forum.opennet.ru

Составление сообщения

Исходное сообщение

"Зависает bind"
Отправлено михалыч, 09-Мрт-17 14:53

знаю организацию, в которой до сих пор работает 7.0-RELEASE
но там памяти чуток поболе будет, named -v BIND 9.4.2
работает и не жужжит ))
ключевое отличие, что роут у них стоит в дмз, наружку бинд не светится
зачастую, в таких бюджетных организациях финансирование строится по остаточному принципу
причём назвать их малобюджетными - язык не поворачивается,
на предложение обновить систему и железо получаешь ответ - а зачем? всё же и так работает!
ну да, работает, но до поры, до времени
ниже приведу их конфиг кэширующего намида, он самый простой
итак, скачайте "свежий" файл named.root
cd /etc/namedb/
fetch ftp://ftp.internic.net/domain/named.root
файл named.conf создайте свой, не редактируйте дефолтный,
он может выглядить, например, так
// задаём acl (access list)
acl "my_list" { 192.168.0.1/24; 127.0.0.1; };
options {
    // рабочая директория
    directory    "/etc/namedb";
    // слушать на указанных IP-адресах
    listen-on    { 192.168.0.1; 127.0.0.1; };
    // путь к pid файлу
    pid-file    "/var/run/named/pid";
    // путь к дамп файлу
    dump-file    "/var/dump/named_dump.db";
    // путь к файлу статистики
    statistics-file    "/var/stats/named.stats";

////////////////////////////////////////////////////////////////
// если есть желание, можно поиграться следующим
    // максимальное время кэширования отрицательных ответов
    max-ncache-ttl    3600;
    // максимальное время кэширования положительных ответов
    max-cache-ttl    604800;
    // максимальный объем памяти для кэша сервера
    max-cache-size    unlimited;
////////////////////////////////////////////////////////////////

    // врубаем рекурсию
    recursion    yes;
    // могут отправлять запросы кто перечислен в acl "my_list"
    allow-query    { "my_list"; };
    // могут отправлять рекурсивные запросы кто перечислен в acl "my_list"
    allow-recursion    { "my_list"; };
    // могут делать запросы из кеша
    allow-query-cache { "my_list"; };
    // версия DNS
    version    "Microsoft DNS";
    // вначале обращаемся к перенаправляющим серверам
    forwarders    { 8.8.8.8; 8.8.4.4; };
    // отключаем пустые зоны
    empty-zones-enable no;
};
// Указатели корневых серверов
zone "." { type hint; file "named.root"; };
// настраиваем обратную зону для адреса 127.0.0.1
zone "0.0.127.in-addr.arpa" {
    type master;
    file "master/localhost.db";
    notify no;
};
переходим в
cd /etc/namedb/master/
файл localhost.db

$TTL    3600
@    IN    SOA    rout.local. root.rout.local. (
                2017030901    ; Serial
                3600        ; Refresh
                900        ; Retry
                3600000        ; Expire
                3600        ; Minimum
                )
    IN    NS    rout.local.
1    IN    PTR    localhost.rout.local.

проверяем
named-checkconf /etc/namedb/named.conf
в принципе, больше ничего и не нужно, как кэширующий такой named вполне может работать
его конфиг всегда можно расширить до полноценного, но вам оно, скорее всего и не нужно будет
добавить для проверки правила в файервол
ipfw add 1 allow all from any to any 53
ipfw add 2 allow all from any 53 to any
проверяем
смотрим tcpdump -vvv -i rl1 port 53
смотрим файервол,
смотрим логи,
врубаем дополнительное логирование в named.conf
добавить после указания acl
logging {
    channel my-default {
        file "/var/log/named" versions 5 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel general {
        file "/var/log/general" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel client {
        file "/var/log/client" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
        // уровень отладки можно изменить - увеличить цифирьку
        severity debug 3;
    };
    channel security {
        file "/var/log/security" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel resolver {
        file "/var/log/resolver" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel network {
        file "/var/log/network" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel queries {
        file "/var/log/queries" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel dispatch {
        file "/var/log/dispatch" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    channel lame-servers {
        file "/var/log/lame-servers" versions 2 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    category default { my-default; };
    category general { my-default; general; };
    category client { my-default; client;};
    category security { my-default; security; };
    category resolver { my-default; resolver; };
    category network { my-default; network; };
    category queries { queries; };
    category dispatch { my-default; dispatch; };
    category lame-servers { lame-servers; };
};

опять смотрим логи в client и др. и пр.
если ничего не помогло:
аккуратно!, чтобы ничего не расплескать, берём это всё обеими руками и..
подойдя к раковине или унитазу выливаем всё это к xepaм собачьим
начинаем готовить систему со свежим софтом и желательно железом

