LINUX.ORG.RU
ФорумAdmin

DHCP, DNS и тараканы в голове IT


0

2

В компании, в которой я работаю, DHCP сервер возвращает адреса трёх DNS серверов. Два первых являются серверами компании, а третий является DNS сервером провайдера и нашу локальную сеть не знает. На работе у меня стоит Mint 15, в котором по умолчанию используется dnsmasq и в /etc/resolv.conf прописан nameserver 127.0.1.1. Судя по всему dnsmasq распределяет нагрузку на все известные ему DNS серверы, что по-моему хорошо. Тоесть работает не так, как классический резолвер, который обращается к следующему DNS серверу в списке только если предыдущий не отвечает. Поскольку третий DNS сервер не тождественен первым двум и нашу локальную сеть не знает, периодически возникают проблемы с резолвингом внутренних хостов. Я пытался поговорить с IT и убедить их, что так делать не надо. Но начальник IT ничего менять не хочет и утверждает, что так должно быть и так лучше. Он говорит, что если оба DNS сервера компании упадут, у работающих под Windows останется возможность по крайней мере пользоваться интернетом. На аргумент о том, что второй DNS сервер в сети как раз и предназначен поддерживать работу сети, если первый недоступен, он утверждает, что есть вероятность, что недоступными могут оказаться оба и для этого случая был добавлен внешний.

Каково мнение зрительного зала?

P.S. в качестве временного решения я прописал prepend domain-name-servers и убрал request domain-name-servers в /etc/dhcp/dhclient.conf

★★★★★

Последнее исправление: bbk123 (всего исправлений: 1)

обратиться к системному администратору. в конце концов, настраивать твое рабочее место - это его работа.

belkabelka
()

так и должно быть.
если какой то сраный dnsmasq работает не по протоколу - в пошел он нафиг.

system-root ★★★★★
()

недоступными могут оказаться оба
Каково мнение зрительного зала?

double_facepalm.jpg
гоните идиота нахер

af5 ★★★★★
()
Ответ на: комментарий от tazhate

Кстати конкретно в этом случае может и идиотизм... - Винды умеют хавать более двух DNS серверов то? От DHCP domain search они вообще только один признают к примеру. :)

DALDON ★★★★★
()
Ответ на: комментарий от tazhate

Правда непонятно?
автор описал симптомы проблемы - днс-клиент спотыкается пытаясь ресолвить внутренние хосты об внешний днс. Для этого существует форвардинг на внутреннем DNS.

af5 ★★★★★
()
Ответ на: комментарий от DALDON

Винды умеют хавать более двух DNS серверов то?

Ага.

tazhate ★★★★★
()
Ответ на: комментарий от DALDON

Так вести себя могут разные днс клиенты, ни кто не ждёт подобного от админа и не обязан это предусматривать

af5 ★★★★★
()
Ответ на: комментарий от tazhate

Это НЕ идиотизм, если НЕТ локальной DNS-зоны. Если она есть - провайдер может беспалева забанить такую контору, я в качестве админа провайдера так делал, поверь - когда на тебя валится 100500 запросов от >100 компов из конторы, где криворукий админ раздал и зону и твои DNS-ы - веселого мало.

Pinkbyte ★★★★★
()

Поскольку третий DNS сервер не тождественен первым двум и нашу локальную сеть не знает..

..то вы пересылаете ему все имена внутренних ресурсов.

Шутнику у провайдера остаётся только добавить view и расшарить pron вместо ваших бух.отчётов :)

MKuznetsov ★★★★★
()
Ответ на: комментарий от Pinkbyte

Да, вопросы перфоманса и безопасности также появляются, полностью согласен, хотя топикстартер о них и не задумывается. У нас к примеру юзерам не только внешний днс недоступен, но даже через форвардер лишь единичные сайты ресолвятся, ибо нефиг. Весь веб-трафик ресолвит прокся.

af5 ★★★★★
()

Тоесть работает не так, как классический резолвер, который обращается к следующему DNS серверу в списке только если предыдущий не отвечает.

