Подымаю свой ДНС, несколько вопросов.

[mixar]

Решил разобраться с настройкой FreeBSD. Купил новый VDS FreeBSD 8, шаблон minimal, установил nginx+php-fpm. Дошла очередь до ДНС. Разобрался как сделать ns1, но вот появилось несколько вопросов:

1) Если я куплю второй IP, смогу ли я поднять ns2 (slave) на этом же VDS? Надо ли этот IP прописывать куда-то кроме конфигов named и у в ns домена на nic.ru?

2) Нужна ли при ручной настройке опция у VDS - свой сервер имен?

3) Нужно ли мне настроить обратную зону? И вообще нужна ли обратная зона на веб/почтовом сервере?

[tn]

Если я куплю второй IP, смогу ли я поднять ns2 (slave) на этом же VDS?

Да. С некоторых пор в зоне .ru убраны проверки на ip в разных подсетях класса С, поэтому даже если ip будут в одной сети вы всё равно сможете их использовать. С другой стороны при заказе можно выбрать подсеть, в которой будет дополнительный ip.

Кроме того, дополнительный ip стоит 30 рублей в месяц, и услуга "Свои нс" стоит тоже 30 рублей в месяц. Поэтому если вам нужен дополнительный ip исключительно ради днс (и будет установлен ispmanager), то логичнее купить услугу "Свои нс". С другой стороны, в интернете есть много бесплатных днс-серверов (яндекс, xname, secondary.net.ua, Everydns), но с бесплатными вы не сможете прописать во whois нс-сервера вида ns.вашдомен.ру (или сможете, но за это могут наказать).

Надо ли этот IP прописывать куда-то кроме конфигов named и у в ns домена на nic.ru?

В ispmanager в разделе "Доменные имена" создаёте домен (или напрямую редактируете конфиг named), на nic.ru вписываете сервера имён, ждёте, когда корневая зона очередной раз обновится (зона .ru обновляется 4 раза в сутки, зона .рф вроде каждый час) и всё.

Нужна ли при ручной настройке опция у VDS - свой сервер имен?

Опция "Свой сервер имён" работает через панель (ispmanager общается с dnsmanager'ом, установленным на удалённом сервере). Поэтому если вы будете настраивать всё на сервере вручную и даже ispmanager не будете ставить - то тогда лучше просто дополнительный ip.

Нужно ли мне настроить обратную зону?

Да

И вообще нужна ли обратная зона на веб/почтовом сервере?

На веб-сервере - по желанию. На почтовом - обязательно, иначе некоторые почтовые сервера не будут принимать ваши письма.
Обратите внимание, что если вы прописали обратную зону mail.вашдомен.ру на ваш ip, то на этот ip должна обязательно указывать и прямая зона mail.вашдомен.ру (почтовые сервера делают прямое и обратное преобразования и затем сравнивают; если не совпадает - считают, что обратная зона не верна).

[mixar]

tn, спасибо, прояснили некоторые моменты! Настраивать буду без ispmanager, тренируюсь перед колокейшн сервером:) Решил сделать 2 нса у себя на разных ипах и на всякий пожарный на ns2.trifle.net бесплатный, на случай недоступности сервака...

По поводу обратных зон прочитал что для каждой обратной зоны нужен свой IP адрес, то есть получается я обратную зону должен прописывать для ns1.example.com и ns2.example.com? А для example.com и test.com надо прописывать какие ip писать для них? Для третьего нса - ns2.trifle.net надо писать обратную зону?[/b]

Я так понял что главное прописывать для main.example.com, а вот могу я для mail.test.com такую же обратную зону прописать (ипы то у них одинаковый)?

[tn]

Обратную зону вы можете прописать только у тех ip, кототорые вам принадлежат. Т.е:
- либо вы купили диапазон в ripe
- либо вы купили диапазон у провайдера и он делегировал вашим нс-серверам обратную зону для этого диапазона
- либо вы уговорили вашего провайдера делегировать вам обратную зону вашего единственного ip - через cname
- либо, как в случае с firstvds, провайдер предоставил вам панель, с помощью которой вы можете менять обратную зону

Как бы вам не хотелось прописывать in ptr у себя в настройках named'а, единственное, что вы сможете сделать с обратной зоной в firstvds это зайти в vdsmanager, в раздел "ip-адеса" и там для каждого купленного вами ip прописать по одной обратной зоне.

