ayf Опубликовано 26 января, 2015 · Жалоба Добрый день. Сам с биндом только знакомлюсь, поэтому прошу помочь. Как сделать на ДНСе редирект запрещённых доменов на сайт-заглушку? Просьба тапками не кидать, и не предлагать нанять специалиста. Все равно изучать надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 26 января, 2015 · Жалоба zone "1st-restricted-domain.ru" {type master; file "zaglushka"; }; zone "2nd-restricted-domain.ru" {type master; file "zaglushka"; }; zone "3rd-restricted-domain.ru" {type master; file "zaglushka"; }; зона "заглушка" указывает A (не делайте AAAA, у вас его в списках нету) на адрес, с которого отвечает веб-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 26 января, 2015 · Жалоба zone "1st-restricted-domain.ru" {type master; file "zaglushka"; }; zone "2nd-restricted-domain.ru" {type master; file "zaglushka"; }; zone "3rd-restricted-domain.ru" {type master; file "zaglushka"; }; зона "заглушка" указывает A (не делайте AAAA, у вас его в списках нету) на адрес, с которого отвечает веб-сервер. Иначе говоря, если я правильно понял, раз в реестре 3500 доменов, то на днсе надо будет делать 3500 таких записей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 26 января, 2015 · Жалоба Если вы выбрали такой путь блокирования (см. картинку) - да, вам нужно для каждого из 3500 доменов ответить авторитетным ответом с вашего сервера. Как по мне, это ведь легко автоматизируется, нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 26 января, 2015 · Жалоба Такая блокировка не пройдёт поверку РКН, И ВЫПИШУТ штраф и устранение, не забивайте голову, либо блок по ip (на что, клиенты спасибо не скажут и побегут) либо dpi. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 26 января, 2015 · Жалоба Примерный порядок блокировки URL 1) заворачивать ДНС запросы на себя 2) создавать А записи на свой IP для доменов из запрещенных URL 3) проксировать через nginx траффик на эти домены 4) блокировать средствами nginx траффик на запрещенные URL Больше подробностей - в соответствующих ветках форума, посвященных блокировкам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 26 января, 2015 · Жалоба Если вы выбрали такой путь блокирования (см. картинку) - да, вам нужно для каждого из 3500 доменов ответить авторитетным ответом с вашего сервера. Как по мне, это ведь легко автоматизируется, нет? Увы, я ниразу не программер, поэтому для меня это нечто невообразимое :-( Такая блокировка не пройдёт поверку РКН, И ВЫПИШУТ штраф и устранение, не забивайте голову, либо блок по ip (на что, клиенты спасибо не скажут и побегут) либо dpi. У меня уже есть блокировка по IP. Ни одной жалобы пока... Это в дополнение хочу сделать, чтобы процент при проверке поменьше был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 6 марта, 2015 (изменено) · Жалоба Столкнулся с не приятным изменением после обновления bind99-9.9.6P1_3 до bind99-9.9.7. У меня в конфиге есть include "/usr/local/etc/namedb/banned.conf"; на так называемые зоны для которых указан один файл заглушка на 127.0.0.1 file "/usr/local/etc/namedb/master/null.zone"; После обновления ругается на то, что файл уже используется одной зоной. named-checkconf named-checkconf /usr/local/etc/namedb/banned.conf:11: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 /usr/local/etc/namedb/banned.conf:15: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 /usr/local/etc/namedb/banned.conf:20: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 /usr/local/etc/namedb/banned.conf:25: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 /usr/local/etc/namedb/banned.conf:30: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 /usr/local/etc/namedb/banned.conf:35: writeable file '/usr/local/etc/namedb/master/null.zone': already in use: /usr/local/etc/namedb/banned.conf:7 То есть получается сейчас такую конфигурацию использовать уже нельзя. cat banned.conf zone "host.ru" { type master; file "/usr/local/etc/namedb/master/null.zone"; }; Прочитал здесь http://www.freshports.org/dns/bind99/ и https://kb.isc.org/article/AA-01256/0/BIND-9.9.7-Release-Notes.html ничего про это не нашёл. Неужели теперь придется для каждой зоны свой уникальный файл использовать разным названием но одинаковым содержимым ? Изменено 6 марта, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 6 марта, 2015 · Жалоба Используйте второй нулевой файл для забаненных доменов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OK-2004 Опубликовано 6 марта, 2015 (изменено) · Жалоба файл "/usr/local/etc/namedb/master/null.zone" случайно не используется в описаниях зон для которых "type slave" ? ...