[Telesis]

еще надо sysctl потюнить

мне? для чего?

[foxroot]

вообщем закинул трафик тоже самое с named получше вот unbound очень долго думает при resolv

num.query.type.A=288

num.query.type.PTR=4

num.query.type.AAAA=17

num.query.type.ANY=51

num.query.class.IN=360

num.query.opcode.QUERY=360

num.query.tcp=0

num.query.ipv6=0

num.query.flags.QR=0

num.query.flags.AA=0

num.query.flags.TC=0

num.query.flags.RD=360

num.query.flags.RA=3

num.query.flags.Z=0

num.query.flags.AD=0

num.query.flags.CD=0

num.query.edns.present=51

num.query.edns.DO=0

num.answer.rcode.NOERROR=301

num.answer.rcode.SERVFAIL=2

num.answer.rcode.NXDOMAIN=43

num.answer.rcode.nodata=12

num.answer.secure=8

num.answer.bogus=2

num.rrset.bogus=1

unwanted.queries=0

unwanted.replies=1

 

total.num.queries=499499

total.num.cachehits=311153

total.num.cachemiss=188346

total.num.prefetch=10315

total.num.recursivereplies=174090

total.requestlist.avg=211.583

total.requestlist.max=534

total.requestlist.overwritten=0

total.requestlist.exceeded=0

total.requestlist.current.all=458

total.requestlist.current.user=386

total.recursion.time.avg=17.148459

total.recursion.time.median=1.86018

time.now=1459870200.030844

time.up=561.966671

time.elapsed=561.966671

 

что не так с сервером DNS

[foxroot]

погодите что то не понятно а зачем без forwarders. у меня же не корневой DNS?

без forwarders вообще не работает

nslookup rbc.ru

Server: x.x.x.x

Address: x.x.x.x#53

 

** server can't find rbc.ru: SERVFAIL

[NiTr0]

погодите что то не понятно а зачем без forwarders. у меня же не корневой DNS?

кто вашему днс-у мешает к корневым постучаться и отрезолвить всю цепочку?

[foxroot]

а как это прописать без forwarders?

[uxcr]

https://wiki.archlinux.org/index.php/Unbound#Root_hints

 

Если анбаунд фряшный то там всё есть по дефолту, достаточно выключить forward.

[foxroot]

вообщем судя по сообщениям и по ссылкам с google.com действительно unbound работает пошустрее и обрабатывает рекурсивные запросы полубаков лучше bind но когда я его запускаю то он работает очень очень медленно ( а именно, при количестве абонентов 10-15 все вроде норм как только всех абонентов заворачиваю порядка 10к то все, сайты долго открываются (в пределах одной страницы когда ПК уже получил резолф все ОК.)). ниже мой файл unbound.conf что не так подскажите?

server:

statistics-interval: 0

statistics-cumulative: no

extended-statistics: yes

num-threads: 4

interface: 127.0.0.1

interface: x.x.x.x

port: 53

outgoing-interface: x.x.x.x // у меня один ip для входа и для выхода

outgoing-range: 8192

so-rcvbuf: 8m

so-sndbuf: 8m

msg-cache-size: 256m

num-queries-per-thread: 1024

rrset-cache-size: 512m

cache-max-ttl: 86400

infra-host-ttl: 60

infra-lame-ttl: 120

do-ip4: yes

do-ip6: no

do-udp: yes

do-tcp: yes

access-control: 0.0.0.0/0 refuse

access-control: 127.0.0.0/8 allow

access-control: x.x.x.x/х allow //здесь перечисляю все мои сети

access-control: y.y.y.y/x allow

access-control: 172.16.0.0/12 allow

access-control: ::0/0 refuse

chroot: ""

username: "unbound"

directory: "/etc/unbound"

log-time-ascii: yes

pidfile: "/var/run/unbound/unbound.pid"

hide-version: yes

harden-glue: yes

harden-dnssec-stripped: yes

harden-below-nxdomain: yes

harden-referral-path: yes

use-caps-for-id: no

prefetch: yes

rrset-roundrobin: yes

trusted-keys-file: /etc/unbound/keys.d/*.key

auto-trust-anchor-file: "/var/lib/unbound/root.key"

val-clean-additional: yes

val-permissive-mode: no

val-log-level: 1

include: /etc/unbound/local.d/*.conf

remote-control:

server-key-file: "/etc/unbound/unbound_server.key"

server-cert-file: "/etc/unbound/unbound_server.pem"

control-key-file: "/etc/unbound/unbound_control.key"

control-cert-file: "/etc/unbound/unbound_control.pem"

include: /etc/unbound/conf.d/*.conf

forward-zone:

name: "."

forward-addr: 8.8.8.8

forward-addr: 8.8.4.4

 

подскажите что не верно?

[uxcr]

Не используйте forward, тем более для резолвинга через такие днсы, unbound сам нормально всё разрешает и кэширует через корневые серверы.

Выше написано же.

[foxroot]

если убрать forward из кончика. рестартануть процесс то DNS начинает выводить

nslookup rbc.ru

Server: x.x.x.x

Address: x.x.x.x#53

 

** server can't find rbc.ru: SERVFAIL

он просто не отдает ничего!

[hsvt]

Дак может не в unbounde дело то уже и это не смотря на то, что в bind всё шустро.

Изменено 5 апреля, 2016 пользователем hsvt

[uxcr]

foxroot

Ну покажите конфиг.

