[ashota]

У меня все точно так же сделано, кроме VPN.

Цитата kyzmi4:

Помогите определится с NAT. »

Для NAT использую ipfw

Цитата kyzmi4:

Нужен ли кеширющий ДНС, если есть прокси? »

Если все только и лезут в инет через прокси, тогда и в принципе не нужен. Но у тебя есть DHCP. А в связке в DDNC очень даже приятная вещь!

[kyzmi4]

Да, есть DHCP. Щас пытаюсь настроить DDNS. Обложен весь книжками и сотни открытых вкладок. Второй день бьюсь, но никак =\ В книжке написанно настраиваешь ДНС, потом типа делаешь nslookup ya.ru на машине с FreeBSD и приходит ответ Server: my_domain; Address: 127.0.0.1#53; Non-authoritative answer: Other servers. Ну вот не хочет.

Кстати веду блог по моим мучениям http://kyzmi4-freebsd.livejournal.com/

[dmitryst]

По пунктам

Цитата kyzmi4:

1) Помогите определится с NAT. 2) Нужен ли кеширющий ДНС, если есть прокси? 3) При VPN подключении к серверу создается еще один интерфейс, как с этим справится фаер или же в нем можно будет указать список интерфейсов, а не по одному прописывать. (Вопросом еще не занимался, не гуглил) 4) На Сквиде морда Самс, а на Нате как вести статистику? »

1 - В связке ipfw+natd все работает отлично. Будете использовать pf - у него есть своя команда маскарадинга прямо внутри фаерволла (не интересовался, ибо классический вариант устраивает на 100%)
2 - я поставил pdnsd (есть в портах) - маленький, шустрый, без простыней конфигов. Работает отлично.

3 - VPN не использую, использую статику, т.к. так рапределять кто ВИП, а кто негр - проще. Раделение доступа к ресурсам через фаер или SQUID, причем в последнем можно даже по расписанию (типа всем везде можно в воскресенье и в субботу после 5 вечера, удобно)

4 - зачем? на НАТе? статистику? Хотите знать всё - tcpdump дампите и смотрите, смотрите, смотрите... очень долго смотрите ...

[kyzmi4]

tcpdump, это да хорошо. Но не получается у моего мозга обрабатывать такое количество информации бегущей строкой (кто то наверно скажет про опцию -w tcpdump).
Всетаки не могу немного разобратся с DNS.
По моему мнению что я хочу пока добится:
1.) 127.0.0.1 переводится в inet.fms
2.) inet.fms переводится в 127.0.0.1
Подключаю виндовую машину получаю IP 192.168.1.10, делаю nslookup 127.0.0.1 192.168.1.1 получаю:
*** Can´t find server name for address 192.168.1.1: Non-existent domain # Оно и понятно, 192.168.1.1 я не настраивал еще зону
Server: UnKnown
Address: 192.168.1.1

Name: inet.fms
Address: 127.0.0.1

Но вот когда я делаю ping inet.fms, не удалось обнаружить узел, хотя поидеи должен меня пропинговать.

Мои догадки это то что надо настоить zone inet.fms.

Конфиги:
named.conf

PHP код:

options {
    directory    "/etc/namedb/working";
    pid-file    "/var/run/named/pid";
    dump-file    "/var/dump/named_dump.db";
    statistics-file    "/var/stats/named.stats";
    listen-on { 127.0.0.1; 192.168.1.1; }; 
        forward first;
    forwarders {
        21x.45.0.3;
        21x.45.2.5;
        8x.245.145.6;
    };
query-source address * port 59;
};

zone "." {
 type hint;
  file "/etc/namedb/named.root";
   };
zone "0.0.127.in-addr.arpa" {
 type master;
  file "/etc/namedb/master/localhost.rev";
   };
/*
zone "inet.fms" {
 type master;
  file "/etc/namedb/master/inetfms.db";
   };
zone "1.168.192.in-addr.arpa" {
 type master;
  file "/etc/namedb/master/192168.db";
   };
*/ 

localhost.rev

PHP код:

$TTL 3600
@ IN SOA inet.fms. root.inet.fms. (
2011032900  ;Serial
3600        ;Refresh
900         ;Retry
3600000     ;Expire
3600 )      ;Minimum
  IN NS inet.fms.
1 IN PTR inet.fms.
inet.fms. IN A 127.0.0.1 

rc.conf

PHP код:

hostname="inet.fms"
keymap="ru.koi8-r.win"
font8x8="koi8-r-8x8"
font8x14="koi8-r-8x14"
font8x16="koi8-r-8x16"
keyrate="fast"
defaultrouter="21x.100.148.53"
sshd_enable="YES"
named_enable="YES"
ifconfig_fxp0="inet 21x.100.148.54  netmask 255.255.255.252"
ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_ifaces="xl0" 

[dmitryst]

Цитата kyzmi4:

tcpdump, это да хорошо. Но не получается у моего мозга обрабатывать такое количество информации бегущей строкой (кто то наверно скажет про опцию -w tcpdump). »

это был здоровый сарказм . Ну зачем весь ВЕСЬ траффик, объясните? Для нормальной жизни админа достаточно смотреть логи/статистику SQUID (это http - кто что откуда сколько качал, я пользовался lightsquid), что-нибудь на ftp (topftp или утилиту статистики какую), остальной траффик смотрим iftop-ом или trafshow.
Насчет ДНС - я не понял, вам именно полноценный ДНС нужен? Нужно держать имя для белого IP? Или просто чтобы "всё работало"?

[kyzmi4]

Цитата dmitryst:

Ну зачем весь ВЕСЬ траффик, объясните? »

Параноидальный вуеризм

Цитата dmitryst:

Насчет ДНС - я не понял, вам именно полноценный ДНС нужен? Нужно держать имя для белого IP? Или просто чтобы "всё работало"? »

Да, полноценный ДНС, точнее ДДНС. Чтобы к имени компа еще прикручивался домен. Имя для белого IP нет (хотяяя, ну это в будующем). С моими конфигами почему не форвардится inet.fms в 127.0.0.1, товарищ телепат?

P.S. Целый день пытался впихнуть в видеорегистратор 1996 года с IDE HDD, жесткий SATA через переходник SATA -> IDE, не прокатило. Так и не занимался ДДНС, догадываюсь что объема прочитанного достаточно для настройки, но вот не хватает малюсенького пинка С горя заказал себе книгу ¨DNS и BIND¨.

[dmitryst]

Цитата kyzmi4:

Да, полноценный ДНС, точнее ДДНС. »

тут я вам не помощник.

Цитата kyzmi4:

почему не форвардится inet.fms в 127.0.0.1, товарищ телепат? »

товарищ коллега, для начала покажите ваш /etc/hosts (вообще, туда-то и надо добавить 127.0.0.1 inet.fms)

Жёсткий оффтоп!

Цитата kyzmi4:

P.S. Целый день пытался впихнуть в видеорегистратор 1996 года с IDE HDD, жесткий SATA через переходник SATA -> IDE, не прокатило. »

у нас продается вот такая кака http://ultra.ge/product_details_eng...._products=3974. С ней работает почти все, где я ее применял. Там чип JB36х, типа стандартный, видится из биоса и прекрасно загружается. Насчет регистратора не знаю.

[kyzmi4]

Ну вообщем я его победил. Все всем выдается, получается и обновляется.

/etc/hosts

PHP код:

127.0.0.1 localhost 

Волнует меня только то, что команда dig @127.0.0.1 localhost. a не выдает ответа =\


Жёсткий оффтоп!
P.S. Выглядит также переходник, только чип на нем JM20330. Терзают мутные сомнения что диск SATA II, а переходник SATA -> IDE.

