Telesis Опубликовано 5 апреля, 2016 · Жалоба еще надо sysctl потюнить мне? для чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба вообщем закинул трафик тоже самое с named получше вот unbound очень долго думает при resolv num.query.type.A=288 num.query.type.PTR=4 num.query.type.AAAA=17 num.query.type.ANY=51 num.query.class.IN=360 num.query.opcode.QUERY=360 num.query.tcp=0 num.query.ipv6=0 num.query.flags.QR=0 num.query.flags.AA=0 num.query.flags.TC=0 num.query.flags.RD=360 num.query.flags.RA=3 num.query.flags.Z=0 num.query.flags.AD=0 num.query.flags.CD=0 num.query.edns.present=51 num.query.edns.DO=0 num.answer.rcode.NOERROR=301 num.answer.rcode.SERVFAIL=2 num.answer.rcode.NXDOMAIN=43 num.answer.rcode.nodata=12 num.answer.secure=8 num.answer.bogus=2 num.rrset.bogus=1 unwanted.queries=0 unwanted.replies=1 total.num.queries=499499 total.num.cachehits=311153 total.num.cachemiss=188346 total.num.prefetch=10315 total.num.recursivereplies=174090 total.requestlist.avg=211.583 total.requestlist.max=534 total.requestlist.overwritten=0 total.requestlist.exceeded=0 total.requestlist.current.all=458 total.requestlist.current.user=386 total.recursion.time.avg=17.148459 total.recursion.time.median=1.86018 time.now=1459870200.030844 time.up=561.966671 time.elapsed=561.966671 что не так с сервером DNS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба погодите что то не понятно а зачем без forwarders. у меня же не корневой DNS? без forwarders вообще не работает nslookup rbc.ru Server: x.x.x.x Address: x.x.x.x#53 ** server can't find rbc.ru: SERVFAIL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 апреля, 2016 · Жалоба погодите что то не понятно а зачем без forwarders. у меня же не корневой DNS? кто вашему днс-у мешает к корневым постучаться и отрезолвить всю цепочку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба а как это прописать без forwarders? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба https://wiki.archlinux.org/index.php/Unbound#Root_hints Если анбаунд фряшный то там всё есть по дефолту, достаточно выключить forward. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба вообщем судя по сообщениям и по ссылкам с google.com действительно unbound работает пошустрее и обрабатывает рекурсивные запросы полубаков лучше bind но когда я его запускаю то он работает очень очень медленно ( а именно, при количестве абонентов 10-15 все вроде норм как только всех абонентов заворачиваю порядка 10к то все, сайты долго открываются (в пределах одной страницы когда ПК уже получил резолф все ОК.)). ниже мой файл unbound.conf что не так подскажите? server: statistics-interval: 0 statistics-cumulative: no extended-statistics: yes num-threads: 4 interface: 127.0.0.1 interface: x.x.x.x port: 53 outgoing-interface: x.x.x.x // у меня один ip для входа и для выхода outgoing-range: 8192 so-rcvbuf: 8m so-sndbuf: 8m msg-cache-size: 256m num-queries-per-thread: 1024 rrset-cache-size: 512m cache-max-ttl: 86400 infra-host-ttl: 60 infra-lame-ttl: 120 do-ip4: yes do-ip6: no do-udp: yes do-tcp: yes access-control: 0.0.0.0/0 refuse access-control: 127.0.0.0/8 allow access-control: x.x.x.x/х allow //здесь перечисляю все мои сети access-control: y.y.y.y/x allow access-control: 172.16.0.0/12 allow access-control: ::0/0 refuse chroot: "" username: "unbound" directory: "/etc/unbound" log-time-ascii: yes pidfile: "/var/run/unbound/unbound.pid" hide-version: yes harden-glue: yes harden-dnssec-stripped: yes harden-below-nxdomain: yes harden-referral-path: yes use-caps-for-id: no prefetch: yes rrset-roundrobin: yes trusted-keys-file: /etc/unbound/keys.d/*.key auto-trust-anchor-file: "/var/lib/unbound/root.key" val-clean-additional: yes val-permissive-mode: no val-log-level: 1 include: /etc/unbound/local.d/*.conf remote-control: server-key-file: "/etc/unbound/unbound_server.key" server-cert-file: "/etc/unbound/unbound_server.pem" control-key-file: "/etc/unbound/unbound_control.key" control-cert-file: "/etc/unbound/unbound_control.pem" include: /etc/unbound/conf.d/*.conf forward-zone: name: "." forward-addr: 8.8.8.8 forward-addr: 8.8.4.4 подскажите что не верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба Не используйте forward, тем более для резолвинга через такие днсы, unbound сам нормально всё разрешает и кэширует через корневые серверы. Выше написано же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба если убрать forward из кончика. рестартануть процесс то DNS начинает выводить nslookup rbc.ru Server: x.x.x.x Address: x.x.x.x#53 ** server can't find rbc.ru: SERVFAIL он просто не отдает ничего! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 5 апреля, 2016 (изменено) · Жалоба Дак может не в unbounde дело то уже и это не смотря на то, что в bind всё шустро. Изменено 5 апреля, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба foxroot Ну покажите конфиг. И желательно резолвить через 'drill @127.0.0.1 rbc.ru' Секунду, а про root-hints вы прочитали на arch-wiki? Ну там файлик скачать, строку в конфиг добавить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба а в чем тогда ? тот же сервер с теми же абонентами. почему хотелось перейти на unbound так как не смотря на то что в bind все шустро но временами и bin начинает отвечать х.з. как. т.