DNS+DHCP. Часть пятая: связка DNS и DHCP

Отлично, супер!!! Плейлист с манами, прям в радость идёт! Скорейшего выздоровления!

МаксимБузулуков-ьф

Выздоравливай скорее Кирилл
И радуй нас почаще
Не болей
Спасибо

СергійКовальов-сч

Spasibo Vam za uroki, budem ochen radi i v buduschem slishat vas!!!

havardanify

Настроил named и dhcpd на CentOS 7. На клиентской машине по DHCP всё выдаётся корректно, DNS работает и вообще всё прекрасно, за исключением одного: в логах dhcpd после каждой выдачи IP-адреса я вижу строку "Unable to add forward map from Win10.DOMAIN.LAN to 192.168.56.101: SERVFAIL". Несколько часов гуглил и ковырял конфиги named и dhcpd, но с места не сдвинулся. Всё работает, но ошибка выскакивает.
Кирилл, ещё раз спасибо за то время, что выделяешь на создание уроков!

vladimirzhelanov

В начале подумал, пфф MD5 у него же защита никакая, сделаю ка я HMAC-SHA512 -b 512, чтобы наверняка =)
Но как оказалось DHCP не поддерживает SHA512 и бодренько меня обругал Unable to create tsec structure for DHCP_UPDATER. Пришлось откатиться на MD5. Но с трансфером на другой BIND думаю сработает (надо будет попробовать).
Просмотрел все ваши видео, теперь жду новые выпуски, как любимого сериала =)
Оказалось довольно забавно, смотреть о убунте и переделывать все под другую ОС.
Кстати, в последних windows появился довольно красивый и главное лучше читаемый шрифт Consolas, можете попробовать, уверен вам понравится.

zorgus

Спасибо за уроки. Очень понятно и полезно.
А как быть с несколькими внутренними подсетями? Например одна сетевая карточка для внутренних сетей разделенных VLAN.

СергейСафин-нс

Очень интересно какие планы на будущее?

СергейСафин-нс

Кирилл, а разъясните, пожалуйста... на 10:09 настраивается DHCP :
zone LAB.LOCAL {
и
zone 0.168.192.in-addr.arpa. {
в прямой зоне точка в конце отсутствует, в обратной - есть.
Не понимаю я нюанса с этими точками :(

ssn

Подскажите, а как сгенерировать dnssec-keygen на Ubuntu 20. команда, что вводится в видео видимо уже на актуальна. А мануалы по сети с генерацией все 5-8 летней давности.

kavabangaungava

Добрый день, у меня возникло несколько вопросов. надеюсь вы сможете а них ответить.
1) Как ограничить скорость пользователя сети?
2) Как ограничить доступ в интернет для пользователя сети?
3) В одном из видео (днс+дшсп часть 2) в файле name.conf.options в форвардинг вы прописали ip вашего роутера вручную. А если у меня нету этого роутера. Мой сервер и есть роутер, настройки я получаю по дшсп от провайдера и через какое то время они автоматом меняются. Вопрос что там прописывать?
4)Я так понимаю мне как то надо назначить маршрутизацию и маскарадинг пакетов, вопрос как?

aleksandrbengard

Сергей, вы задаете хорошие вопросы, жаль что ютуб не дает вам отвечать)) Сделаю продолжение на эту тему.

KirillSemaev

Для чего может пригодиться в локалке привязка ip адреса к dns имени?Есть же netbios.

PalamarSat

Так что, журналов в /var/lib/bind/ без рабочего в связке DHCP не будет ?

sergkr

А как быть если DNS настроен на linux, а AD на Windows Server 2012. как мне указать AD использовать BIND. Или как сделать проброс зоны для AD

zmmiwmb

Сергей, а наклепать сабинтерфейсы на каждый влан ?

antonatom

добрый день у меня вопрос? В реверсе у меня появилась информация а в форвард нет. Как это исправить? Большое спасибо за видел было очень полезно

ridikyu

Заранее извиняюсь, за занудство. 
Возник еще вопрос о защите dns имен.
Получается, что любой компьютер в сети, может назначить себе такое же имя, как у сервера например, и DHCP услужливо его заменит в BIND.
В Windows среде это не имеет проблем, из-за безопасного обновления и более того DHCP там умеет предотвращать перезапись с помощью DHCID. 
В только Линукс сети можно наверняка раздать ключи на клиенты, для безопасного обновления (хотя я не знаю как это корректно сделать, из клиентского мне известна только утилита nsupdate).
Но похоже в гетерогенной среде - это является проблемой.
Есть ли способы защиты кроме ключей HMAC-MD5?
Может есть аналог механизма DHCID?
Или Самба в роли контроллера домена способна безопасно обновлять dns записи?
Спрашиваю, потому что в инструкции по поднятию AD на Самбе, натолкнулся на такую строчку в конфиге BIND, allow-update {192.168.1.0/24}, что конечно эпично =)

zorgus

Может на этой машине ещё контроллер домена поднять? Я бы с радостью посмотрел ;)

megamalicioususer

Здравствуйте, Кирилл.
Хотелось бы узнать, планируете ли вы дополнить данный цикл обещанным Ipfilter, чтобы научить этот сервер раздавать интернет пользователям?

Saymonnet

Маленький ньюанс. Весь день не мог найти почему BIND не дописывает в файл зоны. Оказалось что в файл /etc/bind/named.conf.local нужно дописывать для каждой зоны опцию notify yes;
Без не не работает.

МихаилБабин-пъ