Re: dnsmasq
Andrey Jr. Melnikov -> debian-russian@lists.debian.org @ Sat, 10 Mar 2018 14:03:13 +0300:
>> >> >> Из грабель (они описаны в FAQ). isc-dhcpd, видимо, работает в
>> >> >> promiscuous mode, и справляется с ситуацией, когда на файрволе по
>> >> >> данному интерфейсу отдельного разрешения 255.255.255.255 на порт DHCP
>> >> >> нет (у меня пускали только с адресами из локалки). dnsmasq не справился,
>> >> >> пришлось донастроить файрвол. Подумав, махнул рукой и разрешил с этого
>> >> >> интерфейса вообще всё, так что нет уверенности, что достаточно было бы
>> >> >> разрешить по минимуму.
>> >> > -p udp --dports 67:69 - это так сложно прописать в фаирвол? ;)
>> >> Это понятно. Для гостевой сети так и прописано. Кстати, кажется,
>> >> достаточно 67. Я про минимум.
>> > Ну так может взять в руки генератор правил для фаирволов?
>> Я уже лет несколько назад начал об этом задумываться. Но в дистрибутиве
>> их много, изучать их все, чтобы выбрать годный ??? изрядное количество
>> ресурса, а iptables и моих знаний о работе сети для моих задач, в общем,
>> достаточно.
> Начинай изучать nftables, всё к этому плавно идет.
Ок, погляжу.
>> В смысле, "ты не выпендривайся, ты пальцем покажи". Чтобы на выходе был
>> код для iptables-restore (атомарная загрузка, ага), читабельный (ибо
>> если что-то не работает, допрашивать все равно придется не генератор, а
>> непосредственно iptables), и чтобы он был не сложнее, чем собственно
>> iptables.
> Посмотри arno-iptables-firewall.
Тоже глянем.
>> А то я как-то видел исходник, от shorewall, что ли... Руками для
>> iptables то же самое куда понятнее было.
>> > [...]
>> >> zless /usr/share/doc/dnsmasq/FAQ.gz
>> > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Вот это в всякие роутеры никогда не
>> > кладут.
>> Ась? В мой кладут. Я его оттуда цитирую.
> А в lede/openwrt не кладут.
Я как-то поэкспериментировал с openwrt, и мне не понравилось. Того нет,
этого нет... Давно, правда, было дело. У меня на роутере Debian.
>> >> А вот с isc-dhcpd, не знаю, как сейчас, а раньше лечилось только
>> >> client-id. В линуксе-то не проблема...
>> > Да пофигу. Взял и прописал 2 мака с одним адресом. и работает.
>> Ну, значит, уже починили.
> Дык лет 10 как работало. Я был сильно удивлен, что это не работает в другом
> месте.
Ага. Учтем.
>> >> Может, конечно, bind и научились писать, но у меня исторически сложилось
>> >> ощущение, что все isc'шные продукты до одного очень изрядно дырявы, и
>> >> вообще довольно плохо написаны.
>> > Плохо - да, дыряво - возможно. Ты только учитывай, что они написаны в начале
>> > 80 и всех остальных "секурных" на тот момент еще не было.
>> Я понимаю, почему они были несекурны. Но синтаксис конфига это не извиняет.
> Конфиг, как конфиг. Не m4 от шлимыла и то хорошо.
Тот еще страшнее, да.
>> >> Собственно, синтаксис их конфигурации и документация на нее с тех пор
>> >> лучше не стали.
>> > Нет, потому что это не просто a=b,c,d а цельный язык для написания конфигов.
>> > А книг про конфигурацию bind'a - один О'Реилли выпустил 5 редакций.
>> > Разжованно до немогу.
>> Спасибо, я пишу эти конфиги больше 20 лет. Язык там, мягко говоря...
> Никто не мешает написать генератор. Зачем писать ручками те конфиги?
Затем, что к следующему разу я забуду синтаксис исходников для генератора :)
>> >> Не, дома на роутере я лучше dnsmasq оставлю. Для домашней сетки у него
>> >> вполне нормальные лимиты, а DNS наружу мне один хрен провайдеры не
>> > А чем они, эти твои провайдеры - это аргументируют?
>> А ничем. Просто порты закрыты, и это на сайте документировано.
> Дык надо голосовать ногами от такого провайдера. Хотя, можно еще написать в
> РосКомПозор об "избыточных блокировках". Там деньги нужны и видимость работы
> тоже - так что штраф закатят, в независимости - написано на сайте или нет.
Видишь ли, оно мне не особо надо. На почтовку я все равно хожу на 587, а
дальше уже она рассылает. Внешнего сервера я дома не держу, оба адреса
(у меня два линка) 10.xxx. Закрыты — и фиг бы с ними.
>> > Если тебе не нравиться bind - возьми PDNS, Knot, PowerDNS, MaraDNS если уж
>> > так хочется.
>> На кого-то из них я смотрел. Забыл уже, если честно. Монстры еще круче
>> бинда. Десяток своих пакетов и стопка зависимостей еще десятка на два. У
>> меня нет задач на высокопроизводительный DNS-сервер миллиарда
>> доменов. Мне бы что-нибудь поменьше и полегче. Я даже без проверки
>> DNSSEC обойдусь. Заодно и надежнее будет.
> Нее, всеравно не понимаю. Даже если тебе жалко 100 рублей в месяц на самую
> дешманскую VPS где-нибудь с пол-гига памяти для bind'a... ставить то, что
> предназначено для работы в локалке - голым сокетом в мир..
Ну, убедил, что dnsmasq туда не надо. VPS с биндом и так есть. Только
она одна осталась, надо вторую поднять... Про "поменьше и полегче" - это
я про домашний роутер, у которого задача не шуметь, и он поэтому
намеренно слабенький. На пассивном охлаждении.
Reply to:
- Follow-Ups:
- Re: dnsmasq
- From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>
- References:
- dnsmasq
- From: Artem Chuprina <ran@lasgalen.net>
- Re: dnsmasq
- From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>
- Re: dnsmasq
- From: Artem Chuprina <ran@lasgalen.net>
- Re: dnsmasq
- From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>
- Re: dnsmasq
- From: Artem Chuprina <ran@lasgalen.net>
- Re: dnsmasq
- From: "Andrey Jr. Melnikov" <temnota.am@gmail.com>