В начале подумал, пфф MD5 у него же защита никакая, сделаю ка я HMAC-SHA512 -b 512, чтобы наверняка =) Но как оказалось DHCP не поддерживает SHA512 и бодренько меня обругал Unable to create tsec structure for DHCP_UPDATER. Пришлось откатиться на MD5. Но с трансфером на другой BIND думаю сработает (надо будет попробовать). Просмотрел все ваши видео, теперь жду новые выпуски, как любимого сериала =) Оказалось довольно забавно, смотреть о убунте и переделывать все под другую ОС. Кстати, в последних windows появился довольно красивый и главное лучше читаемый шрифт Consolas, можете попробовать, уверен вам понравится.
Настроил named и dhcpd на CentOS 7. На клиентской машине по DHCP всё выдаётся корректно, DNS работает и вообще всё прекрасно, за исключением одного: в логах dhcpd после каждой выдачи IP-адреса я вижу строку "Unable to add forward map from Win10.DOMAIN.LAN to 192.168.56.101: SERVFAIL". Несколько часов гуглил и ковырял конфиги named и dhcpd, но с места не сдвинулся. Всё работает, но ошибка выскакивает. Кирилл, ещё раз спасибо за то время, что выделяешь на создание уроков!
Да, тут нужен маршрутизатор, все верно. По iptables есть классический туториал 15-летней давности, и он до сих пор актуален почти целиком: www.opennet.ru/docs/RUS/iptables/ Ну и викиучебник норм: ru.wikibooks.org/wiki/Iptables
Спасибо за уроки. Очень понятно и полезно. А как быть с несколькими внутренними подсетями? Например одна сетевая карточка для внутренних сетей разделенных VLAN.
Добрый день, у меня возникло несколько вопросов. надеюсь вы сможете а них ответить. 1) Как ограничить скорость пользователя сети? 2) Как ограничить доступ в интернет для пользователя сети? 3) В одном из видео (днс+дшсп часть 2) в файле name.conf.options в форвардинг вы прописали ip вашего роутера вручную. А если у меня нету этого роутера. Мой сервер и есть роутер, настройки я получаю по дшсп от провайдера и через какое то время они автоматом меняются. Вопрос что там прописывать? 4)Я так понимаю мне как то надо назначить маршрутизацию и маскарадинг пакетов, вопрос как?
Подскажите, а как сгенерировать dnssec-keygen на Ubuntu 20. команда, что вводится в видео видимо уже на актуальна. А мануалы по сети с генерацией все 5-8 летней давности.
Маленький ньюанс. Весь день не мог найти почему BIND не дописывает в файл зоны. Оказалось что в файл /etc/bind/named.conf.local нужно дописывать для каждой зоны опцию notify yes; Без не не работает.
В этом и есть прелесть сис администрирования, весь день поломать голову, но как только добиваешься результата - получаешь чувство самоудовлетворения и того что ты все таки что то умеешь.
Здравствуйте, Кирилл. Хотелось бы узнать, планируете ли вы дополнить данный цикл обещанным Ipfilter, чтобы научить этот сервер раздавать интернет пользователям?
Заранее извиняюсь, за занудство. Возник еще вопрос о защите dns имен. Получается, что любой компьютер в сети, может назначить себе такое же имя, как у сервера например, и DHCP услужливо его заменит в BIND. В Windows среде это не имеет проблем, из-за безопасного обновления и более того DHCP там умеет предотвращать перезапись с помощью DHCID. В только Линукс сети можно наверняка раздать ключи на клиенты, для безопасного обновления (хотя я не знаю как это корректно сделать, из клиентского мне известна только утилита nsupdate). Но похоже в гетерогенной среде - это является проблемой. Есть ли способы защиты кроме ключей HMAC-MD5? Может есть аналог механизма DHCID? Или Самба в роли контроллера домена способна безопасно обновлять dns записи? Спрашиваю, потому что в инструкции по поднятию AD на Самбе, натолкнулся на такую строчку в конфиге BIND, allow-update {192.168.1.0/24}, что конечно эпично =)
+zorg1us allow-update как раз и определяет какой IP могёт обновить зону. Но если прописать в samba, но не прописать в bind - то фиг тебе :) И вообще лучше ключи PKI прописывать, тогда не ошибёшься
John Smith Если в allow-update не прописать всю подсеть, то придется ручками и тут теряется смысл динамического обновления. Если же отказаться от днс-записей для клиентов, то не будет работать АД. Не совсем понял, причем здесь PKI, имеется в виду DNSSEC?