Исходное сообщение
"Зависает bind" Отправлено михалыч, 09-Мрт-17 14:53
знаю организацию, в которой до сих пор работает 7.0-RELEASE но там памяти чуток поболе будет, named -v BIND 9.4.2 работает и не жужжит )) ключевое отличие, что роут у них стоит в дмз, наружку бинд не светится зачастую, в таких бюджетных организациях финансирование строится по остаточному принципу причём назвать их малобюджетными - язык не поворачивается, на предложение обновить систему и железо получаешь ответ - а зачем? всё же и так работает! ну да, работает, но до поры, до времени ниже приведу их конфиг кэширующего намида, он самый простой итак, скачайте "свежий" файл named.root cd /etc/namedb/ fetch ftp://ftp.internic.net/domain/named.root файл named.conf создайте свой, не редактируйте дефолтный, он может выглядить, например, так // задаём acl (access list) acl "my_list" { 192.168.0.1/24; 127.0.0.1; }; options { // рабочая директория directory "/etc/namedb"; // слушать на указанных IP-адресах listen-on { 192.168.0.1; 127.0.0.1; }; // путь к pid файлу pid-file "/var/run/named/pid"; // путь к дамп файлу dump-file "/var/dump/named_dump.db"; // путь к файлу статистики statistics-file "/var/stats/named.stats"; //////////////////////////////////////////////////////////////// // если есть желание, можно поиграться следующим // максимальное время кэширования отрицательных ответов max-ncache-ttl 3600; // максимальное время кэширования положительных ответов max-cache-ttl 604800; // максимальный объем памяти для кэша сервера max-cache-size unlimited; //////////////////////////////////////////////////////////////// // врубаем рекурсию recursion yes; // могут отправлять запросы кто перечислен в acl "my_list" allow-query { "my_list"; }; // могут отправлять рекурсивные запросы кто перечислен в acl "my_list" allow-recursion { "my_list"; }; // могут делать запросы из кеша allow-query-cache { "my_list"; }; // версия DNS version "Microsoft DNS"; // вначале обращаемся к перенаправляющим серверам forwarders { 8.8.8.8; 8.8.4.4; }; // отключаем пустые зоны empty-zones-enable no; }; // Указатели корневых серверов zone "." { type hint; file "named.root"; }; // настраиваем обратную зону для адреса 127.0.0.1 zone "0.0.127.in-addr.arpa" { type master; file "master/localhost.db"; notify no; }; переходим в cd /etc/namedb/master/ файл localhost.db $TTL 3600 @ IN SOA rout.local. root.rout.local. ( 2017030901 ; Serial 3600 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ; Minimum ) IN NS rout.local. 1 IN PTR localhost.rout.local. проверяем named-checkconf /etc/namedb/named.conf в принципе, больше ничего и не нужно, как кэширующий такой named вполне может работать его конфиг всегда можно расширить до полноценного, но вам оно, скорее всего и не нужно будет добавить для проверки правила в файервол ipfw add 1 allow all from any to any 53 ipfw add 2 allow all from any 53 to any проверяем смотрим tcpdump -vvv -i rl1 port 53 смотрим файервол, смотрим логи, врубаем дополнительное логирование в named.conf добавить после указания acl logging { channel my-default { file "/var/log/named" versions 5 size 10m; print-time yes; print-category yes; print-severity yes; }; channel general { file "/var/log/general" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel client { file "/var/log/client" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; // уровень отладки можно изменить - увеличить цифирьку severity debug 3; }; channel security { file "/var/log/security" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel resolver { file "/var/log/resolver" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel network { file "/var/log/network" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel queries { file "/var/log/queries" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel dispatch { file "/var/log/dispatch" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; channel lame-servers { file "/var/log/lame-servers" versions 2 size 10m; print-time yes; print-category yes; print-severity yes; }; category default { my-default; }; category general { my-default; general; }; category client { my-default; client;}; category security { my-default; security; }; category resolver { my-default; resolver; }; category network { my-default; network; }; category queries { queries; }; category dispatch { my-default; dispatch; }; category lame-servers { lame-servers; }; }; опять смотрим логи в client и др. и пр. если ничего не помогло: аккуратно!, чтобы ничего не расплескать, берём это всё обеими руками и.. подойдя к раковине или унитазу выливаем всё это к xepaм собачьим начинаем готовить систему со свежим софтом и желательно железом

