Re: dnsmasq

["Andrey Jr. Melnikov" <temnota.am@gmail.com>]

Artem Chuprina <ran@lasgalen.net> wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 19:56:40 +0300:

>  >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
>  >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
>  >> isc-dhcpd). Про "легковеснее" молчу.

>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
>  >> разрешить по минимуму.
>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
> достаточно 67. Я про минимум.
Ну так может взять в руки генератор правил для фаирволов?

[...]

> zless /usr/share/doc/dnsmasq/FAQ.gz
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот это в всякие роутеры никогда не
кладут.

> Q: My laptop has two network interfaces, a wired one and a wireless
>    one. I never use both interfaces at the same time, and I'd like the
>    same IP and configuration to be used irrespective of which
>    interface is in use. How can I do that?

> Addendum:
>    From version 2.46, dnsmasq has a solution to this which doesn't
>    involve setting client-IDs. It's possible to put more than one MAC
>    address in a --dhcp-host configuration. This tells dnsmasq that it
>    should use the specified IP for any of the specified MAC addresses,
>    and furthermore it gives dnsmasq permission to sumarily abandon a
>    lease to one of the MAC addresses if another one comes along. Note
>    that this will work fine only as longer as only one interface is
>    up at any time. There is no way for dnsmasq to enforce this
>    constraint: if you configure multiple MAC addresses and violate 
>    this rule, bad things will happen.
Bad things. Ой вэй. Сказочник великий.

> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
> client-id. В линуксе-то не проблема...

Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 

>  >> Чего он явно не умеет (в документации нет даже упоминания), так это
>  >> трансфера зон.

>  > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

> Спасибо, Кэп, для чего оно предназначено, я в курсе.

>  >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
>  > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
>  > в dnsmasq?
>  > Сравни
>  > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
>  > и
>  > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
>  > для приличия.

> Может, конечно, bind и научились писать, но у меня исторически сложилось
> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
> вообще довольно плохо написаны.
Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
80 и всех остальных "секурных" на тот момент еще не было.

> Его затыкают, конечно, куда деваться ??? он reference implementation, и
> стоит поэтому везде, где нужна свежая функциональность. Но работает,
> судя по слухам, через пень-колоду.
Ага, "мне Рабинович по телефону напел".

> Собственно, синтаксис их конфигурации и документация на нее с тех пор
> лучше не стали.
Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
Разжованно до немогу.

>  >> i A dnsmasq-base Recommends dns-root-data                  

>  >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
>  > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
>  > ты с kill -HUP ${pid} играться :)
> Про это в man тоже есть.
Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
в роутере. 

>  > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
>  > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов не
>  > имеет. И внешний DNS не требует.

> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
А чем они, эти твои провайдеры - это аргументируют?

> пускают. А вот насчет unbound на secondary NS можно и подумать.
unbound - это РЕЗОЛВЕР. Оно не умеет работать АВТОРАТИВНЫМ сервером.

Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
так хочется.