Кирилл, а разъясните, пожалуйста... на 10:09 настраивается DHCP : zone LAB.LOCAL { и zone 0.168.192.in-addr.arpa. { в прямой зоне точка в конце отсутствует, в обратной - есть. Не понимаю я нюанса с этими точками :(
+John Smith Это хороший вопрос, и в данном случае мой косяк. Заработало как есть, заработало бы и без точек, и с точками в обоих случаях. Поиском пройдите по статье rus-linux.net/MyLDP/server/dns/dns.html ища слово "точка". Если просто говоря - точка говорит о том что имя абсолютно, отсутствие о том что имя относительно, и будет искаться в других корнях (если они есть).
+Kirill Semaev Про точки в DNS я в курсе, а вот точки в DHCP меня в ступор вгоняют. Скажу больше, я ещё до просмотра лекции мучал DDNS. DHCP разворачивает @ в записи SОА DNS в имя домена БЕЗ точки. Что в прямой, что в обратной зоне. И работает! :( если надо сеткой не /24, а /23 управлять, то 168.192.in-addr.arpa в рукопашную (без DDNS) как 11.0 IN PTR ddd.lll.ru. 11.1 IN PTR rrr.lll.ru. пропишу, а вот DDNS испохабит в наподобии @ORIGIN 0.168.192.168.192.in-adrr.arpa. 11 IN PTR ddd.lll.ru. @ORIGIN 1.168.192.168.192.in-adrr.arpa. 11 IN PTR rrr.lll.ru. а некоторые узлы нормально: @ORIGIN 0.168.192.in-adrr.arpa. 11 IN PTR ddd.lll.ru. не понимаю :( Ставь точки, не ставь... Вот тебе и fqdn
Подскажите пожалуйста. Сделал все по уроку, тачка получила все настройки по dhcp и успешно занеслась инфа в зоны. Но вот создал еще одну тачку, она получила аналогично все настройки по dhcp (адрес, домен,), в логи dhcp и в аренды тоже все занеслось , но вот bind9 просто ни в какую в зоны не прописывает эту тачку. перезагружался раз по 10, итог один. Настройки нет смысла думаю присылать, тк сделано как говорится все под перо)
отвечу сам на свой вопрос) перебрав все возможные варианты которые советовал гугл, от безысходности решил переименовать имя хоста (samba_serv) на просто samba. ребутнулся и все заработало!
Спасибо, что помогаете) Да, изначально был конфликт имен, клонировал тачку и совсем забыл про одинаковое имя... Переписав в /etc/hosts и /etc/hostname днс все равно не прописывал в зону. В логах дхцп нашел примерно след строчку. "Unable to add forward map from clienthostname.example.com to 192.168.1.66:" Я уж тут не знаю как, но и пришло в голову сменить на имя без нижнего слэша(может это не понравилось?). Кстати вопрос, что эта ошибка означает? Гуглил, но все равно не понял
HELP!!! Бинд не может создавать записи из за того что у него нет прав. Я уже сделал его поьзователя и группу владельцем папки (не помогло) Потом сделал chmod 777 /etc/bind/ (знаю что так нельзя но даже это не помогло!!!) Что делать? ошибки при команде sudo service bind9 status /etc/bind/db.0.168.192.jnl: create: permission denied //обратная зона /etc/bind/db.name.ru.jnl: create: permission denied //прямая зона
Отлично, супер!!! Плейлист с манами, прям в радость идёт! Скорейшего выздоровления!
