== Интерфейс Cisco IOS ==
Для подключения к устройству используйте консольный кабель и программу Hyper Terminal, либо подключитесь по сети используя telnet или SSH.
Интерфейс Cisco IOS разделяется на несколько режимов. Доступные вам команды зависят от режима, в котором вы находитесь в данный момент. Для просмотра списка доступных в этом режиме команд введите знак вопроса (?).
Начиная сессию связи с устройством, вы обычно попадаете в пользовательский режим выполнения комманд, или user EXEC mode. В этом режиме список команд сильно ограничен. В основном доступно лишь несколько show и clear команд.
Чтобы получить доступ ко всем командам, требуется перейти в привилегированный режим (privileged EXEC mode). Переход осуществляется командой enable. Обычно требуется ввести пароль для доступа к привилегированному режиму. Из этого режима можно вводить любые команды либо перейти в режим конфигурирования.

Из режима конфигурирования можно переходить к настройкам интерфейсов, линий доступа, списков доступа или глобальным настройкам. Эти настройки задаются в соответствующих подрежимах либо в глобальном конфигурационном режиме. Все производимые настройки изменяют текущую конфигурацию или running-configuration. Текущая конфигурация теряется при перезагрузке. Если сохранить конфигурацию, то команды записываются в файл startup-configuration и не теряются при перезагрузке устройства.
Когда вы включаете маршрутизатор Cisco (подаете питание), сначала он проводит стартовую самодиагностику, power-on self-test или POST. Если она проходит успешно, то начинается загрузка Cisco IOS из флеш памяти (если IOS файл там есть). После загрузки, IOS ищет стартовую конфигурацию – startup-config - она находится в NVRAM. Стартовая конфигурация считывается и применяется, при этом она копируется в оперативную память RAM и называется текущей конфигурацией или running-config. После просмотра информации о загрузке нажмите Enter и вы перейдете к интерфейсу командной строки CLI.

== Основные режимы CLI (Command Line Interface) ==
[code]
Switch> Приглашение ввода в режиме User EXEC. Используется для базовых тестов, просмотра системной информации.
Выход по команде logout или quit
Switch> enable Переход в режим Privileged EXEC. Становятся доступными все команды. Для возвращения в пользовательский режим введите команду disable.
Switch# Приглашение ввода в режиме Privileged EXEC.
Выход по команде logout или quit
Switch# configure terminal Переход в режим конфигурирования.
Выход по команде exit либо end.
Для выхода можно нажать Ctrl-Z
Switch(config)# Приглашение ввода в режиме конфигурирования.
[/code]
== Система справки IOS ==
Команда Описание
Switch# ? Введите знак вопроса чтобы получить список доступных в этом режиме команд
Switch# con?
configure connect Начните вводить команду и поставьте знак вопроса, чтобы получить список команд, начинающихся с введенных символов.
Switch# configure t<tab>
Switch# configure terminal Введите часть команды и нажмите <TAB>, чтобы система дописала частично введенную команду (либо вывела список команд, если есть несколько вариантов).
Switch> show ? Введите команду, потом пробел, потом знак вопроса, чтобы получить список всех возможных аргументов и ключевых слов данной команды.
.
Switch> en
Switch# conf t
Switch(config)# int fa 0/0
Switch(config-if)# Любую команду можно сократить до минимального числа символов, которые еще позволяют однозначно определить команду.
Switch(config)# int Vlan 1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown Почти у всех команд есть отрицательная форма, которая начинается с NO. Такая команда отменит или удалит введенную основную команду.
Стрелка вверх Нажатие стрелки вверх позволяет вернуть предыдущую введенную команду (или более ранние).
Стрелка вниз После прокручивания списка введенных команд, нажатие стрелки вниз позволяет вернуть следущую введенную команду (или более поздние).
Ctrl-A Переводит курсор в начало введенной строки (аналог кнопки home).
Ctrl-E Переводит курсор в конец введенной строки (аналог кнопки end).
Ctrl-D Стирает символ, на котором стоит курсор (аналог кнопки delete).
Enter Ввод - при постраничном ввыводе прокручивает вниз на одну строку.
Space Пробел - при постраничном ввыводе прокручивает вниз на одну страницу.
Switch# show run | {inc|begin} exp
Switch# show run | inc interface
Switch# show run | beg dhcp | include позволяет отфильтровать из вывода только строки соответствующие шаблону.
| begin позволяет начать вывод только со строки в которой содержится шаблон.