[ashota]

У меня сделано так:
1) в файрволе открыл доступ все ко всем по 53 порту
2) файл hosts

Код:

::1                     localhost localhost.*****ru                       
127.0.0.1               localhost localhost.*****.ru                       
192.168.3.254           ****.ru ******                                 
192.168.3.254           *****.ru.

Ну вместо звездочек свой домен
3) конф файл dhcpd.conf

Код:

ddns-update-style interim;                                                     
                                                                               
default-lease-time 14400;                                                      
max-lease-time 16200;                                                          
authoritative;                                                                 
                                                                               
log-facility local7;                                                           
                                                                               
subnet 192.168.3.0 netmask 255.255.255.0 {                                     
        range 192.168.3.1 192.168.3.100;                                       
        option routers 192.168.3.254;                                          
        option ntp-servers 192.168.3.254;                                      
        option subnet-mask 255.255.255.0;                                      
        option domain-name "******.ru";                                     
        option domain-name-servers 192.168.3.254, DNS провайдера
}                                                                              
                                                                               
key DHCP_UPDATER {                                                             
        algorithm HMAC-MD5;                                                    
        secret "секретный ключ";                                     
}; 
zone 3.168.192.in-addr.arpa.{
primary 127.0.0.1;
key DHCP_UPDATER;
}
zone *****.ru.{
primary 127.0.0.1;
key DHCP_UPDATER;
}

файл named.conf

Код:

acl "corpnets" { 192.168.3.0/24; 192.168.10.0/24; 127.0.0.1; };                
                                                                               
options {                                                                      
        // Relative to the chroot directory, if any                            
        directory       "/etc/namedb";                                         
        pid-file        "/var/run/named/pid";                                  
        dump-file       "/var/dump/named_dump.db";                             
        statistics-file "/var/stats/named.stats";                              
        version "Xren vam";                                                    
        max-cache-size 100M;                                                   
                                                                               
        listen-on {127.0.0.1; 192.168.3.254;};                                 
                                                                               
        allow-query { "corpnets"; };                                           
        allow-recursion { "corpnets"; };                                       
        allow-transfer { "corpnets"; };                                        
};                                                                             
                                                                               
key DHCP_UPDATER {                                                             
        algorithm HMAC-MD5;                                                    
        secret "тот же самый секретный ключ";                                     
}; 
zone "." {
        type hint;
        file "named.root";
};
 
zone "0.0.127.IN-ADDR.ARPA"  {
        type master;
        file "dynamic/localhost.rev";
};
 
zone "********.ru" {
        type master;
        file "dynamic/*****";
        allow-update { key DHCP_UPDATER; };
};
 
 
zone "3.168.192.in-addr.arpa" {
        type master;
file "dynamic/localnet.rev";
        allow-update { key DHCP_UPDATER; };
};
 
# Use with the following in named.conf, adjusting the allow list as needed:
 key "rndc-key" {
        algorithm hmac-md5;
        secret "тот же самый секретный ключ";
};
 
        controls {
        inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};

в директорию, куда я разместил файлы зон, на него должно быть права на пользователя и группы bind. Еще раз повторюсь, вместо звездочек, свой домен, а секретный ключ можно сгененрировать или создать сам. Да еще нужно создать файл, там же где named.conf rndc.conf

Код:

# Start of rndc.conf                                                           
key "rndc-key" {                                                               
        algorithm hmac-md5;                                                    
        secret "тот же самый секретный ключ";                                     
};                                                                             
                                                                               
options {                                                                      
        default-key "rndc-key";                                                
        default-server 127.0.0.1;                                              
        default-port 953;                                                      
};                                                                             
# End of rndc.conf

Думаю, все что тут написано, ты с умом переведешь на свою систему, все должно работать. У меня работает. Пользовался статьей чуть-чуть подправляя http://www.lissyara.su/articles/free...amms/dns+dhcp/