Выздоравливай скорее Кирилл
И радуй нас почаще
Не болей
Спасибо
Spasibo Vam za uroki, budem ochen radi i v buduschem slishat vas!!!
Сергей, вы задаете хорошие вопросы, жаль что ютуб не дает вам отвечать)) Сделаю продолжение на эту тему.
В начале подумал, пфф MD5 у него же защита никакая, сделаю ка я HMAC-SHA512 -b 512, чтобы наверняка =)
Но как оказалось DHCP не поддерживает SHA512 и бодренько меня обругал Unable to create tsec structure for DHCP_UPDATER. Пришлось откатиться на MD5. Но с трансфером на другой BIND думаю сработает (надо будет попробовать).
Просмотрел все ваши видео, теперь жду новые выпуски, как любимого сериала =)
Оказалось довольно забавно, смотреть о убунте и переделывать все под другую ОС.
Кстати, в последних windows появился довольно красивый и главное лучше читаемый шрифт Consolas, можете попробовать, уверен вам понравится.
+zorg1us Да тут чтоб DHCP записывал инфу в зону DNS так сильно шифроваться не надо)) Спасибо за инфу про шрифт, пробую)
Настроил named и dhcpd на CentOS 7. На клиентской машине по DHCP всё выдаётся корректно, DNS работает и вообще всё прекрасно, за исключением одного: в логах dhcpd после каждой выдачи IP-адреса я вижу строку "Unable to add forward map from Win10.DOMAIN.LAN to 192.168.56.101: SERVFAIL". Несколько часов гуглил и ковырял конфиги named и dhcpd, но с места не сдвинулся. Всё работает, но ошибка выскакивает.
Кирилл, ещё раз спасибо за то время, что выделяешь на создание уроков!
Говорят что apparmor мешает: stackoverflow.com/questions/31631891/dhcpd-unable-to-add-forward-map-servfail
Ну тут надо смотреть что у вас инет раздает. У меня, кажется, в этом уроке интернета и не планировалось
Да, тут нужен маршрутизатор, все верно. По iptables есть классический туториал 15-летней давности, и он до сих пор актуален почти целиком: www.opennet.ru/docs/RUS/iptables/
Ну и викиучебник норм: ru.wikibooks.org/wiki/Iptables
Спасибо за уроки. Очень понятно и полезно.
А как быть с несколькими внутренними подсетями? Например одна сетевая карточка для внутренних сетей разделенных VLAN.
+Сергей Сафин
Ну тады читаем как реализован VLAN для GNU/Linux :)
+John Smith Спасибо, там и встретимся
Спасибо за труд
выздоравливай=)
Очень интересно какие планы на будущее?
Может на этой машине ещё контроллер домена поднять? Я бы с радостью посмотрел ;)
Добрый день, у меня возникло несколько вопросов. надеюсь вы сможете а них ответить.
1) Как ограничить скорость пользователя сети?
2) Как ограничить доступ в интернет для пользователя сети?
3) В одном из видео (днс+дшсп часть 2) в файле name.conf.options в форвардинг вы прописали ip вашего роутера вручную. А если у меня нету этого роутера. Мой сервер и есть роутер, настройки я получаю по дшсп от провайдера и через какое то время они автоматом меняются. Вопрос что там прописывать?
4)Я так понимаю мне как то надо назначить маршрутизацию и маскарадинг пакетов, вопрос как?
Подскажите, а как сгенерировать dnssec-keygen на Ubuntu 20. команда, что вводится в видео видимо уже на актуальна. А мануалы по сети с генерацией все 5-8 летней давности.
sudo tsig-keygen -a HMAC-MD5 DDNS_UPDATER
Маленький ньюанс. Весь день не мог найти почему BIND не дописывает в файл зоны. Оказалось что в файл /etc/bind/named.conf.local нужно дописывать для каждой зоны опцию notify yes;
Без не не работает.