-o, --strict-order
    By default, dnsmasq will send queries to any of the upstream servers it knows about and tries to favour servers that are known to be up. Setting this flag forces dnsmasq to try each query with each server strictly in the order they appear in /etc/resolv.conf 

Не?

dmiceman ★★★★★
()
Ответ на: комментарий от dmiceman

Может быть, надо попробовать.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от belkabelka

обратиться к системному администратору. в конце концов, настраивать твое рабочее место - это его работа.

А я ничего и не настраивал. Настройки сети приходят по DHCP.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от system-root

если какой то сраный dnsmasq работает не по протоколу - в пошел он нафиг.

О каком протоколе речь? Выбор DNS сервера из списка не связано ни с каким протоколом. Обычно это поведение резолвера, а в данном случае поведение dnsmasq.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Получать настройки от корпоративного dhcp. Всё остальное не твои проблемы.

Ты читать не умеешь или у тебя проблемы с пониманием прочитанного? Я получаю настройки от корпоративного DHCP сервера и проблемы именно в том, что я в них получаю.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от af5

гоните идиота нахер

К сожалению от меня это не зависит.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от DALDON

А если автор сам дурак и ставит себе на локалхост всякое дерьмо, то при чём тут все остальные?

Снова ты? Ты мне напоминаешь нашего мудацкого начальника IT, который аж обиделся от того, что я открыл service request ticket (который могут видеть ещё кое кто), а не пришёл поговорить с ним наедине.

Что касается того, что а поставил «себе на локалхост», я поставил Linux Mint 15 и использую то, что там стоит по-умолчанию. А по умолчанию там (и не только в Mint) стоит dnsmasq, который и отвечает за резолвинг.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от af5

Да, вопросы перфоманса и безопасности также появляются, полностью согласен, хотя топикстартер о них и не задумывается.

В самом начале я написал, что поведение dnsmasq считаю правильным. Оно позволяет распределить нагрузку между DNS серверами. Проблема лишь в том, какие серверы были получены dnsmasq по DHCP.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

В самом начале я написал, что поведение dnsmasq считаю правильным. Оно позволяет распределить нагрузку между DNS серверами. Проблема лишь в том, какие серверы были получены dnsmasq по DHCP.

Я против этого ничего и не говорил. Я о том, что помимо проблем для юзеров, прокинутый внутрь локалки провайдерский ДНС говорит еще и о проблемах безопасности внутренней сети, точнее об отсутствии безопасности как класса.

af5 ★★★★★
()

RFC 2132, 3.8:

The domain name server option specifies a list of Domain Name System (STD 13, RFC 1035 [8]) name servers available to the client. Servers SHOULD be listed in order of preference.

Deleted
()
Ответ на: комментарий от dmiceman

Не?

Подобный днс клиент может быть в любом аплаенсе, которые нынче весьма распространены и не каждый юзер решится идти на ЛОР искать правду почему железка лагает. А для малвари информация о прямом маршрутизируемом нефильтруемом доступе к определенному dns серверу весьма интересна. Хотя не удивлюсь если в сабжевой сети у неё вообще куда угодно выход будет

af5 ★★★★★
()
Ответ на: комментарий от af5

О какой конкретно безопасности идёт речь? То, что имена внутренних хостов могут передаваться провайдеру? Да, это не хорошо, но мало кого интересует. То, что имена внешних хостов будут резолвиться DNS-ом провайдера? Это так же мало кого волнует и я почти уверен, что DNS серверы компании просто форвардят такие запросы провайдеру и кешируют ответы. И да я согласин, что это не очень хорошо, но в общем это приемлемо.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

А теперь открой RFC 2119 и посмотри значение слова SHOULD.