Сообщения об ошибках CLI
% Ambiguous command:
Вы ввели слишком мало символов и IOS не может однозначно определить команду.
Введите команду заново (нажмите стрелку вверх), и поставьте в конце знак вопроса, чтобы получить список доступных вариантов.
% Incomplete command.
Вы не ввели обязательныз ключевых слов или параметров. Введите команду заново (нажмите стрелку вверх), и поставьте в конце знак вопроса, чтобы получить список доступных вариантов.
% Invalid input detected
at '^' marker.
Вы ввели команду неверно. Стрелочка '^' указывает положение ошибки. Введите знак вопроса, чтобы уточнить доступные команды.

[[категория:Лекции]] [[Категория:Сети]]
[[Category:Cisco]]

Базовая настройка Cisco IOS

2021-04-19T03:20:38Z

Moiseevvi:

Интерфейс Cisco IOS
Для подключения к устройству используйте консольный кабель и программу Hyper Terminal, либо подключитесь по сети используя telnet или SSH.
Интерфейс Cisco IOS разделяется на несколько режимов. Доступные вам команды зависят от режима, в котором вы находитесь в данный момент. Для просмотра списка доступных в этом режиме команд введите знак вопроса (?).
Начиная сессию связи с устройством, вы обычно попадаете в пользовательский режим выполнения комманд, или user EXEC mode. В этом режиме список команд сильно ограничен. В основном доступно лишь несколько show и clear команд.
Чтобы получить доступ ко всем командам, требуется перейти в привилегированный режим (privileged EXEC mode). Переход осуществляется командой enable. Обычно требуется ввести пароль для доступа к привилегированному режиму. Из этого режима можно вводить любые команды либо перейти в режим конфигурирования.

Из режима конфигурирования можно переходить к настройкам интерфейсов, линий доступа, списков доступа или глобальным настройкам. Эти настройки задаются в соответствующих подрежимах либо в глобальном конфигурационном режиме. Все производимые настройки изменяют текущую конфигурацию или running-configuration. Текущая конфигурация теряется при перезагрузке. Если сохранить конфигурацию, то команды записываются в файл startup-configuration и не теряются при перезагрузке устройства.
Когда вы включаете маршрутизатор Cisco (подаете питание), сначала он проводит стартовую самодиагностику, power-on self-test или POST. Если она проходит успешно, то начинается загрузка Cisco IOS из флеш памяти (если IOS файл там есть). После загрузки, IOS ищет стартовую конфигурацию – startup-config - она находится в NVRAM. Стартовая конфигурация считывается и применяется, при этом она копируется в оперативную память RAM и называется текущей конфигурацией или running-config. После просмотра информации о загрузке нажмите Enter и вы перейдете к интерфейсу командной строки CLI.

Основные режимы CLI (Command Line Interface)
Команда Описание
Switch> Приглашение ввода в режиме User EXEC. Используется для базовых тестов, просмотра системной информации.
Выход по команде logout или quit
Switch> enable Переход в режим Privileged EXEC. Становятся доступными все команды. Для возвращения в пользовательский режим введите команду disable.
Switch# Приглашение ввода в режиме Privileged EXEC.
Выход по команде logout или quit
Switch# configure terminal Переход в режим конфигурирования.
Выход по команде exit либо end.
Для выхода можно нажать Ctrl-Z
Switch(config)# Приглашение ввода в режиме конфигурирования.

