жрать говно ложкой?

Hе понял вопроса; низачем?

Eugene
Alex Korchmar
2016-10-24 10:59:36 UTC
Permalink
Eugene Grosbein <***@f1.n5006.z2.fidonet.org> wrote:

EG>>> Именно так. Если стартовый скрипт видит, что конфига нет, то
EG>>> запускает /usr/sbin/local-unbound-setup, передавая ему параметры
AK>> ты лучше объясни, зачем этому дерьму writable каталог с конфигами,
EG> Можно подумать, у bind иначе:
я давно не заглядывал в mtree, но, afair, пока он был в системе, таки
было иначе - ни /etc/namedb, ни его клон в /var отродясь для записи юзеру
bind доступны не были.

EG> named[657]: the working directory is not writable
это страдания named'а, всем на них было двадцать лет насрать.

К последним версиям таки нашелся деятельный идиот, который героически
победил это сообщение, сделав абсолютно все через жопу, но все же до такой
степени идиотизма, чтобы сделать writable /etc/namedb не дошел.
(очень вскоре bind выпал в порты, и я радостно избавился от всего
системного мусора, включая и неработающий скрипт запуска)


AK>> и, попутно, зачем жрать говно ложкой?
EG> Hе понял вопроса; низачем?
ну почти - правильный ответ - а зачем вообще говно-то жрать?
Alex
Valentin Davydov
2016-10-24 08:38:31 UTC
Permalink
Date: Mon, 24 Oct 2016 04:09:58 +0300
AK> Возможно, если его запустить, стартовые скрипты что-то нагенерят туда.
Именно так. Если стартовый скрипт видит, что конфига нет, то
запускает /usr/sbin/local-unbound-setup, передавая ему параметры
local_unbound_setup()
{
echo "Performing initial setup."
/usr/sbin/local-unbound-setup -n \
-u unbound \
-w ${local_unbound_workdir} \
-c ${local_unbound_config} \
-f ${local_unbound_forwardconf} \
-o ${local_unbound_controlconf} \
-a ${local_unbound_anchor} \
${local_unbound_forwarders}
}
То же самое можно сделать без запуска демона командой
service local_unbound setup
Причём по мере апгрейда FreeBSD это приходится время от времиени переделывать.

Вал. Дав.
Andrey Ostanovsky
2016-10-25 11:40:08 UTC
Permalink
Hello Alex!

22 Oct 16 23:20, you wrote to me:

AK>>> У unbound и того нет.
AO>> ns2[121]~>> ls -la /etc/unbound/conf.d/
AK>>> total 8
AK>>> drwxr-xr-x 2 unbound unbound 512 Mar 25 2016 ./
AK>>> drwxr-xr-x 3 unbound unbound 512 Mar 25 2016 ../

AO>> Традиционно, ищем в /var, как и у bind-а последнее время...
AK> одно - симлинк на другое.

Ога! Особенно весело проходят пляски с симлинками при переходе с системного
bind на портовый. :)

AK> И в /usr/src/etc тоже ничего там нет.
AK> Возможно, если его запустить, стартовые скрипты что-то нагенерят туда.

Нагенерят, но лучше ручками, чтобы спокойнее было.

Andrey
Alex Korchmar
2016-10-25 13:57:53 UTC
Permalink
Andrey Ostanovsky <***@f1957.n5030.z2.fidonet.org> wrote:

AO>>> Традиционно, ищем в /var, как и у bind-а последнее время...
AK>> одно - симлинк на другое.

AO> Ога! Особенно весело проходят пляски с симлинками при переходе с системного
AO> bind на портовый. :)
симлинки - они времен системного еще. Hасколько я знаю, порты там ничего
не трогают (поскольку их делали еще во времена, когда они вставали вместе
с системными)
Alex
Eugene Grosbein
2016-10-26 00:18:28 UTC
Permalink
25 окт 2016, вторник, в 12:40 NOVT, Andrey Ostanovsky написал(а):

AO> Ога! Особенно весело проходят пляски с симлинками при переходе с
AO> системного
AO> bind на портовый. :)

Hикаких плясок вообще. Вот сегодня обновил сорцами 9.3-STABLE
сначала до 10.3-STABLE и потом сразу до 11.0-STABLE.
Затем поставил из портов bind-9.11.0 и в rc.conf прописал:

named_enable="YES"
named_conf="/etc/namedb/named.conf"
named_chrootdir="/var/named"
named_symlink_enable="YES"

Затем service named start и всё заработало. Оно тут primary и secondary
зоны держит.

Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер)
Anton Gorlov
2016-10-22 12:06:52 UTC
Permalink
Привет Sergey!

21 окт 16 года (а было тогда 01:00)
Sergey Anohin в своем письме к Anton Gorlov писал:


AG>> Вполне.
AG>> Только он ниpазу на секондаpи. Он pекуpсоp и кеш.
SA> Как в настpойке? Сложнее бинда?


Да не оосбо. Я его ещё с прошлой раборы юзаю, как кеш для локальных юбзеров
провайдера. Особых проблем не всплывало, да и не особых тоже.
Сейчас на хостинге как тот же кеш трудится.


С уважением. Anton aka Stalker

Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Denis Mikhlevich
2016-10-22 05:18:25 UTC
Permalink
Hello, Alex Korchmar.
On 20.10.16 10:19 AM you wrote:

VS>> монстроидальное, чем bind.
AK> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS>> Рекурсивный резолвинг от него не требуется, лишь бы
AK> тем более. Это единственное, что нынче уже лучше отдавать не
AK> bind'у а кому-то потупее и попроще.

А кому? Unbound, dnsmasq?
На несколько десяток тыс. пользователей.

--
Nexus 5, UB4CAR
Alex Korchmar
2016-10-22 10:11:13 UTC
Permalink
Denis Mikhlevich <***@p100.f54.n5053.z2.fidonet.org> wrote:

VS>>> монстроидальное, чем bind.
AK>> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS>>> Рекурсивный резолвинг от него не требуется, лишь бы
AK>> тем более. Это единственное, что нынче уже лучше отдавать не
AK>> bind'у а кому-то потупее и попроще.
DM> А кому? Unbound, dnsmasq?
DM> Hа несколько десяток тыс. пользователей.
ну, думаю, с unbound при этом тебя ждет некоторое количество чудных
открытий в непредсказуемые и не всегда удачные моменты времени.

Hо их с bind'ом тоже не избежать.
Alex
Denis Mikhlevich
2016-10-22 14:50:05 UTC
Permalink
Hello, Alex Korchmar.
On 22.10.16 1:11 PM you wrote:

VS>>>> монстроидальное, чем bind.
AK>>> для secondary нужно то, что умеет нормальный *xfr, а это - bind
VS>>>> Рекурсивный резолвинг от него не требуется, лишь бы
AK>>> тем более. Это единственное, что нынче уже лучше отдавать не
AK>>> bind'у а кому-то потупее и попроще.
DM>> А кому? Unbound, dnsmasq? Hа несколько десяток тыс.
DM>> пользователей.
AK> ну, думаю, с unbound при этом тебя ждет некоторое количество
AK> чудных открытий в непредсказуемые и не всегда удачные моменты
AK> времени. Hо их с bind'ом тоже не избежать.

Значит так и буду сидеть на bind.

--
Nexus 5, UB4CAR
Alex Korchmar
2016-10-22 15:24:21 UTC
Permalink
Denis Mikhlevich <***@p100.f54.n5053.z2.fidonet.org> wrote:

DM> Значит так и буду сидеть на bind.
если bind _уже_ в этой позе работает много лет - я не вижу никакого смысла
его чем-то заменять. Пока, во всяком случае, к нему выходят апдейты.
Когда перестанут - еще будет некоторое время, чтобы неспеша переползти на
что-то другое. Разумеется, речь не о новом-модном имени языкасинеосиляторов.

выбирать имеет смысл если прямо вот сейчас приходится разворачивать где-то
с нуля или заменяя полуработающее. Потому что bind сегодня плохой выбор.
Alex
Denis Mikhlevich
2016-10-23 16:00:49 UTC
Permalink
Hello, Alex Korchmar.
On 22.10.16 6:24 PM you wrote:

AK> Потому что bind сегодня плохой выбор.

Можешь объяснить почему?


