Re: dnsmasq
Artem Chuprina <ran@lasgalen.net> wrote:
> Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Fri, 9 Mar 2018 19:56:40 +0300:
> >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
> >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
> >> isc-dhcpd). Про "легковеснее" молчу.
> >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
> >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
> >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
> >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
> >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
> >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
> >> разрешить по минимуму.
> > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)
> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
> достаточно 67. Я про минимум.
Ну так может взять в руки генератор правил для фаирволов?
[...]
> zless /usr/share/doc/dnsmasq/FAQ.gz
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот это в всякие роутеры никогда не
кладут.
> Q: My laptop has two network interfaces, a wired one and a wireless
> one. I never use both interfaces at the same time, and I'd like the
> same IP and configuration to be used irrespective of which
> interface is in use. How can I do that?
> Addendum:
> From version 2.46, dnsmasq has a solution to this which doesn't
> involve setting client-IDs. It's possible to put more than one MAC
> address in a --dhcp-host configuration. This tells dnsmasq that it
> should use the specified IP for any of the specified MAC addresses,
> and furthermore it gives dnsmasq permission to sumarily abandon a
> lease to one of the MAC addresses if another one comes along. Note
> that this will work fine only as longer as only one interface is
> up at any time. There is no way for dnsmasq to enforce this
> constraint: if you configure multiple MAC addresses and violate
> this rule, bad things will happen.
Bad things. Ой вэй. Сказочник великий.
> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
> client-id. В линуксе-то не проблема...
Да пофигу. Взял и прописал 2 мака с одним адресом. и работает.
> >> Чего он явно не умеет (в документации нет даже упоминания), так это
> >> трансфера зон.
> > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.
> Спасибо, Кэп, для чего оно предназначено, я в курсе.
> >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
> > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
> > в dnsmasq?
> > Сравни
> > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
> > и
> > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
> > для приличия.
> Может, конечно, bind и научились писать, но у меня исторически сложилось
> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
> вообще довольно плохо написаны.
Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
80 и всех остальных "секурных" на тот момент еще не было.
> Его затыкают, конечно, куда деваться ??? он reference implementation, и
> стоит поэтому везде, где нужна свежая функциональность. Но работает,
> судя по слухам, через пень-колоду.
Ага, "мне Рабинович по телефону напел".
> Собственно, синтаксис их конфигурации и документация на нее с тех пор
> лучше не стали.
Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
Разжованно до немогу.
> >> i A dnsmasq-base Recommends dns-root-data
> >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
> > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
> > ты с kill -HUP ${pid} играться :)
> Про это в man тоже есть.
Ну если автор настолько одаренный, что по SIGHUP делает ВСЁ - то место этому
в роутере.
> > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
> > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов не
> > имеет. И внешний DNS не требует.
> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
А чем они, эти твои провайдеры - это аргументируют?
> пускают. А вот насчет unbound на secondary NS можно и подумать.
unbound - это РЕЗОЛВЕР. Оно не умеет работать АВТОРАТИВНЫМ сервером.
Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
так хочется.
Reply to:
- References:
- dnsmasq
- From: Artem Chuprina <ran@lasgalen.net>
- Re: dnsmasq
- From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>
- Re: dnsmasq
- From: Artem Chuprina <ran@lasgalen.net>