|
| Q: Langsom DNS ? Fra : Lasse Jensen |
Dato : 27-08-02 00:59 |
|
?Hej Group
Jeg sidder her og leger med opsætning af DNS (bind9)
den lader til at virke, men den er meget langsom ??
med "dig" er jeg nød til at sætte timeout til 2-3 minutter.
før jeg for svar.
Vis jeg bruger forwarders, går det hutigt nok ?
eller vis navnene ligger i min cache.
Der kommer ikke fejl i /var/log/messages
når jeg starter named
under linux RH7.3 x86
..LTJ
| |
Klaus Alexander Seis~ (27-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 27-08-02 04:38 |
|
Lasse Jensen skrev:
> Jeg sidder her og leger med opsætning af DNS (bind9)
Hvis vi skal have nogen som helst mulighed for at hjælpe dig, bliver
du som minimum nødt til at fortælle os hvad "leger med opsætning"
betyder.
Hvad ønsker du at BIND9 skal gøre for dig? Hvordan ser konfigurations-
filen ud?
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (27-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 27-08-02 12:21 |
|
Klaus Alexander Seistrup wrote:
>
> Hvis vi skal have nogen som helst mulighed for at hjælpe dig, bliver
> du som minimum nødt til at fortælle os hvad "leger med opsætning"
> betyder.
>
> Hvad ønsker du at BIND9 skal gøre for dig? Hvordan ser konfigurations-
> filen ud?
>
>
> // Klaus
>
ok. sorry
jeg vil ha` et domæne datahost.dk, og det skal bind køre.
altså en rigtig DNS, den skal selvfølgelig også cache
men cache`ing virker fint, det er kun nye opslag
der er håbløst langsomme
Jeg har vedlagt mine config filer.
håber du/i stadig gider at hjælpe. :(
..LTJ
| |
Klaus Alexander Seis~ (27-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 27-08-02 14:02 |
|
Lasse Jensen skrev:
> jeg vil ha` et domæne datahost.dk, og det skal bind køre.
Mener du "datahost.dk." eller "datahost."?
> men cache`ing virker fint, det er kun nye opslag
> der er håbløst langsomme
> forwarders {
> 194.239.134.83;
> 0.0.0.0;
> };
Hvad laver den der 0.0.0.0? Jeg kunne forestille mig at den bliver
opfattet som "alle interfaces på din maskine", og at BIND9 derfor
kører i loop indimellem. Prøv at fjerne linjen med 0.0.0.0 og gen-
start derefter BIND9.
Har tele.dk kun én navneserver du kan bruge? Sæt evt. én til ind
på 0.0.0.0's plads.
> zone "datahost" in {
> type master;
> file "datahost";
> };
Her skriver du "datahost". I starten af dit indlæg skriver du
"datahost.dk".
> ; reverse mappings:
> ;
> 1 IN PTR loke.datahost.
> 2 IN PTR thor.datahost.
> 3 IN PTR odin.datadost.
3'eren ser ud til at indeholde en stavefejl.
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (27-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 27-08-02 19:59 |
|
>>jeg vil ha` et domæne datahost.dk, og det skal bind køre.
> Mener du "datahost.dk." eller "datahost."?
Det er meningen det skal ende med et registret domæne
altså datahost.dk
>> forwarders {
>> 194.239.134.83;
>> 0.0.0.0;
>> };
>
>
> Hvad laver den der 0.0.0.0? Jeg kunne forestille mig at den bliver
> opfattet som "alle interfaces på din maskine", og at BIND9 derfor
> kører i loop indimellem. Prøv at fjerne linjen med 0.0.0.0 og gen-
> start derefter BIND9.
>
> Har tele.dk kun én navneserver du kan bruge? Sæt evt. én til ind
> på 0.0.0.0's plads.
lidt en fejl, jeg har ikke fået redigeret denne fil inden den blev
postet, for som jeg skrev "kun langsom uden forwarders"
så når, jeg har haft testet, har jeg ikke haft brugt forwarders
altså
forwarders {
0.0.0.0;
0.0.0.0;
};
og jeg har været for sløv til et fjerne denne option
for jeg troede den bare ville blive ignoreret
men du har totalt ret, hvis jeg fjerner disse 0.0.0.0 forwarders
køre navne opslagene i normalt tempo.