е. он работает работает и потом так же себя ведет. мониторил трафик нечего подозрительного обычные запросы. поставил уже правила iptables как на in так и на out чтобы на сервер приходили только запросы и уходили ответы на мои сети. куда копать уже не понятно. да и как он без forward-adde: может работать (в конфиге bin у меня тоже forward-addr прописан)? как сервер поймет откуда зоны смотреть? конфиг выше приложил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба Так у вас, батенька, все проблемы от того что гугл не для провайдеров свой днс сделал. Там же режутся запросы, эта штука максимум годится если нужно на скорую руку мелкий офис запустить, а айпишники днсов провайдера пропотеряны. Не используйте forward. В бинде включите домен ".", во всех дистрах оно вроде бы существует с нужными настройками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба пробовал с другими чот yandex.ru от вышестоящего провайдера тоже самое. да и как без forward. вы объясните? я убираю DNS работать перестает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба Вот с фряхи пример, там по дефолту как раз разрешение имен идёт через корневые серверы: https://svnweb.freebsd.org/base/stable/9/etc/namedb/named.conf?revision=254270&view=co Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба вот сейчас убрал forward пишет следующие nslookup www.rbc.ru Server: 127.0.0.1 Address: 127.0.0.1#53 ** server can't find www.rbc.ru: SERVFAIL как DNS поймет где зоны брать? я просто понять не могу он что 0.0.0.0/0 будет сканировать? у меня кеширующий DNS но у меня нет описанных зон в конфете. и у меня Centos не FreeBSD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба Вы издеваетесь что ли? Сколько раз можно повторять про root-hints для unbound и зону "." для named? В named.conf добавьте зону zone "." { type hint; file "/etc/namedb/named.root"; }; Или в случае unbound: curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache И добавить в конфиг root-hints: "/etc/unbound/root.hints" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба сделал следующие curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache файлик скачался ls -a /etc/unbound/ . conf.d icannbundle.pem local.d root.hints unbound.conf unbound_control.pem unbound_server.pem .. dlv.isc.org.key keys.d root.anchor root.key unbound_control.key unbound_server.key содержание файла GNU nano 2.0.9 File: /etc/unbound/root.hints ; This file holds the information on root name servers needed to ; initialize cache of Internet domain name servers ; (e.g. reference this file in the "cache . <file>" ; configuration file of BIND domain name servers). ; ; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.cache ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; ; last update: March 23, 2016 ; related version of root zone: 2016032301 ; ; formerly NS.INTERNIC.NET ; . 3600000 NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e::2:30 ; ; FORMERLY NS1.ISI.EDU ; . 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201 B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:84::b и т.д. Добавил в коняги root-hints: "/etc/unbound/root.hints" убрал из конфига forward не работает! nslookup www.mail.ru Server: 127.0.0.1 Address: 127.0.0.1#53 ** server can't find www.mail.ru: SERVFAIL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 5 апреля, 2016 · Жалоба Какой в итоге получился конфиг, запостите? Только на pastebin.com плз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба нашел косяк, спасибо большое за подробное описание. попробую испытать без forward. результат напишу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 5 апреля, 2016 · Жалоба переключил пользователей, пока полет нормальный без forward работает лучше и намного быстрее. еще хотел просить а как Вы защищаете свой сервер DNS ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 5 апреля, 2016 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=107042&hl=dns%20ddos&st=0 http://forum.nag.ru/forum/index.php?showtopic=94260&st=0&p=1215407&hl=dns%20ddos&fromsearch=1entry1215407 http://forum.nag.ru/forum/index.php?showtopic=96388&hl=dns%20ddos&st=0 http://forum.nag.ru/forum/index.php?showtopic=80375&hl=dns%20ddos&st=0 http://forum.nag.ru/forum/index.php?showtopic=89708&st=0&p=899106&hl=dns%20ddos&fromsearch=1entry899106 http://forum.nag.ru/forum/index.php?showtopic=60711&st=0&p=544085&hl=dns%20ddos&fromsearch=1entry544085 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 апреля, 2016 · Жалоба вот нет чтобы почитать инструкцию и подумать головой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 6 апреля, 2016 · Жалоба forward-addr: 8.8.8.8 forward-addr: 8.8.4.4 подскажите что не верно? Нефиг включать форвардинг. Это плохо. вот нет чтобы почитать инструкцию и подумать головой. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 6 апреля, 2016 · Жалоба Разрешите встрясть. Есть проблема с unbound. Без форвардинга на ДНС гугла и яндекса, при работе только на roothits, не работают некоторые доменные имена. Например www.360totalsecurity.com: # nslookup www.360totalsecurity.com 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 ** server can't find www.360totalsecurity.com: SERVFAIL Другие домены вполне себе работают: # nslookup ya.ru 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: ya.ru Address: 213.180.204.3 Name: ya.ru Address: 213.180.193.3 Name: ya.ru Address: 93.158.134.3 Как такое возможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...