Простой forward DNS по серверам из resolv.conf

0

1

Сделал из десктопа шлюз.

sudo iptables -A FORWARD -i ppp0 -o wlan0 -s 192.168.10.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Работает, но на клиентах приходится прописывать DNS гугла или провайдера, а если прописать в качестве DNS шлюз, разименование не работает.

Как перебросить все запросы на сервера из resolv.conf?

Ссылка

←	TP-Link TL-WN781ND низкий txpower

Хранилище для HA VM кластера

→

>если прописать в качестве DNS шлюз, разименование не работает.

Всё правильно. Надо завести dnsmasq на роутере, чтобы его можно было использовать как DNS-сервер.

gentoo_root ★★★★★
(03.09.11 23:38:34 MSK)

Ответ на: комментарий от gentoo_root 03.09.11 23:38:34 MSK

Заодно и DHCP-сервер будет.

gentoo_root ★★★★★
(03.09.11 23:38:56 MSK)

Ответ на: комментарий от gentoo_root 03.09.11 23:38:56 MSK

Так не пойдет

Думаю можно просто использовать iptables. Вот только как это описать пока не понял.

petav ★★★★★
(03.09.11 23:41:42 MSK) автор топика

Ответ на: Так не пойдет от petav 03.09.11 23:41:42 MSK

>Так не пойдет

Почему?

Думаю можно просто использовать iptables.

Можно попробовать пробросить 53-ий порт (domain) на другой DNS-сервер, например, на 8.8.8.8. Но dnsmasq же лучше будет. Например, через iptables не получится заюзать несколько DNS-серверов.

gentoo_root ★★★★★
(03.09.11 23:49:04 MSK)

Ответ на: комментарий от gentoo_root 03.09.11 23:49:04 MSK

через iptables не получится заюзать несколько DNS-серверов

Вот это пытаюсь понять!

petav ★★★★★
(03.09.11 23:51:14 MSK) автор топика

Ответ на: комментарий от petav 03.09.11 23:51:14 MSK

Я плохо пока понимаю iptables, вот это похоже на то что мне нужно?

petav ★★★★★
(03.09.11 23:54:16 MSK) автор топика

Ответ на: комментарий от petav 03.09.11 23:51:14 MSK

>Вот это пытаюсь понять!

Что тут понимать? Если сделать SNAT или DNAT, то не получится написать несколько адресов. Будет заюзан один DNS-сервер. И вообще это костыль, надо юзать dnsmasq.

gentoo_root ★★★★★
(03.09.11 23:56:52 MSK)

Ссылка

Ответ на: комментарий от petav 03.09.11 23:54:16 MSK

>это похоже на то что мне нужно?

Насколько я понял, там есть сеть, в ней DNS-сервер (типа dnsmasq, или какой-то другой), а вся сеть за шлюзом. Без этих правил DNS-сервер не видит другие DNS-сервера в интернете, потому что порты закрыты.

gentoo_root ★★★★★
(04.09.11 00:01:55 MSK)

Ответ на: комментарий от gentoo_root 04.09.11 00:01:55 MSK

вдумался, разобрался. Склоняюсь к вашему предложению, только bind. DHCP ни к чему мне!

petav ★★★★★
(04.09.11 00:07:07 MSK) автор топика

Ответ на: комментарий от petav 04.09.11 00:07:07 MSK

Задался вопросом, а будет ли взаимодействие с resolv.conf

petav ★★★★★
(04.09.11 00:09:00 MSK) автор топика

Ответ на: комментарий от petav 04.09.11 00:09:00 MSK

Почитал понятно. Но как же будут отработыватся ситуации подключения VPN или ppp. Сейчас они у меня resolv.conf правят. И потом будут, но bind то ни чего знать про это не будет и клиентам не будет разименовывать на них.

petav ★★★★★
(04.09.11 00:15:36 MSK) автор топика

Ответ на: комментарий от petav 04.09.11 00:15:36 MSK

Во, Ответ на мой вопрос. Все новые DNS которые будут появляться в системе будет bind добавлять в свои forvard через resolvconf, а так же будет контролировать сам resolv.conf. Вопрос еще как поведет себя openVPN у меня при поднятии он сам resolvconf пользуется что бы DNS соединения прописать. Но это уже тесты покажут...

petav ★★★★★
(04.09.11 00:22:45 MSK) автор топика

Ответ на: комментарий от petav 04.09.11 00:22:45 MSK

Простой forward DNS

Бинд как то малость для «Простой forward DNS» монструозен. Да и вообще бинд лучше не юзать.