Система справки IOS
Команда Описание
Switch# ? Введите знак вопроса чтобы получить список доступных в этом режиме команд
Switch# con?
configure connect Начните вводить команду и поставьте знак вопроса, чтобы получить список команд, начинающихся с введенных символов.
Switch# configure t<tab>
Switch# configure terminal Введите часть команды и нажмите <TAB>, чтобы система дописала частично введенную команду (либо вывела список команд, если есть несколько вариантов).
Switch> show ? Введите команду, потом пробел, потом знак вопроса, чтобы получить список всех возможных аргументов и ключевых слов данной команды.
.
Switch> en
Switch# conf t
Switch(config)# int fa 0/0
Switch(config-if)# Любую команду можно сократить до минимального числа символов, которые еще позволяют однозначно определить команду.
Switch(config)# int Vlan 1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown Почти у всех команд есть отрицательная форма, которая начинается с NO. Такая команда отменит или удалит введенную основную команду.
Стрелка вверх Нажатие стрелки вверх позволяет вернуть предыдущую введенную команду (или более ранние).
Стрелка вниз После прокручивания списка введенных команд, нажатие стрелки вниз позволяет вернуть следущую введенную команду (или более поздние).
Ctrl-A Переводит курсор в начало введенной строки (аналог кнопки home).
Ctrl-E Переводит курсор в конец введенной строки (аналог кнопки end).
Ctrl-D Стирает символ, на котором стоит курсор (аналог кнопки delete).
Enter Ввод - при постраничном ввыводе прокручивает вниз на одну строку.
Space Пробел - при постраничном ввыводе прокручивает вниз на одну страницу.
Switch# show run | {inc|begin} exp
Switch# show run | inc interface
Switch# show run | beg dhcp | include позволяет отфильтровать из вывода только строки соответствующие шаблону.
| begin позволяет начать вывод только со строки в которой содержится шаблон.

Сообщения об ошибках CLI
% Ambiguous command:
Вы ввели слишком мало символов и IOS не может однозначно определить команду.
Введите команду заново (нажмите стрелку вверх), и поставьте в конце знак вопроса, чтобы получить список доступных вариантов.
% Incomplete command.
Вы не ввели обязательныз ключевых слов или параметров. Введите команду заново (нажмите стрелку вверх), и поставьте в конце знак вопроса, чтобы получить список доступных вариантов.
% Invalid input detected
at '^' marker.
Вы ввели команду неверно. Стрелочка '^' указывает положение ошибки. Введите знак вопроса, чтобы уточнить доступные команды.

[[категория:Лекции]] [[Категория:Сети]]
[[Category:Cisco]]

Базовая настройка Cisco IOS

2021-04-19T03:19:36Z

Moiseevvi: Новая страница: «Интерфейс Cisco IOS Для подключения к устройству используйте консольный кабель и программу…»

Сокеты (простые примеры)

2021-01-19T08:16:13Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

== UDP - half-duplex datagram ==
=== Server ===
<code>
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break
</code>
=== Client ===
<code>
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

</code>
== TCP - full-duplex stream ==
=== Server ===

<code>
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")
</code>

=== Client ===
<code>
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
</code>
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:15:40Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

== UDP - half-duplex datagram ==
=== Server ===
<code>
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break
</code>
=== Client ===
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

== TCP - full-duplex stream ==
=== Server ===
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

=== Client ===
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:15:31Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

== UDP - half-duplex datagram ==
=== Server ===
<code>
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break
[/code]
=== Client ===
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

== TCP - full-duplex stream ==
=== Server ===
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

=== Client ===
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:15:18Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

== UDP - half-duplex datagram ==
=== Server ===
[code]
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break
[/code]
=== Client ===
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

== TCP - full-duplex stream ==
=== Server ===
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

=== Client ===
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:14:57Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

== UDP - half-duplex datagram ==
=== Server ===
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break

=== Client ===
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

== TCP - full-duplex stream ==
=== Server ===
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

=== Client ===
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:13:52Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.

