LINUX.ORG.RU

dnsmasq или bind9

 , ,


0

1

Добрый вечер.

Работал с дестктоп Ubuntu дома, на работе сделал на Ubuntu server 12.04.5 телефонию на asterisk и перенёс сайт фирмы. (т.е. есть опыт начинающего, знаю некоторые конфигурационные файлы, читал разные статьи о структуре системы, пользуюсь терминалом и ssh)

Возникла необходимость сделать линукс-маршрутизатор с прокси. Выбор пал на Ubuntu server 14.04.3 , т.к. немного знаком с синтаксисом комманд и есть приятный опыт работы.

Нашёл несколько мануалов, прочёл, прочёл ещё раз, попробовал. Столкнулся с рядом вопросов:

1) Что более подходит для небольшой сети?

20 ПК, видео наблюдение, Windows Server 2012 R2 с доменом, NAS. Есть проброс портов для rdp, камер наблюдения, ftp. (сейчас стоит zyxel keenetic ultra)

dnsmasq или bind9 ? Нужен ли isc-dhcp-server? Проброс портов настраивается через файл типа iptables-slave и его включение прописывается в interfaces?

2) Прокси сервер SQUID3? Или сейчас есть какие-то альтернативы?

Нужно прозрачное пропускание для http и https. Логгирование посещённых ресурсов. Простой проброс на ПК внутри сети.

3) Есть ли приятная веб морда для прокси? С возможностью мониторинга подключений из вне? (собираюсь оставить открытыми не сколько портов для доступа к локальным ресурсам и сайту, а всё остальное закрыть)

Последняя инструкция, которой пользовался:

http://faqpc.ru/nastrojka-dns-servera-ubuntu/ http://faqpc.ru/ustanovka-i-nastrojka-dhcp-servera/ http://faqpc.ru/nastrojka-squid3-na-ubuntu-server-14-04-1/

У кого-нибудь есть что-то лучше? (с более подробным описанием)

Если у вас там винда на сервере, то она сама умеет ip-адреса раздавать, зачем вам второй dhcp-сервер? И, винда, с её AD всё одно должна быть DNS-сервером, зачем именно вам нужен bind?

через файл типа iptables-slave и его включение прописывается в interfaces?

Можно и так, только его обычно называют iptables-save. Или поставить пакет iptables-persistent...

Простой проброс на ПК внутри сети.

Вы хотите сделать proxy фронт-эндом к web-серверам внутри вашей локальной сети?

mky ★★★★★
()
Ответ на: комментарий от mky

не знаю что такое фронт-энд. Идея такая: на первое время прокси, он же шлюз, заменяет zyxel (он будет только как точка доступа), и работает в прозрачном режиме. Провайдер даёт нет по dhcp на один интерфейс, второй идёт на коммутатор. AD сервер только для части ПК, есть выделенные машины, устройчтва типа видеонаблюдения, телефоны. Везде пишут что для работы сквида нужен DNS + кеширующий DNS не помешает.

Основной вопрос dnsmasq или bind9 ? Нужен ли isc-dhcp-server?

RewanFox
() автор топика
Ответ на: комментарий от RewanFox

Нужен ли isc-dhcp-server?

Это вам нужно решать. AD сервер может раздавать по dhcp ip-адреса всем устройсвам, dhcp там не завязан на вход в домен. Если бы вы избавлялись от win-сервера, было бы одно, а раз он у вас всё равно остаётся, непонятно, зачем вам дублировать часть его функционала.

mky ★★★★★
()
Ответ на: комментарий от mky

спасибо что отвечаете. То что линукс шлюз будет делать всё, это не совсем блаж: к шлюзу, пк и серверам подключены ибп. Вот только шлюз, ПК и NAS смогут работать дольше чес сервера.

Основной вопрос dnsmasq или bind9 ? Из того что нашёл (поправьте если где-то деза) - dnsmasq новее и стабильние - bind9 много брешей безопасности - dnsmasq включает кроме dns ещё и dhcp и что-то ещё (что?)

RewanFox
() автор топика
Ответ на: комментарий от RewanFox

Dnsmasq — это недоDNS-сервер. Зону он держать/трансферить не может (SOA-запись). На нём можно сделать свои A, MX и ещё какие записи, но не зону. Рекурсором он не работает, запросы он перенаправляет на другие сервера (сервер провайдера, или google, или ещё куда). Понятно, что раз в нём нет части функций bind'а, то нет и связанных с ними уязвимостей.

И вам нужно самому решить, нужен вам DNS-рекурсор или нет.

Кроме dns и dhcp в dnsmasq содержится tftp, но, ИМХО, tftp нужен только для обслуживания «умных» свичей и маршрутизаторов — загрузить прошивку, сделать резервную копию конфига. На обычную линукс машину файл проще копировать по ssh (scp) или поднять там сетевую ФС.

Что же касается работы на ИБП, то не знаю, нужен ли там DNS, да и шлюз. Как привило, всё одно когда отрубают свет интернета нет — у провайдера либо вобще нет ИБП, либо его хватает на несколько минут. А видеонаблюдение, ИМХО, лучше настраивать, чтобы оно не было завязано ни на DNS, ни на DHCP, ни на что-либо ещё.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.