--
Nexus 5, UB4CAR
Alex Korchmar
2016-10-23 16:37:32 UTC
Permalink
Denis Mikhlevich <***@p100.f54.n5053.z2.fidonet.org> wrote:

AK>> Потому что bind сегодня плохой выбор.
DM> Можешь объяснить почему?
потому что one-true (да и не one, и не true вообще-то) кончился, и сколько еще
будут хотя бы выпускать патчи - неизвестно.
Hичего хорошего, по большому счету, в нем в позе рекурсивного кэша нет.

Возможно даже djbdns менее ужасен в этом качестве.

А школьная поделка новой версии вообще непонятно, кому и зачем нужна.
Alex
Eugene Grosbein
2016-10-20 12:56:56 UTC
Permalink
20 окт 2016, четверг, в 10:12 NOVT, Victor Sudakov написал(а):

VS> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
VS> монстроидальное, чем bind. Рекурсивный резолвинг от него не требуется,
VS> лишь бы
VS> только зоны отдавал.

bind в этой позе вовсе не монстроидален.

Eugene
--
Устав от радостных пиров,
Hе зная страхов и желаний
Victor Sudakov
2016-10-20 12:48:04 UTC
Permalink
Dear Eugene,

20 Oct 16 15:56, you wrote to me:

VS>> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
VS>> монстроидальное, чем bind. Рекурсивный резолвинг от него не
VS>> требуется, лишь бы только зоны отдавал.

EG> bind в этой позе вовсе не монстроидален.

Под монстроидальностью имеются в виду и его привычные проблемы с безопасностью.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
2016-10-20 16:49:21 UTC
Permalink
20 окт 2016, четверг, в 13:48 NOVT, Victor Sudakov написал(а):

VS>>> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
VS>>> монстроидальное, чем bind. Рекурсивный резолвинг от него не
VS>>> требуется, лишь бы только зоны отдавал.
EG>> bind в этой позе вовсе не монстроидален.
VS> Под монстроидальностью имеются в виду и его привычные проблемы с
VS> безопасностью.

Рекурсии ж нет, кеширования нет, умеет в chroot и без суперюзера,
какие там проблемы с безопасностью в такой позе?

Eugene
--
Как жаль, что не роняли вам на череп утюгов.
Скорблю о вас - как мало вы успели.
Victor Sudakov
2016-10-20 17:12:34 UTC
Permalink
Dear Eugene,

20 Oct 16 19:49, you wrote to me:

VS>>>> Что у нас нынче рекомендуется для организации сабжа? Чтобы
VS>>>> менее монстроидальное, чем bind. Рекурсивный резолвинг от него
VS>>>> не требуется, лишь бы только зоны отдавал.
EG>>> bind в этой позе вовсе не монстроидален.
VS>> Под монстроидальностью имеются в виду и его привычные проблемы с
VS>> безопасностью.

EG> Рекурсии ж нет, кеширования нет, умеет в chroot и без суперюзера,
EG> какие там проблемы с безопасностью в такой позе?

Так последние проблемы с безопасностью как раз всякие DoS-ы, и отключение
рекурсии не является workaround-ом. Вот хоть недавний FreeBSD-SA-16:28.bind

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alex Korchmar
2016-10-21 05:12:55 UTC
Permalink
Victor Sudakov <***@f49.n5005.z2.fidonet.org> wrote:

VS> Так последние проблемы с безопасностью как раз всякие DoS-ы, и отключение
VS> рекурсии не является workaround-ом. Вот хоть недавний FreeBSD-SA-16:28.bind
кстати, да:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=839051
очевидно означает что обезьянки, пилящие 9.9, на самом деле не исправили
проблему, а загнали мусор под плинтус, и она не проявляется только потому,
что никому пока не показалось занятным адаптировать эксплойт. Или он просто
не утек.
Alex
Vova Uralsky
2016-10-23 09:00:56 UTC
Permalink
Hello Victor!

20 Oct 16 12:12, Victor Sudakov wrote to All:

VS> Что у нас нынче рекомендуется для организации сабжа? Чтобы менее
VS> монстроидальное, чем bind. Рекурсивный резолвинг от него не
VS> требуется, лишь бы только зоны отдавал.
VS> dns/nsd ?

Угумс. bind у меня остался только один, по причине надобности nsupdate. Так бы
тоже извёл.

P.S. Я уже тут как-то спрашивал про альтернативы, но никто ничего
вразумительного не ответил...

Regards,
Vova
Loading...