- DNS за натом,
 PavelR, 07:01 , 10-Июн-12 (1) +1 >Остаются варианты:
>1-2-3Исходя из моего понимания ваших размышлений, всё-таки сервер будет один.
Ну и зачем вам это надо? > Какие есть мысли по этому поводу?
> оставлять у регистратора основной днс не вариант. почему? помоему пока у вас нет понимания лучше это всё не трогать. > У меня два офиса, если добавить зону приходится править три
> раза в трёх офисах. Два офиса, три раза, три офиса. Что за бред? > В моих планах всё сделать по-человечески, и
> для этого днс надо перенести к себе, чтобы из него делать
> master. Как-то я сомневаюсь в том, что в данной фразе "сделать по-человечески" следует понимать как "сделать хорошо". Ну допустим вы "перенесли днс к себе, сделали из него мастер". Дальше-то что?
И в чем техническая проблема?
- DNS за натом, LSTemp, 18:53 , 13-Июн-12 (21)
>[оверквотинг удален]
>> раза в трёх офисах.
> Два офиса, три раза, три офиса. Что за бред?
>> В моих планах всё сделать по-человечески, и
>> для этого днс надо перенести к себе, чтобы из него делать
>> master.
> Как-то я сомневаюсь в том, что в данной фразе "сделать по-человечески" следует
> понимать как "сделать хорошо".
> Ну допустим вы "перенесли днс к себе, сделали из него мастер". Дальше-то
> что?
> И в чем техническая проблема?Вот когда техническая проблема возникнет, то ее локально можно будет решить (если она локальная), а не трепаться с ником по телефону 6-8 часов подряд без результата, выходя на ковер к начальнику каждые полчаса без вазелина. PS
это вообще по моему очевидно: лучше рулить всем, чем можешь (есть предел всем возможностям) самостоятельно, чем платить бабло на сторону и не знать что выйдет в результате.
- DNS за натом, crash, 18:17 , 10-Июн-12 (2)
> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс почему не вариант? Потому что вы не знаете как это сделать или потому что лень?
- DNS за натом, kasak, 22:17 , 10-Июн-12 (3)
>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
> почему не вариант? Потому что вы не знаете как это сделать или
> потому что лень?Потому что считаю что ни к чему грузить шлюз пробрасывать тысячи соединений. Прошу прощения за неясность, объясняю подробнее. Я работаю в фирме с двумя офисами. Ранее в офисе, где находится весь "внеший" функционал, т.е. сайт, почта, работал другой админ, но теперь его нет и оба офиса оказались в моём распоряжении. Фирма у нас имеет множество разных ресурсов, которые используются третьими лицами, соответсвенно мне нужно иногда создавать домены третьего уровня. И исходя из них делать виртуальные хосты, на шлюзах стоит nginx который разруливает http трафик на внутренние сервера. Но однажды я завёл ещё один хост и оказалось что ни мой днс, в моём офисе, ни тот что находится в удалённом офисе не является основным для зоны. Оказалось что всё это время поддержка днс покупалась у регистратора, и там уже редактировалась зона, после чего она же редактировалась на обоих локальных серверах, в обоих офисах (как я и сказал три раза)
Я не понимаю зачем имея свои сервера пользоваться чужими, однако размышляю есть ли способ сделать всё культурно не пробрасывая порт. Потому что это костыль.
- DNS за натом, PavelR, 12:25 , 11-Июн-12 (4)
> Оказалось что всё это время поддержка днс покупалась у регистратора, и там уже
> редактировалась зона, Большинство регистраторов предоставляют хостинг купленных у них зон на своих серверах бесплатно. Если вы думаете, что бесплатный сыр только в мышеловке, то я вам скажу, что ник.ру это та еще мышеловка, к тому же платная. Были случаи, когда их "географически разнесенные сервера" внезапно _разом_ переставали отвечать на запросы зон. > после чего она же редактировалась на обоих локальных серверах,
> в обоих офисах (как я и сказал три раза) ну это криво, можно настроить что оно правится у регистратора, а на локальные сервера приезжает автоматически.