Прочитал здесь http://www.freshports.org/dns/bind99/ и https://kb.isc.org/a...ease-Notes.html ничего про это не нашёл... Вот же написано :(https://kb.isc.org/article/AA-01256/0/BIND-9.9.7-Release-Notes.html) ... When files opened for writing by named, such as zone journal files, were referenced more than once in named.conf, it could lead to file corruption as multiple threads wrote to the same file. This is now detected when loading named.conf and reported as an error. [RT #37172] .... Изменено 6 марта, 2015 пользователем OK-2004 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 6 марта, 2015 · Жалоба Используйте второй нулевой файл для забаненных доменов. Для каждого забаненого домена создавать null.zone1, null.zone2, null.zone3 ? файл "/usr/local/etc/namedb/master/null.zone" случайно не используется в описаниях зон для которых "type slave" ? ...Прочитал здесь http://www.freshports.org/dns/bind99/ и https://kb.isc.org/a...ease-Notes.html ничего про это не нашёл... Вот же написано :(https://kb.isc.org/article/AA-01256/0/BIND-9.9.7-Release-Notes.html) ... When files opened for writing by named, such as zone journal files, were referenced more than once in named.conf, it could lead to file corruption as multiple threads wrote to the same file. This is now detected when loading named.conf and reported as an error. [RT #37172] .... Пардон, не увидел. null.zone в type slave; не используется. Ну теперь это интерпретируется как ошибка, какие варианты тогда ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 марта, 2015 · Жалоба Ну во фре лежит дефолтный конфиг содержащий // Private Use Networks (RFCs 1918, 5735 and 6303) zone "10.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; ... и работает. allow-update на уровне сервера нету ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 7 марта, 2015 (изменено) · Жалоба Ну во фре лежит дефолтный конфиг содержащий // Private Use Networks (RFCs 1918, 5735 and 6303) zone "10.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; }; ... и работает. allow-update на уровне сервера нету ? Какая у вас версия bind ? У меня за основу был взят дефолтный конфиг, но эти строки я там коментил, если раскоменить - тот же самый error. allow-update нету, это slave сервер. Но для зон заглушек всё равно type master; Изменено 7 марта, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 7 марта, 2015 · Жалоба 9.9.7 из портов. За основу дефолтный конфиг от фри ~ 9.1 named-checkconf -t /var/named /etc/namedb/named.conf не ругается. Mar 7 23:20:17 ns02 named[51869]: starting BIND 9.9.7 -c /etc/namedb/named.conf -t /var/named -u bind /// Mar 7 23:14:59 ns02 named[51869]: zone 0.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 10.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 242.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 17.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 127.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 18.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 240.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 247.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 254.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 20.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 31.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 22.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 16.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 19.