- Метка: Astra Linux
- Настройка связки iptables и dnsmasq на Astra Linux «Смоленск»
- Запуск CommuniGate Pro 6.3 на ОС Debian 11.4 и Astra Linux 1.7
- Настройка загрузки по умолчанию ядра hardened в Astra Linux «Воронеж»
- Роутер и проброс портов на Astra Linux «Смоленск»
- Запуск FreeIPA в Astra Linux «Смоленск»
- Запуск ftp-репозитория для Astra Linux «Смоленск»
- Настройка сети в Astra Linux «Смоленск»
- Рубрики
- Операционные системы
- Dnsmasq(dhcp & dns) настройка
- Роутер и проброс портов на Astra Linux «Смоленск»
- Похожие посты:
Метка: Astra Linux
Настройка связки iptables и dnsmasq на Astra Linux «Смоленск»
Краткое руководство по настройке роутера в связке iptables + dnsmasq, а также проброс портов по IP-адресам машин в локальной сети на примере Astra Linux «Смоленск» 1.7.1. Также подойдёт для «Воронежа» и других редакций.
Запуск CommuniGate Pro 6.3 на ОС Debian 11.4 и Astra Linux 1.7
Краткая инструкция по быстрому запуску платформы унифицированных коммуникаций CommuniGate Pro версии 6.3 на операционных системах Debian GNU/Linux и Astra Linux 1.7 редакций «Смоленск» и «Воронеж»
Настройка загрузки по умолчанию ядра hardened в Astra Linux «Воронеж»
После установки Astra Linux релиза «Воронеж» версии 1.7 загрузчик grub по умолчанию всё равно выбирает generic. Исправляем этот нюанс из консоли.
Роутер и проброс портов на Astra Linux «Смоленск»
Краткое руководство по настройке роутера в связке UFW + dnsmasq, а также проброс портов по IP-адресам машин в локальной сети на примере Astra Linux «Смоленск»
Запуск FreeIPA в Astra Linux «Смоленск»
Краткое руководство по запуску и первоначальной настройке централизованной системы по управлению идентификацией пользователей FreeIPA на ОС специального назначения Astra Linux Special Edition «Смоленск» на примере версии 1.6.
Запуск ftp-репозитория для Astra Linux «Смоленск»
Инструкция по быстрому развёртыванию ftp-репозитория ОС специального назначения Astra Linux Special Edition «Смоленск» на примере версии 1.6. Это — ещё одна важная настройка, которая упрощает установку и/или обновление пакетов, а также самой ОС, и освобождает от необходимости вставлять установочный диск на каждую машину. Особенно важно, если в локальной сети много машин с такой же ОС.
Настройка сети в Astra Linux «Смоленск»
Краткое руководство по настройке сетевого интерфейса и доступа по протоколу SSH, а также установке необходимых сетевых утилит в консольной версии ОС специального назначения Astra Linux Special Edition «Смоленск» версий 1.6 и 1.7.1
Рубрики
Операционные системы
Dnsmasq(dhcp & dns) настройка
Как разрешить проблему? Нужно ли еще что-то добавить в конфиг dnsmasq?
А в системе такая группа и юзер есть?
Нет, сервис dnsmasq автоматом был установлен
А что за дистрибутив? Пользователя можно создать руками, либо в конфиге (dnsmasq.conf) указать другого пользователя и группу (параметры user и group)
Пользователя добавил в конфиге. Сервис заработал. Не, пойму только одно, нужно ли здесь прописывать обратные зоны?
Да как хотите. У меня, например, только несколько прямых адресов там прописано (я его как кэширующий использую).
alozovskoy ★★★★★ ( 12.04.16 07:54:42 MSK )
Последнее исправление: alozovskoy 12.04.16 07:55:27 MSK (всего исправлений: 1)
ну мне он и нужен только для связки dhcp & dns. Вы имеете ввиду прямые зоны?
Ну можно сказать и зон, но вообще всего несколько адресов из разных зон (такой аналог /etc/hosts).
MX записи и прочие я так полагаю тоже добавляются в конфиг dnsmasq?
Можете разъяснить почему так?
#nslookup ast Server: 192.168.0.5 Address: 192.168.0.5#53 Name: ast Address: 127.0.1.1 #nslookup client Server: 192.168.0.5 Address: 192.168.0.5#53 Name: client Address: 192.168.0.134Почему нслукап определяет ast как 127.0.1.1, если ast это 192.168.0.5? если в /etc/hosts закоментить #127.0.1.1 ast то выводит
Server: 192.168.0.5 Address: 192.168.0.5#53 ** server can't find ast: REFUSED Видимо по этому, не?
listen-address=127.0.0.1,192.168.0.5
dhcp-range=192.168.0.10,192.168.0.150,12h
Нужно посмотреть что там у вас в dnsmasq для ast, может там нет такого адреса или еще что, по-этому ответа и нет. Опять же у dnsmasq хорошие логи, можно там посмотреть в чем проблема. По поводу строки в /etc/hosts — это все настраивается в файле /etc/nsswitch.conf, там по дефолту сначала проверяется наличие адреса в hosts-файлах, если там нет — шлем запрос серверу.
MX записи и прочие я так полагаю тоже добавляются в конфиг dnsmasq?
Да, MX и прочие типы тоже, но все это лучше держать в отдельном файле
alozovskoy ★★★★★ ( 12.04.16 12:51:09 MSK )
Последнее исправление: alozovskoy 12.04.16 12:55:04 MSK (всего исправлений: 1)
Apr 12 13:26:30 dnsmasq[8960]: started, version 2.62 cachesize 150 Apr 12 13:26:30 dnsmasq[8960]: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack Apr 12 13:26:30 dnsmasq-dhcp[8960]: DHCP, IP range 192.168.0.10 -- 192.168.0.150, lease time 12h Apr 12 13:26:30 dnsmasq[8960]: reading /etc/resolv.conf Apr 12 13:26:30 dnsmasq[8960]: ignoring nameserver 192.168.0.5 - local interface Apr 12 13:26:30 dnsmasq[8960]: read /etc/hosts - 3 addresses Apr 12 13:27:15 dnsmasq[8960]: query[A] client from 192.168.0.5 Apr 12 13:27:15 dnsmasq[8960]: DHCP client is 192.168.0.134 Apr 12 13:27:20 dnsmasq[8960]: query[A] ast from 192.168.0.5 Попробую повторить Dnsmasq(dhcp & dns) настройка (комментарий)
Поясняю на пальцах, dhcp у вас раздается в диапазоне 192.168.0.10,192.168.0.150 соответственно если клиент подставляет свое имя то и dns у вас будет отвечать для этих адресов. 192.168.0.5 к этому диапазону не относиться он у вас прописан статиком, dnsmasq ничего о нем не знает и знать не должен. Далее dnsmasq заодно подгружает записи из hosts (если не запретить). Вот и все. Если вам нужна запись для 0.5 можите оставить правильную в hosts или прописать явно в конфиге dnsmasq.
Есть ли у dnsmasq подробный лог? Не тот который выдает DHCPREQUEST и т.п. Как очистить кэш в сервисе? Например, машина получила адрес по dhcp, 192.168.0.56, но пул адресов идет от 10 до 100. Почему не выдает 10, 11 и тд
log-queries
Log the results of DNS queries handled by dnsmasq.
When it receives a SIGHUP, dnsmasq clears its cache
Например, машина получила адрес по dhcp, 192.168.0.56, но пул адресов идет от 10 до 100. Почему не выдает 10, 11 и тд
Dnsmasq is designed to choose IP addresses for DHCP clients using a hash of the client’s MAC address.
Dnsmasq is designed to choose IP addresses for DHCP clients using a hash of the client’s MAC address.
А если мне не нужно делать привязку по МАС адресу. Собственно вопрос, почему не раздает адреса начиная с первого и далее по порядку.
When it receives a SIGHUP, dnsmasq clears its cache
т.е. при рестарте dnsmasq кэш автоматом чистится?
А если мне не нужно делать привязку по МАС адресу. Собственно вопрос, почему не раздает адреса начиная с первого и далее по порядку.
Тот же самый абзац целиком:
dhcp-sequential-ip
Dnsmasq is designed to choose IP addresses for DHCP clients using a hash of the client’s MAC address. This normally allows a client’s address to remain stable long-term, even if the client sometimes allows its DHCP lease to expire. In this default mode IP addresses are distributed pseudo-randomly over the entire available address range. There are sometimes circumstances (typically server deployment) where it is more convenient to have IP addresses allocated sequentially, starting from the lowest available address, and setting this flag enables this mode. Note that in the sequential mode, clients which allow a lease to expire are much more likely to move IP address; for this reason it should not be generally used.
т.е. при рестарте dnsmasq кэш автоматом чистится?
Да, кэш не хранится на диске.
Собственно еще появился вопрос. Как удалять А-записи? Если я например, делаю для машины привязку по Mac и делаю #dig client, то мне выдает A-запись с старым ip адресом.
Как удалять А-записи? Если я например, делаю для машины привязку по Mac и делаю #dig client, то мне выдает A-запись с старым ip адресом.
Либо подождать, пока аренда истечёт, либо отредактировать /var/lib/dnsmasq/dnsmasq.leases.
При ручном редактировании для применения изменений потребуется перезапуск сервиса, но можно воспользоваться утилитой dhcp_release из пакета dnsmasq-utils, и тогда перезапуск будет не нужен.
утилиту поставил, но не могу понять где найти dhcp_release?
Или утилита автоматом работает?
Роутер и проброс портов на Astra Linux «Смоленск»
Наша задача — настроить доступ в Интернет для внутренней сети.
Для этого в первую очередь открываем файл настроек сетевых интерфейсов /etc/network/interfaces
# nano /etc/network/interfaces
и зададим конфигурацию для внутренней сети:
auto eth1 iface eth1 inet static address 192.168.100.1 netmask 255.255.255.0 network 192.168.100.0 broadcast 192.168.100.255
Затем откроем файл /etc/sysctl.conf
и в нём раскомментируем строку:
После этого проверим статус запуска ufw
по умолчанию он будет отключён, поэтому включим его
Зададим правила файрволла по умолчанию
# ufw default deny incoming # ufw default allow outgoing # ufw default allow routed # ufw reload
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), allow (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere Anywhere on eth1 ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) Anywhere (v6) on eth1 ALLOW IN Anywhere (v6)
Далее переходим к файлу с правилами /etc/ufw/before.rules
в самом конце добавим строчки:
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE COMMIT
После этого перезапустим ufw методом отключения и включения
Теперь установим службу DNS и DHCP-серверов dnsmasq
скорее всего, после установки она будет активна.
Затем откроем файл конфигурации dnsmasq
и в самом конце файла пропишем такие строки:
domain-needed bogus-priv interface=eth1 resolv-file=/etc/resolv.conf dhcp-range=192.168.100.101,192.168.100.200,24h cache-size=150
Перезагрузим службу dnsmasq
# systemctl restart dnsmasq
и все изменения должны примениться.
Для проброса портов на машины в локальной сети необходимо открыть файл конфигурации правил
*nat :POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 1234 -j DNAT --to-destination 192.168.100.11:1234 -A PREROUTING -i eth0 -p udp --dport 5678 -j DNAT --to-destination 192.168.100.12:5678
Далее запустим команды ufw для проброса этих портов
# ufw allow proto tcp from any to 192.168.100.11 port 1234 # ufw allow proto udp from any to 192.168.100.12 port 5678
и перезагрузим службу ufw
В итоге последний раздел файла /etc/ufw/before.rules должен выглядеть примерно так:
*nat :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp --dport 1234 -j DNAT --to-destination 192.168.100.11:1234 -A PREROUTING -i eth0 -p udp --dport 5678 -j DNAT --to-destination 192.168.100.12:5678 -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE COMMIT
Готово! Теперь машина с ОС Astra Linux полноценно работает в режиме шлюза и маршрутизатора.