> Я не понимаю зачем имея свои сервера пользоваться чужими
Вам виднее. > однако размышляю есть ли способ сделать всё культурно не пробрасывая порт. Потому что это костыль. да наздоровье.
- DNS за натом, Etch, 19:01 , 11-Июн-12 (5)
> Были случаи, когда их "географически разнесенные сервера" внезапно _разом_ переставали отвечать на запросы зон.А как часто такое было и сколько длилось по времени? А то я как раз недавно купил у них вторичные ДНС...
- DNS за натом, PavelR, 22:39 , 11-Июн-12 (6)
>> Были случаи, когда их "географически разнесенные сервера" внезапно _разом_ переставали отвечать на запросы зон.
> А как часто такое было и сколько длилось по времени? А то
> я как раз недавно купил у них вторичные ДНС...ну длилось час-полтора, было месяц или два назад. еще какой-то факт был еще более давно назад, в полгода где-то назад.
------
а самый кайф в том, что изменения зон(ы) применяются раз в четыре часа, и ты тупо отдыхаешь если тебе надо что-то сделать оперативно.
- DNS за натом, Аноним, 04:02 , 12-Июн-12 (8)
>>> Были случаи, когда их "географически разнесенные сервера" внезапно _разом_ переставали отвечать на запросы зон.
>> А как часто такое было и сколько длилось по времени? А то
>> я как раз недавно купил у них вторичные ДНС...
> ну длилось час-полтора, было месяц или два назад.
> еще какой-то факт был еще более давно назад, в полгода где-то назад. там ддосы бывают, когда днс-ы начинают заливать...
- DNS за натом, Etch, 22:55 , 12-Июн-12 (17)
> ------
> а самый кайф в том, что изменения зон(ы) применяются раз в четыре
> часа, и ты тупо отдыхаешь если тебе надо что-то сделать оперативно.А кого посоветуете на замену? Желательно из регистраторов, чтобы удобней было сразу всё оплачивать.
- DNS за натом, LSTemp, 18:36 , 13-Июн-12 (19)
>>> Были случаи, когда их "географически разнесенные сервера" внезапно _разом_ переставали отвечать на запросы зон.
>> А как часто такое было и сколько длилось по времени? А то
>> я как раз недавно купил у них вторичные ДНС...
> ну длилось час-полтора, было месяц или два назад.
> еще какой-то факт был еще более давно назад, в полгода где-то назад. к сожалению, это периодически (хоть и не часто) случается. > ------
> а самый кайф в том, что изменения зон(ы) применяются раз в четыре
> часа, и ты тупо отдыхаешь если тебе надо что-то сделать оперативно. оперативно не получится в любом случае - только со своими серверами на ошибки проверить - но это уже много. все равно изменения по кешам сторонних ДНС несколько часов расползаться будут.
тут даже просто больше мороки по времени будет с именами 3+ уровня, если мастер не у него. а вот это уже проблема для хостинга.
- DNS за натом, LSTemp, 19:03 , 13-Июн-12 (23)
>>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
>> почему не вариант? Потому что вы не знаете как это сделать или
>> потому что лень?
> Потому что считаю что ни к чему грузить шлюз пробрасывать тысячи соединений. бред.
дайте PPS на шлюз. проверка на вшивость.
>[оверквотинг удален]
> делать виртуальные хосты, на шлюзах стоит nginx который разруливает http трафик
> на внутренние сервера. Но однажды я завёл ещё один хост и
> оказалось что ни мой днс, в моём офисе, ни тот что
> находится в удалённом офисе не является основным для зоны. Оказалось что
> всё это время поддержка днс покупалась у регистратора, и там уже
> редактировалась зона, после чего она же редактировалась на обоих локальных серверах,
> в обоих офисах (как я и сказал три раза)
> Я не понимаю зачем имея свои сервера пользоваться чужими, однако размышляю есть
> ли способ сделать всё культурно не пробрасывая порт. Потому что это
> костыль. - DNS за натом, crash, 07:16 , 14-Июн-12 (28)
> Я не понимаю зачем имея свои сервера пользоваться чужими, однако размышляю есть
> ли способ сделать всё культурно не пробрасывая порт. Потому что это
> костыль.получается что большинство народу только через костыль и работает. Потом откуда взялось тысячу соединений? Каждый пользователь в сети будет ломиться именно к вашему ДНС? А оно ему надо?