По поводу обратных зон прочитал что для каждой обратной зоны нужен свой IP адрес

Наоборот, для каждого ip нужна обратная зона. Обратная зона - это домен. Вы можете в качестве обратной зоны для вашего ip прописать хоть whitehouse.gov, но whitehouse.gov по-прежнему будет указывать на 95.100.74.135

Для ip, который будет использоваться почтовым сервером, вам надо будет прописать обратную зону вида mail.вашдомен.ру (или просто вашдомен.ру или другой). Для нс-сервера обратная зона не так важна, но и на второй ip можно прописать какую-нибудь обратную зону.

Я так понял что главное прописывать для main.example.com, а вот могу я для mail.test.com такую же обратную зону прописать (ипы то у них одинаковый)?

Прямая зона - это когда у вас есть домен, например, forum.firstvds.ru, и вы делаете, чтобы он резолвился в какой-то ip (или несколько ip):

Код: выделить все

$ host forum.firstvds.ru
forum.firstvds.ru has address 82.146.58.10

Обратная зона - это когда у вас есть ip, например, 82.146.58.10 и вы делаете, чтобы он резолвился в какой-то домен:

Код: выделить все

$ host 82.146.58.10
10.58.146.82.in-addr.arpa domain name pointer forum.firstvds.ru.

В данном случае, как мы видим, для ip прямая и обратная зоны одинаковы, поэтому при приёме почты с forum.firstvds.ru мой почтовый сервер в заголоках пишет

Код: выделить все

Received: from forum.firstvds.ru (forum.firstvds.ru [82.146.58.10])

А в случае одного из злобных спаммеров:

Код: выделить все

Nov 20 05:20:50 endless postfix/smtpd[5416]: warning: 178.162.138.65: hostname 178-162-138-65.local verification failed: Name or service not known
Nov 20 05:20:50 endless postfix/smtpd[5416]: connect from unknown[178.162.138.65]

обратите внимание на unknown[178.162.138.65], в данном случае у 178.162.138.65 в качестве обратной зоны прописан 178-162-138-65.local, но вне пределов его локальной сети такой хост не резолвится.

На ip может указывать несколько доменных имён, например, у вас есть ip 82.146.43.123, в этот ip резолвятся вашдомен.ру, mail.вашдомен.ру, pop3.вашдомен.ру, ftp.вашдомен.ру. Но для обратной зоны придётся выбрать только один домен.
Технически, конечно, и ip может иметь несколько обратных зон, но это очень редко используется (обычно в irc, когда на один ip вешается несколько красивых хостов), а в случае почтового сервера может вызвать проблемы.

[mixar]

tn, спасибо кажись разобрался! Получается я для каждого своего IPа на сервере должен сделать обратную зону, тогда не будет проблем с почтовиком. Например, я пропишу для AAA.BBB.CCC.DDD резолвинг example.com. На этом ипе у меня висят 3 сайта example.com, example.org, example.net. Для mail.example.com, я так понял проблем с почтой не будет, а будут ли проблемы у mail.example.org и mail.example.net?
И еще, если я пропишу обратную зону в ВДСменеджере, мне не надо ничего писать у себя в настройках named?

PS: Для тех кто будет настраивать сервер сам, прописать IP <-> Reverse DNS можно в VDS manager в пункте IP-addresses домен надо указывать с точкой: example.com.

[tn]

Например, я пропишу для AAA.BBB.CCC.DDD резолвинг example.com. На этом ипе у меня висят 3 сайта example.com, example.org, example.net. Для mail.example.com, я так понял проблем с почтой не будет, а будут ли проблемы у mail.example.org и mail.example.net?

Обычно прописывают hostname сервера, на физических серверах командой

Код: выделить все

hostname example.com

, а с vds есть некоторые проблемы

В принципе hostname сейчас у вас должен быть равен тому, как ваш сервер назван в billmanager или можно посмотреть в консоли командой hostname без параметров.

После установки hostname в настройках почтового сервера указывают, чтобы почтовый сервер выдавал его в helo и приветствии:

Код: выделить все

$ telnet forum.firstvds.ru 25
Trying 82.146.58.10...
Connected to forum.firstvds.ru.
Escape character is '^]'.
220 forum.firstvds.ru ESMTP Sendmail 8.13.5/8.14.2; Sat, 20 Nov 2010 09:21:50 GMT
quit
221 2.0.0 forum.firstvds.ru closing connection

В конфигурации postfix это выглядит так:

Код: выделить все

myhostname = example.com
smtpd_banner = $myhostname ESMTP mail server

И после этого именно этот хост и прописывают в обратной зоне.
При этом неважно, сколько сайтов будет на сервере и сколько прямых зон у ip сервера.

И еще, если я пропишу обратную зону в ВДСменеджере, мне не надо ничего писать у себя в настройках named?