>>zone "datahost" in {
>> type master;
>> file "datahost";
>>};
>
>
> Her skriver du "datahost". I starten af dit indlæg skriver du
> "datahost.dk".
Jeg mener datahost.dk, så skal zonen bare rettes til datahost.dk
og evt. zonefilens navn
DET er bare guld klumper, du fyre af her :)
>>; reverse mappings:
>>;
>>1 IN PTR loke.datahost.
>>2 IN PTR thor.datahost.
>>3 IN PTR odin.datadost.
>
>
> 3'eren ser ud til at indeholde en stavefejl.
Jep :)
Stor tak til dig.
..LTJ
| |
Klaus Alexander Seis~ (27-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 27-08-02 20:10 |
|
Lasse Jensen skrev:
>> Mener du "datahost.dk." eller "datahost."?
>
> Det er meningen det skal ende med et registret domæne
> altså datahost.dk
Okay, helt i orden. Du er klar over at med mindre der laves særlige
arrangementer, så skal din box registreres hos DK-Hostmaster (for-
medelst 625,- kr. inkl. moms) førend den kan fungere som officiel NS
for et .dk-domæne, ikk'?
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (27-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 27-08-02 20:32 |
|
Klaus Alexander Seistrup wrote:
> Lasse Jensen skrev:
>
>
>>>Mener du "datahost.dk." eller "datahost."?
>>
>>Det er meningen det skal ende med et registret domæne
>>altså datahost.dk
>
>
> Okay, helt i orden. Du er klar over at med mindre der laves særlige
> arrangementer, så skal din box registreres hos DK-Hostmaster (for-
> medelst 625,- kr. inkl. moms) førend den kan fungere som officiel NS
> for et .dk-domæne, ikk'?
>
>
> // Klaus
>
jo, men for at kunne registrer et .dk domæne
kræves det at min dns bliver godkendt af dk-hostmaster
og det kræver jo igen, jeg lære lidt om tingene ;))
bl.a. "listen-on og allow-transfer"
..LTJ
| |
Klaus Alexander Seis~ (28-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 28-08-02 04:44 |
|
Lasse Jensen skrev:
> jo, men for at kunne registrer et .dk domæne kræves det at min
> dns bliver godkendt af dk-hostmaster
Kun hvis du selv ønsker at køre DNS for domænet, hvilket ikke er
påkrævet. Man kan leje sig ind på DNS-hoteller, på samme måde
som man fx lejer webplads, eller man kan benytte nogle af de
gratis services der findes - fx GratisDNS eller ZoneEdit.
> og det kræver jo igen, jeg lære lidt om tingene ;))
Ja, hvis du selv vil køre DNS er det en fordel.
// Klaus
--
><> vandag, môre, altyd saam
| |
Klaus Alexander Seis~ (27-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 27-08-02 14:05 |
|
Lasse Jensen skrev:
> allow-transfer { 193.163.102.6; };
Med mindre der vitterligt er tale om et dansk domænenavn, tror jeg
ikke at du skal forvente at DK-Hostmasters hosttæller kigger indenfor
(og selv om det så _er_ et dansk domæne, så _kan_ hosttælleren ikke
besøge din navneserver førend den også lytter på en offentlig IP-
adresse).
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (27-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 27-08-02 20:10 |
|
>> allow-transfer { 193.163.102.6; };
>
>
> Med mindre der vitterligt er tale om et dansk domænenavn, tror jeg
> ikke at du skal forvente at DK-Hostmasters hosttæller kigger indenfor
> (og selv om det så _er_ et dansk domæne, så _kan_ hosttælleren ikke
> besøge din navneserver førend den også lytter på en offentlig IP-
> adresse).
også her siger jeg pænt tak, jeg har ændret i named.conf, til:
options {
/* hvor er filerne til named*/
directory "/var/named";
/*zone transfer fra IP (hostDK)*/
allow-transfer { 193.163.102.6; };
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
/* udDoc. denne option hvis ikke domainet er kendt på nettet*/
// notify no;
/*lyt til local, loop, hostDK*/
listen-on { 192.168.1.7; 127.0.0.1; 193.163.102.6; };
};
....
...