- DNS за натом, BJ, 00:21 , 12-Июн-12 (7)
> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс Вариант кстати самый правильный.
- DNS за натом, Аноним, 04:09 , 12-Июн-12 (9)
>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
> Вариант кстати самый правильный.а что правильного? прокинет он порт и начнутся все запросы, в том числе идущие c/на резолвер, заруливаться на его внутренний днс...
- DNS за натом, PavelR, 07:21 , 12-Июн-12 (10)
>>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
>> Вариант кстати самый правильный.
> а что правильного? прокинет он порт и начнутся все запросы, в том
> числе идущие c/на резолвер, заруливаться на его внутренний днс...Вот еще анонимы тут умных вещей не говорили. Что прокинет, то и будет заруливаться.
- DNS за натом, LSTemp, 19:00 , 13-Июн-12 (22)
>>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
>> Вариант кстати самый правильный.
> а что правильного? прокинет он порт и начнутся все запросы, в том
> числе идущие c/на резолвер, заруливаться на его внутренний днс...а в чем отличие, если б этот ДНС наружу сразу бы смотрел?
не пойму никак - чем ты пугаеш?
- DNS за натом, kasak, 11:03 , 12-Июн-12 (11)
вобщем решил просто дать реальник на свободную сетевуху. Самый по-моему шикарный вариант
- DNS за натом, BJ, 11:16 , 12-Июн-12 (12)
- DNS за натом, kasak, 11:24 , 12-Июн-12 (13)
> Самый худший вариант...В начале темы я спрашивал какой вариант лучший. Почему вы считаете что пробросить порт лучше чем тупо дать реальник днсу?
- DNS за натом, BJ, 12:40 , 12-Июн-12 (14)
>> Самый худший вариант...
> В начале темы я спрашивал какой вариант лучший. Почему вы считаете что
> пробросить порт лучше чем тупо дать реальник днсу?Как сетевик придерживаюсь мнения что хост должен обладать одной точкой взаимодействия с сетью. Это просто логично. Второй сетевой картой вы превращаете свой dns в вырожденный маршрутизатор.
Да это будет работать, но до тех пор пока вы помните как это настраивали. Как только вы от этого отойдете или придет вам сменщик - конструкция будет уничтожена как "непонятная" А проброс порта стандартная, классическая и понятная задача для любого FW, начиная от вашего openbsd и кончая hi-end цисками.
- DNS за натом, anonymous, 14:29 , 12-Июн-12 (15)
>[оверквотинг удален]
>> В начале темы я спрашивал какой вариант лучший. Почему вы считаете что
>> пробросить порт лучше чем тупо дать реальник днсу?
> Как сетевик придерживаюсь мнения что хост должен обладать одной точкой взаимодействия с
> сетью. Это просто логично. Второй сетевой картой вы превращаете свой dns
> в вырожденный маршрутизатор.
> Да это будет работать, но до тех пор пока вы помните как
> это настраивали. Как только вы от этого отойдете или придет вам
> сменщик - конструкция будет уничтожена как "непонятная"
> А проброс порта стандартная, классическая и понятная задача для любого FW, начиная
> от вашего openbsd и кончая hi-end цисками.Полностью согласен. Сетевая карта на каждый "чих" это пионерия. Так любят делать доморощенные сетевики на "роутерах" с win xp.
- DNS за натом, kasak, 16:22 , 12-Июн-12 (16)
>[оверквотинг удален]
>> Как сетевик придерживаюсь мнения что хост должен обладать одной точкой взаимодействия с
>> сетью. Это просто логично. Второй сетевой картой вы превращаете свой dns
>> в вырожденный маршрутизатор.
