Re: dnsmasq

To: debian-russian@lists.debian.org
Subject: Re: dnsmasq
From: Artem Chuprina <ran@lasgalen.net>
Date: Fri, 09 Mar 2018 20:49:01 +0300
Message-id: <[🔎] 87efkt9m2a.fsf@silver.lasgalen.net>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 6vqane-lnr.ln1@banana.localnet> (Andrey Jr. Melnikov's message of "Fri, 9 Mar 2018 19:56:40 +0300")
References: <[🔎] 87ina59rk1.fsf@silver.lasgalen.net> <[🔎] 6vqane-lnr.ln1@banana.localnet>

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Fri, 9 Mar 2018 19:56:40 +0300:

 >> Разнося на разные девайсы сервер и роутер, таки сподобился настроить DNS
 >> и DHCP для локалки через dnsmasq. Получилось проще, чем с ISC (bind и
 >> isc-dhcpd). Про "легковеснее" молчу.

 >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >> разрешить по минимуму.
 > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
достаточно 67. Я про минимум.

А махнул рукой я, потому что там, вообще говоря

 >> Судя по документации, dnsmasq теперь можно обучить практически всем
 >> типам записей, т.е. чуть ли не сделать из него полноценный DNS-сервер,
 >> торчащий наружу. Хотя он вообще-то придуман не для этого. Единственное ???
 >> не помню, можно ли ему объяснить, что наружу можно отдавать запросы по
 >> своей зоне, но нельзя делать рекурсивные. Скорее всего, можно, потому
 >> что про соответствующую атаку авторы в курсе. Просто не помню (пока было
 >> не надо).
 > Ага. Как только научишь его отдавать ОДИН IP адрес на два MAC'a - скажи.
 > Скажу сразу - для ноутбука. У которого или эзернет или вай-вай.

zless /usr/share/doc/dnsmasq/FAQ.gz
Q: My laptop has two network interfaces, a wired one and a wireless
   one. I never use both interfaces at the same time, and I'd like the
   same IP and configuration to be used irrespective of which
   interface is in use. How can I do that?

Addendum:
   From version 2.46, dnsmasq has a solution to this which doesn't
   involve setting client-IDs. It's possible to put more than one MAC
   address in a --dhcp-host configuration. This tells dnsmasq that it
   should use the specified IP for any of the specified MAC addresses,
   and furthermore it gives dnsmasq permission to sumarily abandon a
   lease to one of the MAC addresses if another one comes along. Note
   that this will work fine only as longer as only one interface is
   up at any time. There is no way for dnsmasq to enforce this
   constraint: if you configure multiple MAC addresses and violate 
   this rule, bad things will happen.

А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
client-id. В линуксе-то не проблема...

 >> Чего он явно не умеет (в документации нет даже упоминания), так это
 >> трансфера зон.

 > Это затычка для роутеров, оно без внешнего DNS'a работать не умеет.

Спасибо, Кэп, для чего оно предназначено, я в курсе.

 >> Подумываю, не попробовать ли его как второй авторитетный DNS своей зоны.
 > Чем тебя bind не устроил? Тем, что в нем на порядок меньше CVE находят, чем
 > в dnsmasq?
 > Сравни
 > https://www.cvedetails.com/product/14557/Thekelleys-Dnsmasq.html?vendor_id=8351
 > и
 > https://www.cvedetails.com/product/144/ISC-Bind.html?vendor_id=64
 > для приличия.

Может, конечно, bind и научились писать, но у меня исторически сложилось
ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
вообще довольно плохо написаны.

Его затыкают, конечно, куда деваться — он reference implementation, и
стоит поэтому везде, где нужна свежая функциональность. Но работает,
судя по слухам, через пень-колоду.

Собственно, синтаксис их конфигурации и документация на нее с тех пор
лучше не стали.

 >> i A dnsmasq-base Recommends dns-root-data                  

 >> Может, конечно, он оттуда только ключи для DNSSEC хочет...
 > Вот именно. Оно еще и ntp сервер захочет. Чтоб ключи валидировать. И будешь
 > ты с kill -HUP ${pid} играться :)

Про это в man тоже есть.

 > PS: Лучше уж сборку из unbound/atftpd/udhcpd - оно хоть если развалиться, то
 > не всё сразу. И дурацких лимитов по умолчанию в 150 паралельных DNS запросов не
 > имеет. И внешний DNS не требует.

Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
пускают. А вот насчет unbound на secondary NS можно и подумать.

Reply to:

Follow-Ups:
- Re: dnsmasq
  - From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>

References:
- dnsmasq
  - From: Artem Chuprina <ran@lasgalen.net>
- Re: dnsmasq
  - From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>

Prev by Date: Re: dnsmasq
Next by Date: Re: Краткий обзор систем резервного копирования
Previous by thread: Re: dnsmasq
Next by thread: Re: dnsmasq
Index(es):
- Date
- Thread