..
| |
Klaus Alexander Seis~ (27-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 27-08-02 20:23 |
|
Lasse Jensen skrev:
>> Med mindre der vitterligt er tale om et dansk domænenavn, tror
>> jeg ikke at du skal forvente at DK-Hostmasters hosttæller kigger
>> indenfor (og selv om det så _er_ et dansk domæne, så _kan_ host-
>> tælleren ikke besøge din navneserver førend den også lytter på
>> en offentlig IP-adresse).
>
> [snip]
>
> /*lyt til local, loop, hostDK*/
> listen-on { 192.168.1.7; 127.0.0.1; 193.163.102.6; };
Nej, jeg tror at du har misforstået noget. listen_on {} bruges til
at angive hvilke af maskinens egne IP-adresser BIND skal lytte _på_,
og altså ikke hvem den skal lytte _efter_.
BIND9 doc: < http://unbound.sourceforge.net/manual/Bv9ARM.html>.
Din maskines 127/8 og 192.168/16 er "private" IP-adresser (RFC1918),
som ikke routes ud på det store Internet. Hvis du endlig vil tilføje
en IP-adresse til listen_on-direktivet, skal det være IP-adressen på
dit netkort (adressen på ydersiden af netkortet). Men jeg vil gætte
på at du helt kan undvære et listen_on-direktiv. BIND vil i så fald
lytte på alle netkortets adresser, hvilket formodentlig er det du vil
hvis du skal have en offentlig NS.
(Har du tænkt på sekundær NS?)
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (29-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 29-08-02 14:55 |
|
Klaus Alexander Seistrup wrote:
> Din maskines 127/8 og 192.168/16 er "private" IP-adresser (RFC1918),
> som ikke routes ud på det store Internet. Hvis du endlig vil tilføje
> en IP-adresse til listen_on-direktivet, skal det være IP-adressen på
> dit netkort (adressen på ydersiden af netkortet). Men jeg vil gætte
> på at du helt kan undvære et listen_on-direktiv. BIND vil i så fald
> lytte på alle netkortets adresser, hvilket formodentlig er det du vil
> hvis du skal have en offentlig NS.
Ok. så kan dk-hostmaster altså godt komme i kontakt med min named, uden
> (Har du tænkt på sekundær NS?)
Jep, der har jeg tænkt mig at bruge TDC`s Primære ns
Jeg siger tak for hjælpen og for dit link
det eneste jeg er stødt på er en masse howto`s
jeg må hellere printe hele manualen, og læse den et par gange
så jeg for kortlagt det her DNS sjov, for mit næste projekt
er at få en mail server op også, pop/smtp, og jeg kan se at
jeg er nød til at fatte bind 97-98% først :)
men nu skulle jeg da være klar til at få den registreret.
..LTJ
| |
Klaus Alexander Seis~ (29-08-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 29-08-02 15:23 |
|
Lasse Jensen skrev:
> Ok. så kan dk-hostmaster altså godt komme i kontakt med min named,
> uden
Ja, hvis du enten fjerner alle listen_on{}, eller indsætter din
offentlige IP-adresse.
>> (Har du tænkt på sekundær NS?)
>
> Jep, der har jeg tænkt mig at bruge TDC`s Primære ns
Har du en aftale med TDC om det? Det kan _kun_ komme til at fungere
hvis du udtrykkeligt har en aftale med de sekundære NS'er.
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (02-09-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 02-09-02 22:49 |
|
Klaus Alexander Seistrup wrote:
> Har du en aftale med TDC om det? Det kan _kun_ komme til at fungere
> hvis du udtrykkeligt har en aftale med de sekundære NS'er.
Ja. jeg ved TDC "zillion" kan fixe den for mig, for 75 Kr. om måneden.
Med mindre jeg kan finde en og bytte med ;)
Nu skal jeg bare ha` den registret, også måske finde på noget sikkerhed
Der står noget om chroot ”jail” i linux bøgerne.
Og jeg har læst et andet sted at man som minimum skal køre named som en
upriviligerede bruger.
Hvad bruger du af sikkerhed omkring din DNS ?
..LTJ
| |
Klaus Alexander Seis~ (03-09-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 03-09-02 04:58 |
|
Lasse Jensen skrev:
>> Har du en aftale med TDC om [sekundær DNS]?
