FreeBSD 10 + Unbound

[k291]

Добрый день!
У меня FreeBSD 10, на нем по умолчанию DNS Unbound, вроде все настроил по инструкции(muff.kiev.ua/content/unbound-nastroika-keshiruyushchego-dns-servera), но запросы DNS на 1.1.1.1 не обрабатывает, а на 127.0.0.1 все хорошо.
Подскажите, что не так:

server:
# Уровень логирования - 0 (только ошибки)
verbosity: 0
# Порт, на котором "слушать" запросы
port: 53
# Описываем интерфейсы, на которых будем "слушать" запросы
interface: 127.0.0.1
interface: 1.1.1.1
#interface: 10.0.0.1
# Указываем исходящий интерфейс
#outgoing-interface: 10.0.0.1
outgoing-interface: 217.1.1.242
#  Указываем сети, чьи запросы будем обрабатывать
access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow
access-control: 217.1.1.1/28 allow
# разрешаем  ip4 tcp/udp
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
# От чьего имени работает daemon unbound
username: unbound
# Указываем лог-файл и отключаем использование syslog
logfile: "/tmp/unbound.log"
use-syslog: no
# Указываем путь к pid-файлу
pidfile: "/var/run/local_unbound.pid"
# "Прячем" версию софта
hide-version: yes

# drill @127.0.0.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 16081
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;; muff.kiev.ua.        IN      A

;; ANSWER SECTION:
muff.kiev.ua.   3600    IN      A       91.196.100.50

;; AUTHORITY SECTION:
muff.kiev.ua.   3600    IN      NS      ns2.bg.com.ua.
muff.kiev.ua.   3600    IN      NS      ns.bg.net.ua.

;; ADDITIONAL SECTION:

;; Query time: 454 msec
;; SERVER: 127.0.0.1
;; WHEN: Wed Jul  2 16:24:00 2014
;; MSG SIZE  rcvd: 95

# drill @1.1.1.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: REFUSED, id: 49335
;; flags: qr rd ; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;;
;; ANSWER SECTION:

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 1.1.1.1
;; WHEN: Wed Jul  2 16:24:22 2014
;; MSG SIZE  rcvd: 12

[elite]

а причем тут nodeny?)))))

[ser970]

более человеческая натсройка
http://www.lissyara.su/articles/freebsd/programms/unbound/

а так вообще unbound запущен ?
или named &

[k291]

а причем тут nodeny?)))))

Потому, что в FreeBSD 10, named заменен на Unbound, и надо сделай МАН.

[k291]

более человеческая натсройка
lissyara.su/articles/freebsd/programms/unbound/

а так вообще unbound запущен ?
или named &

unbound запущен:

# ps -ax | grep unbound | grep -v grep
36005  -  Ss       0:14,29 /usr/sbin/unbound -c/var/unbound/unbound.conf

Команда # drill @127.0.0.1 muff.kiev.ua обрабатывается, а по # drill @1.1.1.1 muff.kiev.ua НЕТ
Скорей всего, фаервол не пускает. Сейчас проверю.

[k291]

более человеческая натсройка
lissyara.su/articles/freebsd/programms/unbound/

а так вообще unbound запущен ?
или named &

unbound запущен:

# ps -ax | grep unbound | grep -v grep
36005  -  Ss       0:14,29 /usr/sbin/unbound -c/var/unbound/unbound.conf

Команда # drill @127.0.0.1 muff.kiev.ua обрабатывается, а по # drill @1.1.1.1 muff.kiev.ua НЕТ
С абонентского компа, также пингуется 1.1.1.1

Скорей всего, фаервол не пускает. Сейчас проверю.

Не фаервол:

# ipfw table 100 add 1.1.1.1/1
# ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=64 time=0.024 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=64 time=0.021 ms

# drill @1.1.1.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: REFUSED, id: 18933
;; flags: qr rd ; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;;
;; ANSWER SECTION:

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 1.1.1.1
;; WHEN: Wed Jul  2 22:44:02 2014
;; MSG SIZE  rcvd: 12

У клиента вручную прописал DNS 1.1.1.1, страницы открываются. Но на сервере DNS запросы не обрабатываются.

# drill @1.1.1.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: REFUSED, id: 18933
;; flags: qr rd ; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
..............

[0xbad0c0d3]

как говорится, так, на вскидку... ничего не смущает?

Код:

# Описываем интерфейсы, на которых будем "слушать" запросы
interface: 127.0.0.1
interface: 1.1.1.1
#interface: 10.0.0.1
....
#  Указываем сети, чьи запросы будем обрабатывать
access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow
access-control: 217.1.1.1/28 allow

[k291]

как говорится, так, на вскидку... ничего не смущает?