Нет, ничего. Обратная зона ваших ip будет храниться на серверах firstvds:

Код: выделить все

$ dig -x 82.146.58.10

; <<>> DiG 9.6-ESV-R1 <<>> -x 82.146.58.10
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40246
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;10.58.146.82.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
10.58.146.82.in-addr.arpa. 3600 IN      PTR     forum.firstvds.ru.

;; AUTHORITY SECTION:
58.146.82.in-addr.arpa. 3600    IN      NS      ns3.ispsystem.net.
58.146.82.in-addr.arpa. 3600    IN      NS      ns1.ispsystem.net.

[mixar]

hostname показывает то что нужно - example.com, просто получается почтовик, например для test.com будет отдавать то же приветствие что и для example.com, это нормально? А то покупать для 100 доменов 100 ip небюджетно;)

#dig -x AAA.BBB.CCC.DDD указывает на мой hostname, что уже радует!

Еще смотрю сейчас на своем старом VDS настройки зон (там ISPManager и собственные сервера имен), там в SOA запись:

Код: выделить все

example.com.   IN   SOA   ns1.example.com. root.example.com. (2008031903 10800 3600 604800 86400)

в принципе все понятно, но мыло root@example.com я не создавал, могу я там прописать мыло например ns@example.com, которое будет существовать или это нигде не используется и сделано для совместимости со старым софтом?

Ну и последняя строка:

Код: выделить все

example.com.   IN   TXT    "v=spf1 a mx ~all"


Эту строку я вообще не понимаю, для чего она нужна?

2 tn: Я наверно уже задолбал своими вопросами и благодарен вам то что вы находите время для ответов. Как все настрою и разберусь, то напишу статью для wiki в подробностях, чтоб человек, который настраивает ДНС сервак понимал че он делает, а не слепо действовал по инструкции...

[tn]

hostname показывает то что нужно - example.com, просто получается почтовик, например для test.com будет отдавать то же приветствие что и для example.com, это нормально?

Да, это нормально.
К сожалению, протокол smtp сделан таким образом, что кто угодно может использовать любой обратный адрес. Спаммеры этим и пользуются. Например, можно отправить письмо используя в качестве обратного адреса president@whitehouse.gov и в большинстве случаев удивлённый пользователь его получит.
Поэтому в данный момент многие сервера используют различные проверки, является ли компьютер, который пытается передать им письмо, полноценным почтовым сервером. Обратная зона очень часто используется для таких проверок.

Еще смотрю сейчас на своем старом VDS настройки зон (там ISPManager и собственные сервера имен), там в SOA запись:

Код: выделить все

example.com.   IN   SOA   ns1.example.com. root.example.com. (2008031903 10800 3600 604800 86400)

в принципе все понятно, но мыло root@example.com я не создавал, могу я там прописать мыло например ns@example.com, которое будет существовать или это нигде не используется и сделано для совместимости со старым софтом?

В rfc 2142 описано, какие ящики должны существовать на почтовом сервере. Многие почтовые сервера при установке создают файл с алиасами, в которых перечислены некоторые из стандартных ящиков. В том числе и ящик root, на который обычно приходят уведомления от cron'а и другие системные уведомления.

Код: выделить все

# cat /etc/aliases
# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
clamav: root


В ispmanager'е, в "Настройки сервера/Параметры сервера" можно настроить перенаправления почты для root.
Тот почтовый адрес, который содержится в soa-записи в ispmanager задаётся в разделе "Настройки ДНС"

Честно говоря, на адреса, указанные в soa, мне даже спаммеры ничего не шлют, единственный, кто слал на hostmaster@, был ripn при регистрации домена третьего уровня (.pp.ru .net.ru). Но лучше указывать в soa работающий адрес.

Ну и последняя строка:

Код: выделить все

example.com.   IN   TXT    "v=spf1 a mx ~all"


Эту строку я вообще не понимаю, для чего она нужна?

Выше упоминалось, что любой может использовать поддельный обратный адрес. И с помощью протокола smtp это сложно проверить. С увеличением потока спама с этим решили бороться. Пока внедряются два основных метода - spf и подписывание писем цифовыми подписями при отправке. Для подписывания писем цифровой подписью надо ставить специальное приложение. А для spf достаточно перечислить адреса, с которых может отправляться почта с обратным адресом в вашем домене (и которые могут в helo использовать ваш домен) в txt-записи доменной зоны.

Запись "v=spf1 a mx ~all" означает, что почту от имени домена example.com могут посылать сервера, на которые указывают A и MX-записи, а что делать с письмами, которые пришли с других ip эта политика не определяет.