И желательно резолвить через 'drill @127.0.0.1 rbc.ru'

 

Секунду, а про root-hints вы прочитали на arch-wiki?

Ну там файлик скачать, строку в конфиг добавить?

[foxroot]

а в чем тогда ? тот же сервер с теми же абонентами. почему хотелось перейти на unbound так как не смотря на то что в bind все шустро но временами и bin начинает отвечать х.з. как.

т.е. он работает работает и потом так же себя ведет.

мониторил трафик нечего подозрительного обычные запросы.

поставил уже правила iptables как на in так и на out чтобы на сервер приходили только запросы и уходили ответы на мои сети. куда копать уже не понятно.

да и как он без forward-adde: может работать (в конфиге bin у меня тоже forward-addr прописан)? как сервер поймет откуда зоны смотреть?

 

конфиг выше приложил.

[uxcr]

Так у вас, батенька, все проблемы от того что гугл не для провайдеров свой днс сделал.

Там же режутся запросы, эта штука максимум годится если нужно на скорую руку мелкий офис запустить, а айпишники днсов провайдера пропотеряны.

Не используйте forward.

В бинде включите домен ".", во всех дистрах оно вроде бы существует с нужными настройками.

[foxroot]

пробовал с другими чот yandex.ru от вышестоящего провайдера тоже самое.

да и как без forward. вы объясните? я убираю DNS работать перестает.

[uxcr]

Вот с фряхи пример, там по дефолту как раз разрешение имен идёт через корневые серверы:

https://svnweb.freebsd.org/base/stable/9/etc/namedb/named.conf?revision=254270&view=co

[foxroot]

вот сейчас убрал forward пишет следующие

nslookup www.rbc.ru

Server: 127.0.0.1

Address: 127.0.0.1#53

 

** server can't find www.rbc.ru: SERVFAIL

как DNS поймет где зоны брать? я просто понять не могу он что 0.0.0.0/0 будет сканировать? у меня кеширующий DNS

 

но у меня нет описанных зон в конфете. и у меня Centos не FreeBSD

[uxcr]

Вы издеваетесь что ли? Сколько раз можно повторять про root-hints для unbound и зону "." для named?

В named.conf добавьте зону

zone "." { type hint; file "/etc/namedb/named.root"; };

 

Или в случае unbound:

curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache

И добавить в конфиг

root-hints: "/etc/unbound/root.hints"

[foxroot]

сделал следующие

curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache

файлик скачался

ls -a /etc/unbound/

. conf.d icannbundle.pem local.d root.hints unbound.conf unbound_control.pem unbound_server.pem

.. dlv.isc.org.key keys.d root.anchor root.key unbound_control.key unbound_server.key

 

содержание файла

 

GNU nano 2.0.9 File: /etc/unbound/root.hints

 

; This file holds the information on root name servers needed to

; initialize cache of Internet domain name servers

; (e.g. reference this file in the "cache . <file>"

; configuration file of BIND domain name servers).

;

; This file is made available by InterNIC

; under anonymous FTP as

; file /domain/named.cache

; on server FTP.INTERNIC.NET

; -OR- RS.INTERNIC.NET

;

; last update: March 23, 2016

; related version of root zone: 2016032301

;

; formerly NS.INTERNIC.NET

;

. 3600000 NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e::2:30

;

; FORMERLY NS1.ISI.EDU

;

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:84::b

 

и т.д.

Добавил в коняги

root-hints: "/etc/unbound/root.hints"

убрал из конфига forward

 

не работает!

nslookup www.mail.ru

Server: 127.0.0.1

Address: 127.0.0.1#53

 

** server can't find www.mail.ru: SERVFAIL

[uxcr]

Какой в итоге получился конфиг, запостите? Только на pastebin.com плз

[foxroot]

нашел косяк, спасибо большое за подробное описание. попробую испытать без forward. результат напишу

[foxroot]

переключил пользователей, пока полет нормальный без forward работает лучше и намного быстрее.

еще хотел просить а как Вы защищаете свой сервер DNS ?

[hsvt]

http://forum.nag.ru/forum/index.php?showtopic=107042&hl=dns%20ddos&st=0

http://forum.nag.ru/forum/index.php?showtopic=94260&st=0&p=1215407&hl=dns%20ddos&fromsearch=1entry1215407

http://forum.nag.ru/forum/index.php?showtopic=96388&hl=dns%20ddos&st=0

http://forum.nag.ru/forum/index.php?showtopic=80375&hl=dns%20ddos&st=0

http://forum.nag.ru/forum/index.php?showtopic=89708&st=0&p=899106&hl=dns%20ddos&fromsearch=1entry899106

http://forum.nag.ru/forum/index.php?showtopic=60711&st=0&p=544085&hl=dns%20ddos&fromsearch=1entry544085

[Ivan_83]

вот нет чтобы почитать инструкцию и подумать головой.

[pppoetest]

forward-addr: 8.8.8.8

forward-addr: 8.8.4.4

 

подскажите что не верно?

Нефиг включать форвардинг. Это плохо.

 

вот нет чтобы почитать инструкцию и подумать головой.

+1

[Alex_P89]

Разрешите встрясть.

Есть проблема с unbound. Без форвардинга на ДНС гугла и яндекса, при работе только на roothits, не работают некоторые доменные имена.

Например www.360totalsecurity.com:

# nslookup www.360totalsecurity.com 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find www.360totalsecurity.com: SERVFAIL

Другие домены вполне себе работают:

# nslookup ya.ru 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 93.158.134.3

 

Как такое возможно?