Re: dnsmasq

[Artem Chuprina <ran@lasgalen.net>]

Andrey Jr. Melnikov -> debian-russian@lists.debian.org  @ Sat, 10 Mar 2018 14:03:13 +0300:

 >>  >>  >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
 >>  >>  >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
 >>  >>  >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
 >>  >>  >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
 >>  >>  >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
 >>  >>  >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
 >>  >>  >> разрешить по минимуму.
 >>  >>  > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)

 >>  >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
 >>  >> достаточно 67. Я про минимум.
 >>  > Ну так может взять в руки генератор правил для фаирволов?

 >> Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
 >> их много, изучать их все, чтобы выбрать годный ??? изрядное количество
 >> ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
 >> достаточно.
 > Начинай изучать nftables, всё к этому плавно идет.

Ок, погляжу.

 >> В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
 >> код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
 >> если что-то не работает, допрашивать все равно придется не генератор, а
 >> непосредственно iptables), и чтобы он был не сложнее, чем собственно
 >> iptables.
 > Посмотри arno-iptables-firewall. 

Тоже глянем.

 >> А то я как-то видел исходник, от shorewall, что ли... Руками для
 >> iptables то же самое куда понятнее было.

 >>  > [...]

 >>  >> zless /usr/share/doc/dnsmasq/FAQ.gz
 >>  > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот это в всякие роутеры никогда не
 >>  > кладут.
 >> Ась? В мой кладут. Я его оттуда цитирую.
 > А в lede/openwrt не кладут.

Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет,
этого нет... Давно, правда, было дело. У меня на роутере Debian.

 >>  >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
 >>  >> client-id. В линуксе-то не проблема...
 >>  > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает. 
 >> Ну, значит, уже починили.
 > Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом
 > месте.

Ага. Учтем.

 >>  >> Может, конечно, bind и научились писать, но у меня исторически сложилось
 >>  >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
 >>  >> вообще довольно плохо написаны.
 >>  > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
 >>  > 80 и всех остальных "секурных" на тот момент еще не было.
 >> Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.

 > Конфиг, как конфиг. Не m4 от шлимыла и то хорошо.

Тот еще страшнее, да.

 >>  >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
 >>  >> лучше не стали.
 >>  > Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
 >>  > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
 >>  > Разжованно до немогу.
 >> Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...
 > Никто не мешает написать генератор. Зачем писать ручками те конфиги?

Затем, что к следующему разу я забуду синтаксис исходников для генератора :)

 >>  >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
 >>  >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
 >>  > А чем они, эти твои провайдеры - это аргументируют?
 >> А ничем. Просто порты закрыты, и это на сайте документировано.
 > Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в
 > РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость работы
 > тоже - так что штраф закатят, в независимости - написано на сайте или нет.

Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
(у меня два линка) 10.xxx. Закрыты — и фиг бы с ними.

 >>  > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
 >>  > так хочется.

 >> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
 >> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
 >> меня нет задач на высокопроизводительный DNS-сервер миллиарда
 >> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки
 >> DNSSEC обойдусь. Заодно и надежнее будет.

 > Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую
 > дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что
 > предназначено для работы в локалке - голым сокетом в мир..

Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только
она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это
я про домашний роутер, у которого задача не шуметь, и он поэтому
намеренно слабенький. На пассивном охлаждении.