>> Да это будет работать, но до тех пор пока вы помните как
>> это настраивали. Как только вы от этого отойдете или придет вам
>> сменщик - конструкция будет уничтожена как "непонятная"
>> А проброс порта стандартная, классическая и понятная задача для любого FW, начиная
>> от вашего openbsd и кончая hi-end цисками.
> Полностью согласен. Сетевая карта на каждый "чих" это пионерия. Так любят делать
> доморощенные сетевики на "роутерах" с win xp.как скажете. тогда просто проброшу порт. Благодарю за грамотную критику
- DNS за натом, LSTemp, 20:39 , 13-Июн-12 (24)
>>> Самый худший вариант...
>> В начале темы я спрашивал какой вариант лучший. Почему вы считаете что
>> пробросить порт лучше чем тупо дать реальник днсу?
> Как сетевик придерживаюсь мнения что хост должен обладать одной точкой взаимодействия с
> сетью. Это просто логично. Второй сетевой картой вы превращаете свой dns теперь, как сетевик скажите, какое оборудование по Вашему мнению следует использовать в идеале и в какую копейку это встанет. и не надо фуфить про d-link-и пользовательского уровня, который нормальным экраном работать никак не может. > в вырожденный маршрутизатор. уже ли так все сурово? может тогда шнур питания из компа выдернуть если на нем больше одного сетевого подключения возможно (а если уж две сетевые карты - то молотком по нему. сразу!!!)? > Да это будет работать, но до тех пор пока вы помните как
> это настраивали. Как только вы от этого отойдете или придет вам
> сменщик - конструкция будет уничтожена как "непонятная" а когда он уйдет, то какое ему дело до этого? или Вы на каждом своем выходе на "задание" строите сеть, в которой все идеально и в ней каждый пенек после Вашего ухода разберется? не надо красивых слов. > А проброс порта стандартная, классическая и понятная задача для любого FW, начиная
> от вашего openbsd и кончая hi-end цисками. кто бы спорил... однако это неоспоримое утверждение никак не является абсолютным и бесспорным решением поставленной задачи. PS
аргументы по поддержке предложенному Вами решению - никакие. полный слив.
- DNS за натом, anonymous, 21:49 , 13-Июн-12 (27)
> PS
> аргументы по поддержке предложенному Вами решению - никакие. полный слив.Угу. А тут всё сообщение это бесспорные аргументы от мага сети. Особенно про "слив")
- DNS за натом, LSTemp, 20:46 , 13-Июн-12 (25)
>>> Самый худший вариант...
>> В начале темы я спрашивал какой вариант лучший. Почему вы считаете что
>> пробросить порт лучше чем тупо дать реальник днсу?
> Как сетевик придерживаюсь мнения что хост должен обладать одной точкой взаимодействия с
> сетью. Это просто логично. Второй сетевой картой вы превращаете свой dns
> в вырожденный маршрутизатор.или сервер, обслуживающий несколько сетей, который надо бы по идеее в ДМЗ, но опять - огласите затраты. > Да это будет работать, но до тех пор пока вы помните как
> это настраивали. Как только вы от этого отойдете или придет вам
> сменщик - конструкция будет уничтожена как "непонятная"
> А проброс порта стандартная, классическая и понятная задача для любого FW, начиная
> от вашего openbsd и кончая hi-end цисками.
- DNS за натом, LSTemp, 20:48 , 13-Июн-12 (26)
> Самый худший вариант...а по моему тоже шикарный )
и самый дешевый.
- DNS за натом, LSTemp, 18:26 , 13-Июн-12 (18) –1
>[оверквотинг удален]
> 2) Включить родной named встроенный в openbsd в режиме forward но в
> таком случае я не знаю как сделать трансфер для зоны (зона
> ру требует хотя бы двух днс)
> 3) Организовать обычный dns master и делать всё исходя из него, вариант
> хорош, однако шлюз я хотел оставить шлюзом.