+Михаил Бабин А это уже нюансы какие-то текущего пакета, наверное.
В этом и есть прелесть сис администрирования, весь день поломать голову, но как только добиваешься результата - получаешь чувство самоудовлетворения и того что ты все таки что то умеешь.
+Михаил Бабин, прописал, но все равно не дописывает. Даже не знаю куда копать. Ошибок вроде нет в логах.
Разобрался. На centos7 заработало только когда положил файлы зон в папку /var/named/data. Хотя владелец и права одинаковые у этой папки и предыдущей.
+Ztecgcse69 Zte Так у вас наверное и в файле конфига путь указан туда, а не в ту папку что у меня на ubuntu?
Так что , журналов в /var/lib/bind/ без рабочего в связке DHCP не будет ?
Здравствуйте, Кирилл.
Хотелось бы узнать, планируете ли вы дополнить данный цикл обещанным Ipfilter, чтобы научить этот сервер раздавать интернет пользователям?
+Андрей Я. планирую, через пару недель iptables начнем
Для чего может пригодиться в локалке привязка ip адреса к dns имени?Есть же netbios.
Сергей,а наклепать сабинтерфейсы на каждый влан ?
+Anton Atom Спасибо. Чего-то сразу не сообразил что надо попробовать по аналогии с маршрутизаторами Cisco
Заранее извиняюсь, за занудство.
Возник еще вопрос о защите dns имен.
Получается, что любой компьютер в сети, может назначить себе такое же имя, как у сервера например, и DHCP услужливо его заменит в BIND.
В Windows среде это не имеет проблем, из-за безопасного обновления и более того DHCP там умеет предотвращать перезапись с помощью DHCID.
В только Линукс сети можно наверняка раздать ключи на клиенты, для безопасного обновления (хотя я не знаю как это корректно сделать, из клиентского мне известна только утилита nsupdate).
Но похоже в гетерогенной среде - это является проблемой.
Есть ли способы защиты кроме ключей HMAC-MD5?
Может есть аналог механизма DHCID?
Или Самба в роли контроллера домена способна безопасно обновлять dns записи?
Спрашиваю, потому что в инструкции по поднятию AD на Самбе, натолкнулся на такую строчку в конфиге BIND, allow-update {192.168.1.0/24}, что конечно эпично =)
+zorg1us
allow-update как раз и определяет какой IP могёт обновить зону. Но если прописать в samba, но не прописать в bind - то фиг тебе :) И вообще лучше ключи PKI прописывать, тогда не ошибёшься
John Smith Если в allow-update не прописать всю подсеть, то придется ручками и тут теряется смысл динамического обновления. Если же отказаться от днс-записей для клиентов, то не будет работать АД. Не совсем понял, причем здесь PKI, имеется в виду DNSSEC?
добрый день у меня вопрос? В реверсе у меня появилась информация а в форвард нет. Как это исправить? Большое спасибо за видел было очень полезно
не подскажу так с ходу(
Планируете ли видео про samba 4 в родел Active Directory? Очень интересна миграция роли с Windows на linux.
+Sergey Bespomestnykh да, в практическом плейлисте, после того как с iptables+ squid разберемся
Кирилл, а разъясните, пожалуйста... на 10:09 настраивается DHCP :
zone LAB.LOCAL {
и
zone 0.168.192.in-addr.arpa. {
в прямой зоне точка в конце отсутствует, в обратной - есть.
Не понимаю я нюанса с этими точками :(
+John Smith
Это хороший вопрос, и в данном случае мой косяк. Заработало как есть, заработало бы и без точек, и с точками в обоих случаях. Поиском пройдите по статье rus-linux.net/MyLDP/server/dns/dns.html ища слово "точка". Если просто говоря - точка говорит о том что имя абсолютно, отсутствие о том что имя относительно, и будет искаться в других корнях (если они есть).