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone c.ip6.arpa/IN: loaded serial 42 /// Вот проверил специально, сделал другой файл, завел 2 другие зона (вдруг эти, они же все стандартно серые, где там не так обрабатываются). нет все ОК. зоны загрузились. дал бинду права на RW на файл и диру. Тоже ок. зы Да, конфиги у меня изначально от базы а не из портов (/etc/namedb). Но текущий бинд в портах, он replace base не делает, поэтому стоит в /usr/local. бинд собирался 3 марта, но там /usr/ports для этой версии бинда последние изменения более ранние Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 10 марта, 2015 (изменено) · Жалоба 9.9.7 из портов. За основу дефолтный конфиг от фри ~ 9.1 named-checkconf -t /var/named /etc/namedb/named.conf не ругается. Mar 7 23:20:17 ns02 named[51869]: starting BIND 9.9.7 -c /etc/namedb/named.conf -t /var/named -u bind /// Mar 7 23:14:59 ns02 named[51869]: zone 0.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 10.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 242.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 17.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 127.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 18.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 240.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 247.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 254.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 20.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 31.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 22.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 16.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone 19.172.in-addr.arpa/IN: loaded serial 42 Mar 7 23:14:59 ns02 named[51869]: zone c.ip6.arpa/IN: loaded serial 42 /// Вот проверил специально, сделал другой файл, завел 2 другие зона (вдруг эти, они же все стандартно серые, где там не так обрабатываются). нет все ОК. зоны загрузились. дал бинду права на RW на файл и диру. Тоже ок. зы Да, конфиги у меня изначально от базы а не из портов (/etc/namedb). Но текущий бинд в портах, он replace base не делает, поэтому стоит в /usr/local. бинд собирался 3 марта, но там /usr/ports для этой версии бинда последние изменения более ранние У меня десятка стоит... ставил bind из портов т.к. в 10 его вырезали. Чрута нету. uname -a FreeBSD services.gw 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Tue Jun 3 17:22:49 MSK 2014 root@services.gw:/usr/obj/usr/src/sys/SERVICES amd64 ps axu | grep named bind 15986 8.5 12.6 218192 130396 - Ss Thu12PM 713:17.78 /usr/local/sbin/named -u bind -c /usr/local/etc/namedb/named.conf /usr/local/etc/namedb$ ls -al total 100 drwxr-xr-x 6 bind bind 512B Mar 10 10:28 . drwxr-xr-x 12 root wheel 512B Mar 10 10:24 .. -rw-r--r-- 1 root wheel 10K Mar 6 16:27 banned.conf -rw-r--r-- 1 root wheel 2.3K Mar 10 10:28 bind.keys drwxr-xr-x 2 bind bind 512B Mar 10 10:28 dynamic drwxr-xr-x 2 bind bind 512B Mar 10 10:28 master -rw-r--r-- 1 bind bind 23K Mar 10 10:03 named.conf -rw-r--r-- 1 root wheel 21K Mar 10 10:28 named.conf.sample -rw-r--r-- 1 root wheel 3.1K Mar 10 10:28 named.root -r--r--r-- 1 bind bind 479B Jun 3 2014 rndc.conf -rw-r--r-- 1 root wheel 1.4K Mar 10 10:28 rndc.conf.sample drwxr-xr-x 2 bind bind 1.0K Mar 10 10:28 slave drwxr-xr-x 2 bind bind 512B Mar 10 10:28 working root@services:/usr/local/etc/namedb$ ls -al master/ total 24 drwxr-xr-x 2 bind bind 512B Mar 10 10:28 . drwxr-xr-x 6 bind bind 512B Mar 10 10:28 .. -rw-r--r-- 1 root wheel 227B Mar 10 10:28 empty.db -rw-r--r-- 1 root wheel 249B Mar 10 10:28 localhost-forward.db -rw-r--r-- 1 root wheel 317B Mar 10 10:28 localhost-reverse.db -rw-r--r-- 1 root wheel 492B Mar 6 16:42 null.zone df -hT Filesystem Type Size Used Avail Capacity Mounted on /dev/vtbd0p2 ufs 29G 5.8G 21G 22% / devfs devfs 1.0K 1.0K 0B 100% /dev #### named #### named_enable="YES" named_program="/usr/local/sbin/named" named_conf="/usr/local/etc/namedb/named.conf" named_uid="bind" Не знаю что с ним не так, пробовал пересобирать из порта, сейчас попробую make clean make rmconfig и пересобрать. Либо обновить попробовать до 10.1, но не хотелось бы трогать) Изменено 10 марта, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...