Спасибо, но я и так знаю значение этого слова. Всё это предложение намекает на то, что сервера в списке не обязаны быть равноценными. Да, клиент может их использовать, или не использовать, или использовать не в том порядке. Но если он не учитывает то, что возможно сервера находятся в «order of preference» и получает как-то связанные с этим проблемы, то он - ССЗБ.

Deleted
()
Ответ на: комментарий от Deleted

Всё это предложение намекает на то, что сервера в списке не обязаны быть равноценными

В моём понимании неравноценность это например различная производительность или различная доступность, или например резервный днс где-то далеко подключен через дорогой vpn over wan. Но ни как не то, что это совсем другой днс. Подобная конфигурация как правило признак ламерства, а не глубокого смысла.

af5 ★★★★★
()
Ответ на: комментарий от af5

Подобная конфигурация как правило признак ламерства, а не глубокого смысла.

Именно!

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от af5

http://xgu.ru/wiki/DNS-tunneling

Экзотический обход не менее экзотического ограничения.

Но если у вас юзеры и так маршрутизируютя с интернетом благодаря доброму одмину, то оно вам мало интересно будет.

Интернет никто не запрещает, более того он нужен.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

Интернет никто не запрещает, более того он нужен.

Интернет можно предоставлять более безопасно, чем беcконтрольная маршрутизация через NAT. Например squid + kerberos или ntlm аутентификация и фильтрация по версии юзерагента (+еще некоторые настройки). Тогда большинство ботов попав к вам в сеть резко осиротеет и не сможет подключиться к ботнету. А у вас в squid будут логи всех подозрительных юзеров в виде красивых отчётов. Но этож блин настраивать всё надо, проще так, тяп ляп.

af5 ★★★★★
()
Последнее исправление: af5 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Но если он не учитывает то, что возможно сервера находятся в «order of preference» и получает как-то связанные с этим проблемы, то он - ССЗБ.

order of preference по-русски - это всего лишь порядок предпочтения. Сервера могут иметь разную степень предпочтения, но они должны давать одинаковые ответы на одинаковые запросы. Они должны быть равнозначными. Вполне очевидно, что сервер провайдера этому требованию не соответствует.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от af5

Интернет можно предоставлять более безопасно, чем беcконтрольная маршрутизация через NAT. Например squid + kerberos или ntlm аутентификация и фильтрация по версии юзерагента (+еще некоторые настройки). Тогда большинство ботов попав к вам в сеть резко осиротеет и не сможет подключиться к ботнету. А у вас в squid будут логи всех подозрительных юзеров в виде красивых отчётов. Но этож блин настраивать всё надо, проще так, тяп ляп.

Это всё несерьёзно. Нужно предотвращать заражение троянами, а не пытаться ставить им палки в колёса.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

Экзотический обход не менее экзотического ограничения.

Ошибаетесь. Многие админы ограничив доступ в интернет только через squid со временем сталкиваются с бизнес-требованием смаршрутизировать какую-нибудь софтину пропихиваемую к примеру гос.органами, которая разумеется не знает чё такое эта ваша прокся, тогда он открывает в фаерволе доступ к сайту куда там этой софтине надо (пока всё секурно, следите за руками) и соответствено возникает потребность в услугах днс-клиента и тут он не долго думая открывает юзеру доступ к DNS, который как ему известо, ни какой опасности не таит...

af5 ★★★★★
()
Ответ на: комментарий от bbk123

Это всё несерьёзно. Нужно предотвращать заражение троянами, а не пытаться ставить им палки в колёса.

Не серьёзно думать, что это всегда возможно. Малварь нынче злая как никогда. Поражается всё: компы, принтеры, ксероксы, СКД... да я даже не могу сказать что нынче неуязвимо
ну и прокладка между стулом и монитором очень им способствует.

af5 ★★★★★
()
Последнее исправление: af5 (всего исправлений: 1)
Ответ на: комментарий от af5

Не серьёзно думать, что это всегда возможно.