ventilator ★★★
(04.09.11 00:32:14 MSK)

Ссылка

Ответ на: комментарий от petav 04.09.11 00:07:07 MSK

BIND - это в данном случае как из пушки по воробьям. dnsmasq легкий и все его ф-ции(dhcp,tftp) отключаемы(точнее их надо ОТДЕЛЬНО включать в конфиге, по-умолчанию dnsmasq - просто DNS-сервер)

Pinkbyte ★★★★★
(04.09.11 11:45:28 MSK)

Ссылка

Ответ на: комментарий от petav 04.09.11 00:09:00 MSK

в случае dnsmasq - да, можно организовать. Базу локальных DNS-имен для собственных нужд dnsmasq может хранить в /etc/hosts

Pinkbyte ★★★★★
(04.09.11 11:46:26 MSK)

Ссылка

а, ну и, если хочешь - могу скинуть свои готовые конфиги для dnsmasq

Pinkbyte ★★★★★
(04.09.11 11:47:13 MSK)

Ссылка

Ответ на: комментарий от gentoo_root 03.09.11 23:49:04 MSK

gentoo_root> Например, через iptables не получится заюзать несколько DNS-серверов.

Почему? DNAT и список адресов ДНСов, будет тебе round-robin

~~sdio~~ ★★★★★
(04.09.11 11:57:07 MSK)

Ответ на: комментарий от sdio 04.09.11 11:57:07 MSK

хм. откуда дровишки? в DNAT можно задавать только диапазон адресов, судя по iptables --help. Другое дело, если притулить к этому еще -m statistic, тогда можно сделать round robin, да...

Pinkbyte ★★★★★
(04.09.11 12:07:02 MSK)

Ответ на: комментарий от Pinkbyte 04.09.11 12:07:02 MSK

Читай внимательно man iptables, можно больше одного раза задавать --to-destination $ip_addr ...

~~sdio~~ ★★★★★
(04.09.11 12:08:10 MSK)

Ответ на: комментарий от sdio 04.09.11 12:08:10 MSK

А ошибся, это было до 2.6.10, потом убрали

~~sdio~~ ★★★★★
(04.09.11 12:11:48 MSK)

Ссылка

[iptables] будет ли работать iprange

~~alikhantara~~ ★
(04.09.11 13:55:11 MSK)

Ссылка

Ответ на: комментарий от sdio 04.09.11 11:57:07 MSK

Cмысл в том что бы отправлять запросы клиентов по DNS из resolv.conf. Как это решить в iptables

petav ★★★★★
(04.09.11 14:03:41 MSK) автор топика

Ссылка

Думаю что без DNS логики здесь не обойтись. Даже если организовать round robin то это всего даст нам отказоустойчивость, а не поиск разрешения имени на всех DNS серверах из resolv.conf. Думаю нужен Bind, dnsmesg не хочу потому что DHCP не нужен.

petav ★★★★★
(04.09.11 15:23:34 MSK) автор топика

Ответ на: комментарий от petav 04.09.11 15:23:34 MSK

Так не используй его в режиме DHCP-сервера, проблем-то. Иначе по такой логике и линуксом пользоваться не нужно, ибо в каждом конкретном случае используются далеко не все его возможности.

manntes-live ★★★
(04.09.11 15:38:19 MSK)

Ссылка

Ответ на: комментарий от petav 04.09.11 15:23:34 MSK

dnsmasq для данной функции самое то, зря ты упираешься. Я сам везде где нужен bind его юзаю как авторитативный DNS, а вот для простого форвардинга на основе resolv.conf - dnsmasq самое то. Не зря он во всех роутерах сидит :)

Вот простой конфиг (правда с DHCP):

interface=br0
except-interface=eth1
bind-interfaces
listen-address=192.168.11.1
expand-hosts
domain=trololo.domain.net
dhcp-range=192.168.11.50,192.168.11.254,255.255.255.0,12h
read-ethers
dhcp-authoritative
cache-size=150
no-negcache

blind_oracle ★★★★★
(04.09.11 16:38:56 MSK)

Ответ на: комментарий от petav 04.09.11 15:23:34 MSK

Через iptables просто так не получится. Только как писали выше - DNAT плюс модуль статистики для маркировки пакетов в mangle, а затем уже в зависимости от маркировки их разбрасывать на разные DNS. В общем через жопу получается, нужено еще и резолв.конф парсить постоянно на предмет изменений.

blind_oracle ★★★★★
(04.09.11 16:41:16 MSK)