>
> Ja. jeg ved TDC "zillion" kan fixe den for mig, for 75 Kr.
> om måneden.
Av, det var dyrt. Hos bl.a. < http://www.gratisdns.dk/> kan man få
gratis primær eller sekundær DNS.
> Med mindre jeg kan finde en og bytte med ;)
Ja, det er også en mulighed.
> Der står noget om chroot 'jail' i linux bøgerne.
> Og jeg har læst et andet sted at man som minimum skal køre named
> som en upriviligerede bruger.
> Hvad bruger du af sikkerhed omkring din DNS ?
Jeg kører BIND9 som upriviligeret bruger i et chroot-jail.
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (09-09-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 09-09-02 12:32 |
|
Klaus Alexander Seistrup wrote:
> Av, det var dyrt. Hos bl.a. < http://www.gratisdns.dk/> kan man få
> gratis primær eller sekundær DNS.
>
> Jeg kører BIND9 som upriviligeret bruger i et chroot-jail.
>
Gratis ! det er jo noget billiger :))
det må jeg lige se lidt nærmere på
Nu sidder jeg og boxer med $JAIL
men hvordan sætter jeg en env-variable fast ?
jeg ved, jeg kan sætte en variable med "export $VARIABLE=indhold"
men efter reboot, er den væk igen ?
..LTJ
| |
Klaus Alexander Seis~ (09-09-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 09-09-02 15:32 |
|
Lasse Jensen skrev:
>> Jeg kører BIND9 som upriviligeret bruger i et chroot-jail.
>
> Nu sidder jeg og boxer med $JAIL
> men hvordan sætter jeg en env-variable fast ?
> jeg ved, jeg kan sætte en variable med "export $VARIABLE=indhold"
> men efter reboot, er den væk igen ?
Brug et script af en art. Det er svært for mig at sige mere nøjagtigt
når jeg ikke ved præcis hvad du prøver at sætte hvor.
Jeg synes ikke at jeg skulle bokse særlig meget da jeg satte min named
i fængsel - der findes en HOWTO, og den fulgte jeg nogenlunde trin for
trin.
Kan du ikke fortælle nærmere hvad du forsøger at lave, og hvorledes du
går frem?
// Klaus
--
><> vandag, môre, altyd saam
| |
Lasse Jensen (20-09-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 20-09-02 17:25 |
|
Klaus Alexander Seistrup wrote:
> Kan du ikke fortælle nærmere hvad du forsøger at lave, og hvorledes du
> går frem?
Jo, det er et større referat :)
Jeg har flyttet hele jail opsætningen hen på min PPC
med en helt frisk mandrake 8.2
for at se om den giver de samme fejl, og det gør den
Her er min fremgangs metode:
1):
tilføjet en ny bruger ,til i gruppen named
named:x:25:25:Bind User:/opt/chroot/named:
2):
kopieret:
named.conf -> /opt/chroot/named/etc/ ok
zone filer -> /opt/chroot/named/var/named/ ok
/etc/localtime -> /opt/chroot/named/etc/ ok
/dev/log -> /opt/chroot/named/dev/ findes ikke*
/dev/null -> /opt/chroot/named/dev/ ok
/dev/random -> /opt/chroot/named/dev/ fejl*
/var/run -> /opt/chroot/named/var/ ok
fejl* cp bliver aldrig færdig (er nød til at afbryde)
findes ikke* hverken på RH7.3 el. Mandrake8.2
3):
touch /opt/chroot/named/dev ok
touch /opt/chroot/named/dev/log ok
touch /opt/chroot/named/dev/null ok
touch /opt/chroot/named/dev/random ok
er det her nødvendigt ?