Разумеется возможно. Но проще предотвратить заражение, чем пытаться остановить паразитный трафик. И если заражение всё таки произошло, важно его быстро выявить и принять меры в отношении конкрнтного хоста. Для этого сущенствуют intrusion detection systems. Но это ведь не только настроить нужно, но ещё и купить. А большинство контор - жмоты.

Ограничения по использованию интернета прежде всего создают проблемы нормальному его использованию. Например на прошлой работе IT запретило подключение к внешним хостам на все порты кроме некоторых определённых. Это лишь создавало проблемы и никак не мешало попаданию всякой живности на рабочие компы некоторых разгильдяев. А всё почему? Потому что антивирус был отключаем.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

Но проще предотвратить заражение

Рад, что вам известен секрет

чем пытаться остановить паразитный трафик.

Его тупо не будет если учесть сказанное мной выше

важно его быстро выявить

Успехов. Не все трояны настолько тупы, что их можно выявить. Flame тому пример.

Для этого сущенствуют intrusion detection systems. Но это ведь не только настроить нужно, но ещё и купить.

Snort не плох и в бесплатной редакции

Ограничения по использованию интернета прежде всего создают проблемы нормальному его использованию

Проблемы создают тупые косорукие админы

А всё почему? Потому что антивирус был отключаем.

Это не причина а лишь одно из следствий тупости и косорукости админов. К нормальной сети NAC не даст подключиться не то что с отключенным, а даже с необновленным антивирусом

af5 ★★★★★
()
Ответ на: комментарий от dmiceman

Прописал strict-order в /etc/NetworkManager/dnsmasq.d/dnsmasq.conf и пока полёт нормальный.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от bbk123

И да, антивирусы и IDS не панацея, увы. Если каждый раз проходя мимо болота пить из него воду - ни какие антибиотики не спасут. Многое зависит от сознательности юзера, и с ней как правило всегда проблемы.

af5 ★★★★★
()
Ответ на: комментарий от bbk123

Ах да... Я забыл про, что кто-то ставит себе десктопные версии линукса... Там жеж точняк, в NetworkManager всяких чудес напридумали... Ну в общем ты прав. :)

Ты мне напоминаешь нашего мудацкого начальника IT

Ну видишь, хоть какую-то пользу я тебе уже принёс! Кто тебе ещё его так напомнит кроме меня? Ты пиши мне всякой гадости побольше, я когда начну запоминать твой ник попрошу тебя занести мне за то как много я для тебя сделал.

DALDON ★★★★★
()
Ответ на: комментарий от af5

И да, антивирусы и IDS не панацея, увы.

Панацеи вообще не существует. Но можно добиться тех же результатов не мешая.

bbk123 ★★★★★
() автор топика
Ответ на: комментарий от DALDON

Ах да... Я забыл про, что кто-то ставит себе десктопные версии линукса...

Ты ещё тут удивись существованию самих десктопов как таковых.

Ну видишь, хоть какую-то пользу я тебе уже принёс!

Да, клоуны тоже приносят пользу.

Кто тебе ещё его так напомнит кроме меня?

Мудаков много, ты не переживай.

Ты пиши мне всякой гадости побольше, я когда начну запоминать твой ник попрошу тебя занести мне за то как много я для тебя сделал.

Мазохизм усугубленный алкоголем плохо кончится. Попробуй выпить воды, подышать свежим воздухом.

bbk123 ★★★★★
() автор топика
Последнее исправление: bbk123 (всего исправлений: 1)
Ответ на: комментарий от bbk123

Да, прокси - это плохо.Но ты сам хотел.

Нет, плохо то, что прозрачный. Значит без аутентификации. И внешние хосты все юзеры могут ресолвить через днс.

af5 ★★★★★
()
Ответ на: комментарий от Pinkbyte

когда на тебя валится 100500 запросов от >100 компов из конторы, где криворукий
админ раздал и зону и твои DNS-ы - веселого мало.

Абсолютно согласен. А когда такие «умные» начинают размножаться, в какой-то момент становится весело...

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.