+Kirill Semaev
Про точки в DNS я в курсе, а вот точки в DHCP меня в ступор вгоняют. Скажу больше, я ещё до просмотра лекции мучал DDNS. DHCP разворачивает @ в записи SОА DNS в имя домена БЕЗ точки. Что в прямой, что в обратной зоне. И работает! :( если надо сеткой не /24, а /23 управлять, то 168.192.in-addr.arpa в рукопашную (без DDNS) как
11.0 IN PTR ddd.lll.ru.
11.1 IN PTR rrr.lll.ru.
пропишу, а вот DDNS испохабит в наподобии
@ORIGIN 0.168.192.168.192.in-adrr.arpa.
11 IN PTR ddd.lll.ru.
@ORIGIN 1.168.192.168.192.in-adrr.arpa.
11 IN PTR rrr.lll.ru.
а некоторые узлы нормально:
@ORIGIN 0.168.192.in-adrr.arpa.
11 IN PTR ddd.lll.ru.
не понимаю :( Ставь точки, не ставь... Вот тебе и fqdn
+John Smith как то DDNS доберемся - внимательно посмотрим)
Кирилл а возможно bind9 связать с dhcp на cisco router для динамического обновления хостов в lan? Спасибо!
с линуксом все возможно, но как - надо думать)
спс
А как быть если DNS настроен на linux, а AD на Windows Server 2012. как мне указать AD использовать BIND. Или как сделать проброс зоны для AD
Подскажите пожалуйста. Сделал все по уроку, тачка получила все настройки по dhcp и успешно занеслась инфа в зоны. Но вот создал еще одну тачку, она получила аналогично все настройки по dhcp (адрес, домен,), в логи dhcp и в аренды тоже все занеслось , но вот bind9 просто ни в какую в зоны не прописывает эту тачку. перезагружался раз по 10, итог один. Настройки нет смысла думаю присылать, тк сделано как говорится все под перо)
отвечу сам на свой вопрос) перебрав все возможные варианты которые советовал гугл, от безысходности решил переименовать имя хоста (samba_serv) на просто samba. ребутнулся и все заработало!
Это очень странный способ))) Извините, вовремя не ответил. Может там конфликт имен был со второй тачкой?
Спасибо, что помогаете) Да, изначально был конфликт имен, клонировал тачку и совсем забыл про одинаковое имя... Переписав в /etc/hosts и /etc/hostname днс все равно не прописывал в зону. В логах дхцп нашел примерно след строчку. "Unable to add forward map from clienthostname.example.com to 192.168.1.66:"
Я уж тут не знаю как, но и пришло в голову сменить на имя без нижнего слэша(может это не понравилось?).
Кстати вопрос, что эта ошибка означает? Гуглил, но все равно не понял
Роман Ковриков
Кажется просто ошибка о том что не может добавить запись, а причин у нее куча разных
Ubuntu server 18.04 баг с pid файлом поправлен))
Так а пользователям ключ как-то добавляется?
+Ztecgcse69 Zte А пользователям то зачем ключ? Надо связь между службами DNS и DHCP только
HELP!!! Бинд не может создавать записи из за того что у него нет прав.
Я уже сделал его поьзователя и группу владельцем папки (не помогло)
Потом сделал chmod 777 /etc/bind/ (знаю что так нельзя но даже это не помогло!!!)
Что делать?
ошибки при команде sudo service bind9 status
/etc/bind/db.0.168.192.jnl: create: permission denied
//обратная зона
/etc/bind/db.name.ru.jnl: create: permission denied //прямая зона
www.linux.org.ru/forum/admin/4627878
memoryhigh.ru/bind-jnl-create-permission-denied/
@@KirillSemaev Cпасибо, буду пробовать.