Код:

# Описываем интерфейсы, на которых будем "слушать" запросы
interface: 127.0.0.1
interface: 1.1.1.1
#interface: 10.0.0.1
....
#  Указываем сети, чьи запросы будем обрабатывать
access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow
access-control: 217.1.1.1/28 allow

С этими параметрами, у клиентов с серыми IP, открываются страницы.
А что не так?

[/quote]

[md5]

 

добавить нечего. интересно а как ты 10-ку поставил ?

[ser970]

access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow
access-control: 217.1.1.1/28 allow
access-control: 1.1.1.1/32 allow

[k291]

access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow
access-control: 217.1.1.1/28 allow
access-control: 1.1.1.1/32 allow

Спасибо! Получилось:

# drill @1.1.1.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 31276
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;; muff.kiev.ua.        IN      A

;; ANSWER SECTION:
muff.kiev.ua.   3596    IN      A       91.196.100.50

;; AUTHORITY SECTION:
muff.kiev.ua.   3596    IN      NS      ns.bg.net.ua.
muff.kiev.ua.   3596    IN      NS      ns2.bg.com.ua.

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 1.1.1.1
;; WHEN: Thu Jul  3 13:10:26 2014
;; MSG SIZE  rcvd: 95

[k291]

Для истории:
Настраиваем локальный DNS на FreeBSD 10 и выше - DNSом мы уставливали: 1.1.1.1
Инструкция взята от сюда: muff.kiev.ua/content/unbound-nastroika-keshiruyushchego-dns-servera
   
Установка DNS:
#cd /usr/ports/dns/unbound
#make install clean

#nano /var/unbound/unbound.conf

server:
# Уровень логирования - 0 (только ошибки)
verbosity: 0
# Порт, на котором "слушать" запросы
port: 53
# Описываем интерфейсы, на которых будем "слушать" запросы
interface: 127.0.0.1
interface: 1.1.1.1 # наш DNS
#interface: 10.0.0.1
# Указываем исходящий интерфейс, что смотрит в мир
outgoing-interface: 217.1.1.242
#  Указываем сети, чьи запросы будем обрабатывать
#access-control: 0.0.0.0/0 refuse
access-control: 10.0.0.0/24 allow  # наши серые IP
access-control: 1.1.1.1/32 allow # наш DNS
access-control: 217.1.1.240/28 allow # наши белые IP
# разрешаем  ip4 и ip6 tcp/udp
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
# От чьего имени работает daemon unbound
username: unbound
# Указываем лог-файл и отключаем использование syslog
logfile: "/tmp/unbound.log"
use-syslog: no
# Указываем путь к pid-файлу
pidfile: "/var/run/local_unbound.pid"
# "Прячем" версию софта
hide-version: yes

Проверяем конфиг:

# unbound-checkconf
unbound-checkconf: no errors in /var/unbound/unbound.conf

Если выдало чтото подобное, то все хорошо, иначе ищем ошибки.

Добавим загрузку демона при старте системы:

# echo '# DNS server' >> /etc/rc.conf
# echo 'local_unbound_enable="YES"' >> /etc/rc.conf

Даем комманду на запуск:

# sh /etc/rc.d/local_unbound start
Starting local_unbound.

Проверим, запустился ли процесс:

# ps -ax | grep unbound | grep -v grep
2340  -  Is     0:00,03 /usr/sbin/unbound -c/var/unbound/unbound.conf

Демон запущен. Проверим, обрабатывает ли он запросы:

# drill @1.1.1.1 muff.kiev.ua
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 14051
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;; muff.kiev.ua.        IN      A

;; ANSWER SECTION:
muff.kiev.ua.   2927    IN      A       91.196.100.50

;; AUTHORITY SECTION:
muff.kiev.ua.   2927    IN      NS      ns2.bg.com.ua.
muff.kiev.ua.   2927    IN      NS      ns.bg.net.ua.

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 1.1.1.1
;; WHEN: Thu Jul  3 14:40:05 2014
;; MSG SIZE  rcvd: 95

[k291]

Если белым IP прописать  DNS 1.1.1.1, то перестают открываться страницы:

# ping mail.ru
При проверке связи не удалось обнаружить узел mail.ru.
Проверте имя узла и повтоорите попытку.

При этом, mail.ru пингуеться по IP 94.100.180.201 и работает ICQ, TeamViewer.

# ping 94.100.180.201
Ответ от 94.100.180.201: число байт=32 время=21мс TTL=57

Но страницы по IP не открываются.

[0xbad0c0d3]

http://www.superjob.ru/catalog-resumes/sistemnyj-administrator.html