Кроме ~all есть ещё ?all - оно означает "относиться с подозрением". Толку от него тоже не много, разве что учитывать при составлении рейтинга письма, и если письмо набрало определённое количество баллов по некоторым признакам, то считать его спамом.

Также есть опция -all, которая означает, что почта с адресов, не прописанных в spf-записи не должна приниматься. Эта опция хорошо помогает против спаммеров, которые любят использовать ваш домен в качестве обратного адреса при своей рассылке, но иногда могут быть пролемы, если используется перенаправление почты (в интернете есть статьи с описанием проблем spf).

Само по себе наличие -all не работает без включённой поддержки spf на почтовом сервере, принимающем почту, но крупные почтовые системы уже давно поддерживают spf, что стимулирует спаммеров не использовать ваш домен в качестве обратного адреса.

Как правило, небольшому почтовому серверу достаточно "a" "mx", иногда, для того, чтобы прописать отдельный адрес - "ip4:123.45.6.7". Крупным почтовым системам приходится использовать такие опции, как "redirect":

Код: выделить все

# host -t txt gmail.com
gmail.com descriptive text "v=spf1 redirect=_spf.google.com"
# host -t txt ya.ru
ya.ru descriptive text "v=spf1 redirect=_spf.yandex.ru"

[mixar]

Обратил внимание что на сервере на котором стоит ISPManager почему-то у named отрубили песочницу:

rc.conf:

Код: выделить все

named_chrootdir=""


Так ведь не рекомендуется делать по причинам безопасности.

[ls]

Для chrootdir требуется смонтировать devfs в директорию куда он делает chroot, а монтировать файловые системы нельзя на VDS - ограничение актуализации.

[mixar]

Настроил DNS, домен проделегировался, сайт работает, но в /var/log/messages куча ошибок:

Заменил в логах свой домен на example.com чтоб не светить, а то уже по ssh пытаются пароль рута подобрать))

Код: выделить все

Nov 21 10:52:07 1ns named[96057]: the working directory is not writable
Nov 21 10:52:07 1ns named[96057]: dns_rdata_fromtext: /etc/namedb/master/example.com:3: near 'root.example.com.': not a valid number
Nov 21 10:52:07 1ns named[96057]: zone example.com/IN: loading from master file /etc/namedb/master/example.com failed: not a valid number
Nov 21 10:52:07 1ns named[96057]: zone example.com/IN: not loaded due to errors.
Nov 21 10:52:07 1ns named[96057]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 10:53:17 1ns named[96057]: the working directory is not writable
Nov 21 10:53:17 1ns named[96057]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 10:57:28 1ns named[96057]: the working directory is not writable
Nov 21 10:57:28 1ns named[96057]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 10:57:28 1ns named[96057]: dns_rdata_fromtext: /etc/namedb/master/example.com:3: near 'root.example.com.': not a valid number
Nov 21 10:57:28 1ns named[96057]: zone example.com/IN: loading from master file /etc/namedb/master/example.com failed: not a valid number
Nov 21 10:57:28 1ns named[96057]: zone example.com/IN: not loaded due to errors.


Вот конфиги:

named.conf

Код: выделить все

options {
   directory   "/etc/namedb/";
   pid-file   "/var/run/named/pid";
   dump-file   "/var/dump/named_dump.db";
   statistics-file   "/var/stats/named.stats";

   version "TinyDNS 5.0";
};

zone "." { type hint; file "/etc/namedb/named.root"; };

zone "example.com" {
        type master;
        file "/etc/namedb/master/example.com";
};


/etc/namedb/master/example.com

Код: выделить все

$TTL   3600

example.com.   IN   SOA   ns1.example.com. ns2.example.com. root.example.com.  (
            2010112002   ; Serial
            10800   ; Refresh
            3600   ; Retry
            604800   ; Expire
            86400 )   ; Minimum

example.com.   IN   NS    ns1.example.com.
example.com.   IN   NS    ns2.example.com.
example.com.   IN   MX   10 mail
example.com.   IN   MX   20 mail
example.com.   IN   A    МОЙ_IP_1
www   IN   A    МОЙ_IP_1
ftp   IN   A    МОЙ_IP_1
mail   IN   A    МОЙ_IP_1
smtp   IN   A    МОЙ_IP_1
pop   IN   A    МОЙ_IP_1
example.com.   IN   TXT    "v=spf1 a mx ~all"
ns1   IN   A    МОЙ_IP_1
ns2   IN   A    МОЙ_IP_2


rndc.key

Код: выделить все

key "rndc-key" {
    algorithm hmac-md5;
    secret "СЕКРЕТНЫЙ КОД СТЕР";
};


Права доступа:

Код: выделить все

[root@1ns /etc/namedb]# ls -l
total 40
-rw-r--r--  1 root  wheel    423 Nov 20 20:16 PROTO.localhost-v6.rev
-rw-r--r--  1 root  wheel    423 Nov 20 20:15 PROTO.localhost.rev
drwxr-xr-x  2 bind  wheel    512 Nov 16 17:42 dynamic
-rwxr--r--  1 root  wheel   1089 Nov 20 20:12 make-localhost
drwxr-xr-x  2 root  wheel    512 Nov 20 20:20 master
-rw-r--r--  1 root  wheel   3759 Nov 20 21:56 named.conf
-rw-r--r--  1 root  wheel  13985 Nov 20 21:11 named.conf.bak
-rw-r--r--  2 root  wheel   3078 Jul 26 09:06 named.root
-r--r--r--  1 root  wheel   1439 Nov 19 11:01 rndc.conf.sample
-rw-r--r--  1 bind  wheel     80 Nov 20 21:29 rndc.key
drwxr-xr-x  2 bind  wheel    512 Nov 16 17:42 slave
drwxr-xr-x  2 bind  wheel    512 Nov 16 17:42 working

Код: выделить все

[root@1ns /etc/namedb]# ls -l master
total 12
-rw-r--r--  1 bind  bind   512 Nov 21 10:57 example.com
-rw-r--r--  2 root  wheel  239 Dec  2  2009 empty.db
-rw-r--r--  2 root  wheel  261 Dec  2  2009 localhost-forward.db
-rw-r--r--  2 root  wheel  329 Dec  2  2009 localhost-reverse.db
-rw-r--r--  1 root  wheel  423 Nov 20 20:16 localhost-v6.rev
-rw-r--r--  1 root  wheel  423 Nov 20 20:16 localhost.rev

И еще попутно вопрос, надо ли slave зону настраивать? У меня оба IP на одном сервере, соответственно ns1 и ns2 тоже на одном сервере...

[ls]

Явно ведь ругается что файл зоны не может прочитать из-за ошибок в нем. Slave не нужно настраивать.
Поменяйте

Код: выделить все

example.com.   IN   SOA   ns1.example.com. ns2.example.com. root.example.com.  (

На

Код: выделить все

example.com.   IN   SOA   ns1.example.com. root.example.com.  (

Там 2 параметра должно быть, а не 3, указывается master и административный email (только . вместо @), видимо поэтому зона и не подгружается так как пытается 3м параметром искать serial.
Надо чтобы не было ошибок в логах.

[mixar]

Явно ведь ругается что файл зоны не может прочитать из-за ошибок в нем. Slave не нужно настраивать.
Поменяйте

Код: выделить все

example.com.   IN   SOA   ns1.example.com. ns2.example.com. root.example.com.  (

На

Код: выделить все

example.com.   IN   SOA   ns1.example.com. root.example.com.  (

Там 2 параметра должно быть, а не 3, указывается master и административный email (только . вместо @), видимо поэтому зона и не подгружается так как пытается 3м параметром искать serial.
Надо чтобы не было ошибок в логах.

Да меня смутило - the working directory is not writable, думал может с правами доступа че-то не так. Перед тем как ставить Bind обновлял дерево портов, так что Bind самой свежей версии.

А для корректной работы ns2.example.com хватит записи

Код: выделить все

ns2   IN   A    МОЙ_IP_2

в /etc/namedb/master/example.com ?

[ls]

Да, хватит.

[mixar]

Да, хватит.

ls, спасибо, многое стало понятно.

Но вот в логе все равно есть проблемы:

Код: выделить все

Nov 21 14:09:43 1ns named[39619]: the working directory is not writable
Nov 21 14:09:43 1ns named[39619]: the working directory is not writable
Nov 21 14:09:43 1ns named[39619]: the working directory is not writable
Nov 21 14:09:43 1ns named[39619]: the working directory is not writable
Nov 21 14:09:43 1ns named[39619]: the working directory is not writable
Nov 21 14:09:43 1ns named[39619]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 14:09:43 1ns named[39619]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 14:09:43 1ns named[39619]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 14:09:43 1ns named[39619]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 14:09:43 1ns named[39619]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
Nov 21 14:09:43 1ns named[39619]: running


И еще вроде последний вопрос, могу я удалить файл rndc.key и добавить в named.conf

Код: выделить все

key "rndc-key" {
        algorithm hmac-md5;
        secret "ogogogogogggggo";
};

controls {
        keys { "rndc-key"; };
};