> Какие есть мысли по этому поводу? оставлять у регистратора основной днс не
> вариант. У меня два офиса, если добавить зону приходится править три
> раза в трёх офисах. В моих планах всё сделать по-человечески, и
> для этого днс надо перенести к себе, чтобы из него делать
> master.1)
сколько белых адресов есть (на всех серверах, к которым Вы имеете доступ)? для Ваших задач требуется как минимум 2-а. 2)
в какой зоне домен? от support@nic.ru:
"
вопрос:
когда отменили ограничение, что два (минимум для регистрации и
поддержки домена) сервера, обслуживающие одну зону должны быть в
разных сетях класса С? Для доменов второго уровня в зоне RU - в 2005 году.
"
если в зоне ru - возьмите еще белый ИП у прова (в той же сети класса С) и поднимите алиас на внешнем интерфейсе - будет Вам второй ДНС. PS
для тех кто в танке: когда все сервисы домена крутятся на одном серваке (и ДНС в том числе), наличие резервного ДНС проблему доступа к сервисам не решает. резервный ДНС нужен только при наличии резервных серверов для обслуживания сервиса.
- DNS за натом, LSTemp, 18:42 , 13-Июн-12 (20)
>[оверквотинг удален]
> году.
> "
> если в зоне ru - возьмите еще белый ИП у прова (в
> той же сети класса С) и поднимите алиас на внешнем интерфейсе
> - будет Вам второй ДНС.
> PS
> для тех кто в танке: когда все сервисы домена крутятся на одном
> серваке (и ДНС в том числе), наличие резервного ДНС проблему доступа
> к сервисам не решает. резервный ДНС нужен только при наличии резервных
> серверов для обслуживания сервиса.еще раз перечитал Ваш пост - Вы в зоне ru. Все что Вам надо - это 2-а белых IP - подойдут даже 2-а в одной сети класса C (фактически только на время тестирования серверов - можете попросить друзей на время помочь - потом второй сервер совершенно спокойно может сдохнуть и перестать выполнять свои функции).
- DNS за натом, PavelR, 08:59 , 14-Июн-12 (29)
> PS
> для тех кто в танке: когда все сервисы домена крутятся на одном
> серваке (и ДНС в том числе), наличие резервного ДНС проблему доступа
> к сервисам не решает. резервный ДНС нужен только при наличии резервных
> серверов для обслуживания сервиса.Для тех кто пытается быть против танкистов: - допустим у нас зона DNS сведена в одну точку отказа - в один сервер или пусть даже два, но "в одной сети класса С", т.е. на одном провайдере/шнурке и т п (это требование про "разные сети класса С" на самом деле надо было читать как "два сервера в _разных сетях_ / провайдерах/подключениях и т д ). - теперь, внезапно, приключается беда, и наш DNS-сервер или даже два сервера - они ж рядом - становятся недоступными для "мира" - теперь ваш _домен_ _не существует_, и например попытка отправить почту к вам может привести к сообщению у отправителя "домен получателя не существует", или наоборот, вы из других мест попытаетесь отправить почту - а кто-то может её и не принять, поскольку "домен отправителя не существует". Если бы домен поддерживался каким-то из DNS то почта бы тупо встала в очередь и была бы доставлена по разрешению проблем.
- DNS за натом, BJ, 10:06 , 14-Июн-12 (30)
- DNS за натом, LSTemp, 16:24 , 15-Июн-12 (32)
>[оверквотинг удален]
> как "два сервера в _разных сетях_ / провайдерах/подключениях и т д
> ).
> - теперь, внезапно, приключается беда, и наш DNS-сервер или даже два сервера
> - они ж рядом - становятся недоступными для "мира"
> - теперь ваш _домен_ _не существует_, и например попытка отправить почту
> к вам может привести к сообщению у отправителя "домен получателя не
> существует", или наоборот, вы из других мест попытаетесь отправить почту -
> а кто-то может её и не принять, поскольку "домен отправителя не
> существует". Если бы домен поддерживался каким-то из DNS то почта бы
> тупо встала в очередь и была бы доставлена по разрешению проблем. тут я "протанковал/пробуксовал" - каюсь ). увольняюсь из танкистов ). Советы были даны с целью наиболее быстро перенести мастера на свой сервак. Слейв снаружи иметь конечно необходимо для нормальной работы.
|
Версия для распечатки
DNS за натом, 