4):
mount --bind /dev/log $JAIL/dev/log findes ikke
mount --bind /dev/null $JAIL/dev/null ok
mount --bind /dev/random $JAIL/dev/random ok
5):
chown -R named.named /opt/chroot/named
chmod 700 /opt/chroot/named/
chattr +i /opt/chroot/named/dev
chattr +i /opt/chroot/named/etc
chattr +i /opt/chroot/named/var
chattr +i /opt/chroot/named/etc/localtime
6):
starter med
named -u named -t /opt/chroot/named
Jeg er i tvivl om:
hvor vigtig er gid og uid, her er de sat til user 25 i gruppe 25
i mit eksempel skulle det være uid=116 gid=116
er der sikkerheds forskel ??
så er der nogen problemer med /dev/random og /dev/log
den ene findes ikke, og den anden kan jeg ikke kopiere
så er jeg også i tvivl om, hvilke af filerne i jail
som named SKAL være ejer af, jeg har sat named som ejer af
alle filer i mit jail ??
men det ser ud til at virke, der kommer ialtfald
svar på efter spøgelser.
med "dig" kan den se sig selv (datahost.dk) og fremmede (eks. yahoo.dk)
men syslog giver fejl "couldn't add command channel" og
"/etc/rndc.key: file not found" ??
Sep 20 16:00:55 thor named[2883]: using 1 CPU
Sep 20 16:00:55 thor named[2886]: loading configuration from
'/etc/named.conf'
Sep 20 16:00:55 thor named[2886]: no IPv6 interfaces found
Sep 20 16:00:55 thor named[2886]: listening on IPv4 interface lo,
127.0.0.1#53
Sep 20 16:00:55 thor named[2886]: binding TCP socket: address in use
Sep 20 16:00:55 thor named[2886]: listening on IPv4 interface eth0,
192.168.1.8#53
Sep 20 16:00:55 thor named[2886]: binding TCP socket: address in use
Sep 20 16:00:55 thor named[2886]: none:0: open: /etc/rndc.key: file not
found
Sep 20 16:00:55 thor named[2886]: couldn't add command channel
127.0.0.1#953: file not found
Sep 20 16:00:55 thor named[2886]: zone 0.0.127.in-addr.arpa/IN: loaded
serial 2002230800
Sep 20 16:00:55 thor named[2886]: zone 0.168.192.in-addr.arpa/IN: loaded
serial 2002230800
Sep 20 16:00:55 thor named[2886]: zone datahost.dk/IN: loaded serial
2002230800
Sep 20 16:00:55 thor named[2886]: running
..LTJ
| |
Klaus Alexander Seis~ (20-09-2002)
| Kommentar Fra : Klaus Alexander Seis~ |
Dato : 20-09-02 17:58 |
|
Lasse Jensen skrev:
> /dev/log -> /opt/chroot/named/dev/ findes ikke*
> /dev/null -> /opt/chroot/named/dev/ ok
> /dev/random -> /opt/chroot/named/dev/ fejl*
Disse kan du ikke lave med cp. Tilsyneladende ser det ud til at det
er lykkedes at kopiere /dev/null, men jeg er sikker på at der blot er
kommet en 0 bytes stor fil ud af det - ikke et null-device. For at
oprette dev-filerne benytter man sædvanligvis mknod(1). Se gerne
Chroot-BIND-HOWTO'en, afsnit 2.4:
< http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO-2.html#ss2.4>
// Klaus
--
><> vandag, môre, altyd saam
| |
Jesper S. Knudsen (27-08-2002)
| Kommentar Fra : Jesper S. Knudsen |
Dato : 27-08-02 15:15 |
|
Bør dine revers mapping ikke følge IP adresserne du har givet det
forskellige maskine?
----- snip -----
>localhost IN A 127.0.0.1
>loke IN A 192.168.1.7
>;
>; øvrige computere på LAN
>;
>thor IN A 192.168.1.8
>odin IN A 192.168.1.6
----- snip -----
>;
>; reverse mappings:
>;
>1 IN PTR loke.datahost.
>2 IN PTR thor.datahost.
>3 IN PTR odin.datadost.
----- snip -----
Din revers mapping burde være:
; reverse mappings:
;
7 IN PTR loke.datahost.
8 IN PTR thor.datahost.
6 IN PTR odin.datadost.
/JSK
| |
Lasse Jensen (27-08-2002)
| Kommentar Fra : Lasse Jensen |
Dato : 27-08-02 20:22 |
|
Jesper S. Knudsen wrote:
> Din revers mapping burde være:
>
> ; reverse mappings:
> ;
> 7 IN PTR loke.datahost.
> 8 IN PTR thor.datahost.
> 6 IN PTR odin.datahost.
>
Takker !
| |
|
|