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> знаю организацию, в которой до сих пор работает 7.0-RELEASE > но там памяти чуток поболе будет, named -v BIND 9.4.2 > работает и не жужжит )) > ключевое отличие, что роут у них стоит в дмз, наружку бинд не > светится > зачастую, в таких бюджетных организациях финансирование строится по остаточному принципу > причём назвать их малобюджетными - язык не поворачивается, > на предложение обновить систему и железо получаешь ответ - а зачем? всё > же и так работает! > ну да, работает, но до поры, до времени > ниже приведу их конфиг кэширующего намида, он самый простой > итак, скачайте "свежий" файл named.root > [code]cd /etc/namedb/ > fetch ftp://ftp.internic.net/domain/named.root[/code] > файл named.conf создайте свой, не редактируйте дефолтный, > он может выглядить, например, так > [code]// задаём acl (access list) > acl "my_list" { 192.168.0.1/24; 127.0.0.1; }; > options { > // рабочая директория > directory "/etc/namedb"; > // слушать на указанных IP-адресах > listen-on { 192.168.0.1; 127.0.0.1; }; > // путь к pid файлу > pid-file "/var/run/named/pid"; > // путь к дамп файлу > dump-file "/var/dump/named_dump.db"; > // путь к файлу статистики > statistics-file "/var/stats/named.stats"; > //////////////////////////////////////////////////////////////// > // если есть желание, можно поиграться следующим > // максимальное время кэширования отрицательных ответов > max-ncache-ttl 3600; > // максимальное время кэширования положительных ответов > max-cache-ttl 604800; > // максимальный объем памяти для кэша сервера > max-cache-size unlimited; > //////////////////////////////////////////////////////////////// > // врубаем рекурсию > recursion yes; > // могут отправлять запросы кто перечислен в acl "my_list" > allow-query { "my_list"; }; > // могут отправлять рекурсивные запросы кто перечислен в acl "my_list" > allow-recursion { "my_list"; }; > // могут делать запросы из кеша > allow-query-cache { "my_list"; }; > // версия DNS > version "Microsoft DNS"; > // вначале обращаемся к перенаправляющим серверам > forwarders { 8.8.8.8; 8.8.4.4; }; > // отключаем пустые зоны > empty-zones-enable no; > }; > // Указатели корневых серверов > zone "." { type hint; file "named.root"; }; > // настраиваем обратную зону для адреса 127.0.0.1 > zone "0.0.127.in-addr.arpa" { > type master; > file "master/localhost.db"; > notify no; > };[/code] > переходим в > [code]cd /etc/namedb/master/[/code] > файл localhost.db > [code] > $TTL 3600 > @ IN SOA rout.local. root.rout.local. ( > 2017030901 ; Serial > 3600 ; Refresh > 900 ; Retry > 3600000 ; Expire > 3600 ; Minimum > ) > IN NS rout.local. > 1 IN PTR localhost.rout.local. > [/code] > проверяем > [code]named-checkconf /etc/namedb/named.conf[/code] > в принципе, больше ничего и не нужно, как кэширующий такой named вполне > может работать > его конфиг всегда можно расширить до полноценного, но вам оно, скорее всего > и не нужно будет > добавить для проверки правила в файервол > [code]ipfw add 1 allow all from any to any 53 > ipfw add 2 allow all from any 53 to any[/code] > проверяем > смотрим tcpdump -vvv -i rl1 port 53 > смотрим файервол, > смотрим логи, > врубаем дополнительное логирование в named.conf > добавить после указания acl > [code]logging { > channel my-default { > file "/var/log/named" versions 5 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel general { > file "/var/log/general" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel client { > file "/var/log/client" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > // уровень отладки можно изменить - увеличить цифирьку > severity debug 3; > }; > channel security { > file "/var/log/security" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel resolver { > file "/var/log/resolver" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel network { > file "/var/log/network" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel queries { > file "/var/log/queries" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel dispatch { > file "/var/log/dispatch" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > channel lame-servers { > file "/var/log/lame-servers" versions 2 size 10m; > print-time yes; > print-category yes; > print-severity yes; > }; > category default { my-default; }; > category general { my-default; general; }; > category client { my-default; client;}; > category security { my-default; security; }; > category resolver { my-default; resolver; }; > category network { my-default; network; }; > category queries { queries; }; > category dispatch { my-default; dispatch; }; > category lame-servers { lame-servers; }; > };[/code] > опять смотрим логи в client и др. и пр. > если ничего не помогло: > аккуратно!, чтобы ничего не расплескать, берём это всё обеими руками и.. > подойдя к раковине или унитазу выливаем всё это к xepaм собачьим > начинаем готовить систему со свежим софтом и желательно железом
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру