kurych Сообщения

kurych	# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Во первых, сеть 11/8 вы как-то опрометчиво выбрали. Во-первых, для сетей за NAT-ом выделены специальные "серые" диапозоны, а во-вторых, клиентский компьютер внутри сети будет считать, что все эти адреса находятся в локалке и не будет пересылать пакеты шлюзу. Но это ваши проблемы конкретно с этой подсетью... А по сути дела следующий вопрос: настройки настройками, а реально резолвятся адреса? То есть, если открыть окошко CMD (или что там в современной винде?) вы можете пинговать что-то по имени? Покажите, как работают команды `ping 8.8.8.8 ping www.google.ru tracert 8.8.8.8`

# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)

Сообщения: 1394

Участник с: 06 ноября 2011

Во первых, сеть 11/8 вы как-то опрометчиво выбрали. Во-первых, для сетей за NAT-ом выделены специальные "серые" диапозоны, а во-вторых, клиентский компьютер внутри сети будет считать, что все эти адреса находятся в локалке и не будет пересылать пакеты шлюзу. Но это ваши проблемы конкретно с этой подсетью...
А по сути дела следующий вопрос: настройки настройками, а реально резолвятся адреса? То есть, если открыть окошко CMD (или что там в современной винде?) вы можете пинговать что-то по имени?
Покажите, как работают команды

ping 8.8.8.8
ping www.google.ru
tracert 8.8.8.8

kurych	# 4 года, 1 месяц назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Убедитесь, что на клиентской машине у вас шлюз по умолчанию присутствует и работает разрешение имен.

kurych	# 4 года, 1 месяц назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	cucullus, Вот я даже погорячился и написал, что может быть ip адрес указан. На самом деле, согласно RFC1035, в NS записи может быть указано только доменное имя сервера, которому делегируется зона (первичный или вторичный). И вот это доменное имя сервера обязательно должно иметь A запись. You can delegate sub-names of your own domain name (such as "subname.example.com") to other DNS servers the same way. To delegate "subname.example.com", create NS-records for "subname.example.com" in the "example.com" zone. These NS-records must point to the DNS server responsible for "subname.example.com", for example, "ns1.subname.example.com" - or a DNS server somewhere else like "ns1.othername.net". An NS-record identifies the name of a DNS server - not the IP-address. Because of this, it is important that an A-record for the referenced DNS server exists (not necessarily on your DNS server, but wherever it belongs), otherwise there may not be any way to connect with that DNS server. If an NS-record delegates a sub-name ("subname.example.com") to a DNS server with a name in that sub-name ("ns1.subname.example.com"), an A-record for that server (""ns1.subname.example.com") must exist in the parent zone ("example.com"). This A-record is called a "glue record", because it doesn't really belong in the parent zone, but is necessary to locate the DNS server for the delegated sub-name. То есть, если имя DNS сервера находится в субдомене, который как раз и делегируется, то в родительской зоне прописывают для него еще и A запись. Проблема с CNAME может возникнуть в случае, если вы хотите не сами администрировать зону для своего субдомена, а привлекаете для этого кого-то, стороннего. В случае профессионального провайдера услуг менше вероятности на это нарваться, а если это просто ваш друг... Словами долго, попробую пример: В родительской зоне vasya.pupkins.ru. IN NS ns-vasya.vash-drug.ru. А у вашего друга в его конфигурации уже есть запись vash-drug.ru. IN A 1.2.3.4 ns.vash-drug.ru. IN A 1.2.3.4 и для вашей записи он сделал ns-vasya.vash-drug.ru. IN CNAME ns.vash-drug.ru. ;;; что не правильно, здесь нужна A record А то бывают деятели, которые и для своей ns.vash-drug.ru. пропишут CNAME на vash-drug.ru. Дык вот... На практике это может даже работать нормально, все может резолвиться правильно. Мы давным-давно пробовали с named. Но это не обязано работать и может не работать в другой реализации. А может и в более свежих релизах. Так как в RFC1035 требования однозначны. Ну и раньше, если домен регистрировался в RIPE, они в обязательном порядке тестировали соответствие конфигурации вашей зоны стандартам, а сейчас, как я понимаю, когда это отдали всяким коммерческим отечественным структурам, это делается только по желанию клиента.

kurych

# 4 года, 1 месяц назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

cucullus, Вот я даже погорячился и написал, что может быть ip адрес указан. На самом деле, согласно RFC1035, в NS записи может быть указано только доменное имя сервера, которому делегируется зона (первичный или вторичный). И вот это доменное имя сервера обязательно должно иметь A запись.

You can delegate sub-names of your own domain name (such as "subname.example.com") to other DNS servers the same way.

To delegate "subname.example.com", create NS-records for "subname.example.com" in the "example.com" zone.

These NS-records must point to the DNS server responsible for "subname.example.com", for example, "ns1.subname.example.com" - or a DNS server somewhere else like "ns1.othername.net".

An NS-record identifies the name of a DNS server - not the IP-address.

Because of this, it is important that an A-record for the referenced DNS server exists (not necessarily on your DNS server, but wherever it belongs), otherwise there may not be any way to connect with that DNS server.

If an NS-record delegates a sub-name ("subname.example.com") to a DNS server with a name in that sub-name ("ns1.subname.example.com"), an A-record for that server (""ns1.subname.example.com") must exist in the parent zone ("example.com").

This A-record is called a "glue record", because it doesn't really belong in the parent zone, but is necessary to locate the DNS server for the delegated sub-name.

То есть, если имя DNS сервера находится в субдомене, который как раз и делегируется, то в родительской зоне прописывают для него еще и A запись.

Проблема с CNAME может возникнуть в случае, если вы хотите не сами администрировать зону для своего субдомена, а привлекаете для этого кого-то, стороннего. В случае профессионального провайдера услуг менше вероятности на это нарваться, а если это просто ваш друг... Словами долго, попробую пример:

В родительской зоне
vasya.pupkins.ru. IN NS ns-vasya.vash-drug.ru.

А у вашего друга в его конфигурации уже есть запись
vash-drug.ru. IN A 1.2.3.4
ns.vash-drug.ru. IN A 1.2.3.4

и для вашей записи он сделал
ns-vasya.vash-drug.ru. IN CNAME ns.vash-drug.ru. ;;; что не правильно, здесь нужна A record

А то бывают деятели, которые и для своей ns.vash-drug.ru. пропишут CNAME на vash-drug.ru.

Дык вот... На практике это может даже работать нормально, все может резолвиться правильно. Мы давным-давно пробовали с named. Но это не обязано работать и может не работать в другой реализации. А может и в более свежих релизах. Так как в RFC1035 требования однозначны.
Ну и раньше, если домен регистрировался в RIPE, они в обязательном порядке тестировали соответствие конфигурации вашей зоны стандартам, а сейчас, как я понимаю, когда это отдали всяким коммерческим отечественным структурам, это делается только по желанию клиента.

kurych	# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	vasek, вы вообще в другую область полезли. Мне лень вести дискуссию обо всем этом, тем более, как я понимаю, ТС получил ответ на свой вопрос. Но, в последний раз, попробую на пальцах... Есть семья Пупкиных, папа- хозяин, мама, куча родственников, в том числе, допустим, сын-гик. Папа в RIPE регистрирует домен pupkins.ru. Вот права на этот домен вы можете увидеть с помощью whois. Далее ему надо этот домен где-то поддерживать. Вот тут он может привлечь либо провайдера (привет Velesich) , либо поставить в кладовке свой говно-сервер с постоянным доступом в интернет и белым постоянным IP адресом. Или найти для этих же целей какой-нибудь дешевый VPS. Тут главное чтобы постоянный доступ из инета и постоянный IP. После этого он может создавать любые домены типа mama.pupkins.ru, my-dog.pupkins.ru, shvabra.kladovka.pupkins.ru и т.п. Тут приходит сын и говорит, что хочет доменом vasya.pupkins.ru управлять сам. В зависимости от сложившихся взаимоотношений папа может либо просто сказать: "ОК, давай адрес своего сервера dns, я все сделаю", или они заключат договор на семейном бланке, заверенном нотариусом. Тем не менее, ни в том, ни в другом случае это уже никак не будет отражаться в базе RIPE и утилитой whois. Папа просто прописывает записи типа NS в зоне pupkins.ru для домена vasya.pupkins.ru, которые указывают на dns-сервер, указанный сыном Васей. И после этого Вася уже может на своем сервере создавать домены типа vodka.vasya.pupkins.ru, video-cam.okno-vo-dvor.vasya.pupkins.ru и т.п. И вот то, что отец сдержал слово и не забыл ничего настроить, можно посмотреть запросом на существование NS записей для домена vasya.pupkins.ru `dig vasya.pupkins.ru ns` Если вернет пустую запись, отец жлоб и не держит слово. Ну и по стандартам, NS запись не должна указывать на CNAME. Адрес в запись NS должен быть либо доменным именем, имеющим запись A (AAAA), или IP адресом. (На практике возможно в зависимости отреализации, будет работать и с CNAME, но не факт). Но это уже, в общем-то, головная боль сына Васи, так как все, что касается определений в зоне vasya.pupkins.ru уже в его ответственности. То есть, на сервере папы касательно домена vasya.pupkins.ru должны быть исключительно записи NS, отправляющие всех на DNS-сервер, выбранный Васей. Ну вот как-то так. Больше мне нечего добавить.

kurych

# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

vasek, вы вообще в другую область полезли. Мне лень вести дискуссию обо всем этом, тем более, как я понимаю, ТС получил ответ на свой вопрос.
Но, в последний раз, попробую на пальцах...
Есть семья Пупкиных, папа- хозяин, мама, куча родственников, в том числе, допустим, сын-гик.
Папа в RIPE регистрирует домен pupkins.ru. Вот права на этот домен вы можете увидеть с помощью whois.
Далее ему надо этот домен где-то поддерживать. Вот тут он может привлечь либо провайдера (привет Velesich) , либо поставить в кладовке свой говно-сервер с постоянным доступом в интернет и белым постоянным IP адресом. Или найти для этих же целей какой-нибудь дешевый VPS. Тут главное чтобы постоянный доступ из инета и постоянный IP.
После этого он может создавать любые домены типа mama.pupkins.ru, my-dog.pupkins.ru, shvabra.kladovka.pupkins.ru и т.п.
Тут приходит сын и говорит, что хочет доменом vasya.pupkins.ru управлять сам. В зависимости от сложившихся взаимоотношений папа может либо просто сказать: "ОК, давай адрес своего сервера dns, я все сделаю", или они заключат договор на семейном бланке, заверенном нотариусом. Тем не менее, ни в том, ни в другом случае это уже никак не будет отражаться в базе RIPE и утилитой whois.
Папа просто прописывает записи типа NS в зоне pupkins.ru для домена vasya.pupkins.ru, которые указывают на dns-сервер, указанный сыном Васей. И после этого Вася уже может на своем сервере создавать домены типа vodka.vasya.pupkins.ru, video-cam.okno-vo-dvor.vasya.pupkins.ru и т.п.
И вот то, что отец сдержал слово и не забыл ничего настроить, можно посмотреть запросом на существование NS записей для домена vasya.pupkins.ru

dig vasya.pupkins.ru ns

Если вернет пустую запись, отец жлоб и не держит слово.
Ну и по стандартам, NS запись не должна указывать на CNAME. Адрес в запись NS должен быть либо доменным именем, имеющим запись A (AAAA), или IP адресом. (На практике возможно в зависимости отреализации, будет работать и с CNAME, но не факт). Но это уже, в общем-то, головная боль сына Васи, так как все, что касается определений в зоне vasya.pupkins.ru уже в его ответственности.
То есть, на сервере папы касательно домена vasya.pupkins.ru должны быть исключительно записи NS, отправляющие всех на DNS-сервер, выбранный Васей.

Ну вот как-то так. Больше мне нечего добавить.

kurych	# 4 года, 1 месяц назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Velesich В принципе вы можете договориться с провайдером что свою зону будете вести сами Причем здесь провайдер? Провайдер в лучшем случае может оказывать услуги по поддержанию вашего субдомена на своем DNS-сервере, но делегировать этот субдомен вам все равно должен владелец/администратор основного домена.

kurych

# 4 года, 1 месяц назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Velesich
В принципе вы можете договориться с провайдером что свою зону будете вести сами

Причем здесь провайдер? Провайдер в лучшем случае может оказывать услуги по поддержанию вашего субдомена на своем DNS-сервере, но делегировать этот субдомен вам все равно должен владелец/администратор основного домена.

kurych	# 4 года, 2 месяца назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Можно только посмотреть, настроено ли делегирование. Для этого надо запросить записи NS. Типа `$ drill apple.org.ru ns ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 5399 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;; apple.org.ru. IN NS ;; ANSWER SECTION: apple.org.ru. 599 IN NS ns3.timeweb.org. apple.org.ru. 599 IN NS ns4.timeweb.org. apple.org.ru. 599 IN NS ns2.timeweb.ru. apple.org.ru. 599 IN NS ns1.timeweb.ru.` Мы видим, что домен apple.org.ru делегирован владельцу DNS серверов nsX.timeweb.org. И уже владелец этих серверов может вносить изменения в зону apple.org.ru

kurych

# 4 года, 2 месяца назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Можно только посмотреть, настроено ли делегирование.
Для этого надо запросить записи NS. Типа

$ drill apple.org.ru ns
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 5399
;; flags: qr rd ra ; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; apple.org.ru.        IN      NS

;; ANSWER SECTION:
apple.org.ru.   599     IN      NS      ns3.timeweb.org.
apple.org.ru.   599     IN      NS      ns4.timeweb.org.
apple.org.ru.   599     IN      NS      ns2.timeweb.ru.
apple.org.ru.   599     IN      NS      ns1.timeweb.ru.

Мы видим, что домен apple.org.ru делегирован владельцу DNS серверов nsX.timeweb.org. И уже владелец этих серверов может вносить изменения в зону apple.org.ru

kurych	# 4 года, 2 месяца назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Без обращения к админу вы этого не узнаете, потому что админ должен будет либо прописать эти поддомены у себя в зонах, либо в конфигурации сервера прописать делегирование этих поддоменов на ваш собственный сервер.

kurych	# 4 года, 2 месяца назад (отредактировано 4 года, 2 месяца назад)
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Если коммутатор, к которому подключены компьютеры из разных подсетей, неуправляемый, и домены L2 не разделены на VLAN, то на вашем доступном хосте, например 192.168.3.10, нужно добавить алиас (в терминологии ifconfig) или просто второй IP адрес из той другой подсети. Допустим, в 192.168.5.0/24 есть не занятый адрес 192.168.5.253, тогда на компьютере с адресом 192.168.3.10 можно сказать `ip a add 192.168.5.253/24 dev eth0` где eth0, естественно, заменить на реальный интерфейс, на котором уже стоит тот самый 192.168.3.10. Если же сеть коммутатор "умный" и сеть поделена на VLANы, то все зависит от кривизны рук того, кто его настраивал. Надо знать конфигурацию коммутатора. В любом случае, общий вывод такой: чтобы иметь доступ в оба сегмента, необходимо в сети иметь хост, смотрящий в оба сегмента. И да, как одно из решений, можно применить способ, предложенный nafanja, но при определенных условиях можно словить проблему с доступом в другие сети на этом компе.

kurych

# 4 года, 2 месяца назад (отредактировано 4 года, 2 месяца назад)

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Если коммутатор, к которому подключены компьютеры из разных подсетей, неуправляемый, и домены L2 не разделены на VLAN, то на вашем доступном хосте, например 192.168.3.10, нужно добавить алиас (в терминологии ifconfig) или просто второй IP адрес из той другой подсети.
Допустим, в 192.168.5.0/24 есть не занятый адрес 192.168.5.253, тогда на компьютере с адресом 192.168.3.10 можно сказать

ip a add 192.168.5.253/24 dev eth0

где eth0, естественно, заменить на реальный интерфейс, на котором уже стоит тот самый 192.168.3.10.
Если же сеть коммутатор "умный" и сеть поделена на VLANы, то все зависит от кривизны рук того, кто его настраивал. Надо знать конфигурацию коммутатора.
В любом случае, общий вывод такой: чтобы иметь доступ в оба сегмента, необходимо в сети иметь хост, смотрящий в оба сегмента.
И да, как одно из решений, можно применить способ, предложенный nafanja, но при определенных условиях можно словить проблему с доступом в другие сети на этом компе.

kurych	# 4 года, 2 месяца назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Если бы не было переходов на зимнее-летнее время, то без разницы, как и где часы выставлять, главное - одинаково. А вот в связи с сезонными переводами стрелок лучше хардварные часы ставить в UTC, потому что BIOS понятия не имеет о зонах и т.п. и не станет сам переводить время, а операционная система, основываясь на установленных параметрах TZ, сделает это вовремя и соответствующим образом.

kurych

# 4 года, 2 месяца назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Если бы не было переходов на зимнее-летнее время, то без разницы, как и где часы выставлять, главное - одинаково.
А вот в связи с сезонными переводами стрелок лучше хардварные часы ставить в UTC, потому что BIOS понятия не имеет о зонах и т.п. и не станет сам переводить время, а операционная система, основываясь на установленных параметрах TZ, сделает это вовремя и соответствующим образом.

kurych	# 4 года, 3 месяца назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	https://www.ibm.com/developerworks/ru/library/l-lpic1-v3-104-6/index.html https://younglinux.info/bash/link.php