* UDP - half-duplex datagram
** Server
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break

Client =============================================
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

TCP - full-duplex stream
Server =============================================
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

Client ==============================================
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:13:26Z

Moiseevvi:

Простые примеры по работе с UDP и TCP-сокетами для Python. Возможны незначительные вариации синтаксиса между 2.7 и 3 версией python.
Simple sockets python

UDP - half-duplex datagram
Server =============================================
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.bind(("0.0.0.0",1234)) // ip-port tuple to bind server

while 1:
message,sender= u.recvfrom(1024)
print 'Client' + str(sender) + ' said: ' + message
if message == '':
break

Client =============================================
from socket import *

u = socket(AF_INET, SOCK_DGRAM)
u.sendto("Hello world!", ("1.2.3.4",1234)) // ip-port tuple of server

TCP - full-duplex stream
Server =============================================
from socket import *

t = socket(AF_INET, SOCK_STREAM)
t.bind(("0.0.0.0",1234))
t.listen()
c = t.accept()
c
c[0].recv(200)
'jellojellojello'
c[0].send(b"Hi")

Client ==============================================
from socket import *
t = socket(AF_INET, SOCK_STREAM)
t.connect(("1.2.3.4",1234))
socket.error: [Errno 111] Connection refused

t.send(b"jello")
t.recv(10)

while 1:
t.send(b"jello")

x.close()
[[категория:Лекции]]
[[Категория:Сети]]

Сокеты (простые примеры)

2021-01-19T08:11:24Z

Moiseevvi: Новая страница: «категория:Лекции Категория:Сети»

[[категория:Лекции]]
[[Категория:Сети]]

NAT (обзор и примеры)

2020-06-16T05:48:48Z

Moiseevvi: /* Конфиг */

== NAT != proxy ==
Это абсолютно разные технологии. Не путайте их.

== Что такое NAT ==

NAT - собирательный термин, обозначает технологию трансляции сетевых адресов и/или протоколов. NAT устройства производят над проходящими пакетами преобразования с заменой адресов, портов, протоколов и пр.

Существуют более узкие понятие SNAT, DNAT, маскарадинг, PAT, NAT-PT и т.д.

== зачем нужен NAT, как его используют ==

Для вывода в интернет внутренней сети
* через пул внешних адресов
* через один внешний адрес

Для подмены внешнего ip адреса другим (перенаправление трафика)

Для балансировки нагрузки между одинаковыми серверами с разными ip адресами.

Для объединения двух локальных сетей с пересекающейся внутренней адресацией.

== как устроен NAT ==

destination NAT

source NAT

s+d NAT (branch merging - evil!)

PAT (overload)

port-mapping, прокидывание портов

== Преимущества и недостатки ==

Несовместим с некоторыми протоколами. Конкретная реализация NAT должна поддерживать инспекцию требуемого протокола.

NAT обладает свойством "экранировать" внутреннюю сеть от внешнего мира, но его нельзя использовать вместо межсетевого экрана.

== Настройка на Cisco IOS ==

Маршрутизаторы и межсетевые экраны Cisco поддерживают различные типы NAT, в зависимости от набора опций ПО. Наиболее используемым является метод NAT с привязкой внутренних локальных адресов в различные порты одного внешнего адреса (PAT в терминологии Cisco).

Для настройки NAT на маршрутизаторе требуется:
o Определить трафик, который необходимо транслировать (при помощи access-list’ов или route-map);

ip access-list extended LOCAL
permit ip 10.0.0.0 0.255.255.255 any

route-map INT1
match ip address LOCAL
match interface FastEthernet0/1.1
Аксесс-лист LOCAL выбирает весь трафик из 10 сети.

Роут-мап INT1 выбирает трафик аксесс-листа LOCAL, выходящий через сабинтерфейс Fa 0/1.1

o Определить на какие внешние адреса проводить трансляцию. Выбрать пул внешних адресов. Для PAT достаточно одного адреса.

ip nat pool GLOBAL 212.192.64.74 212.192.64.74 netmask 255.255.255.0

Задание пула внешних адресов с именем GLOBAL. В пуле всего один адрес.

o Включить NAT для выбранных внутренних и внешних адресов.

ip nat inside source route-map INT1 pool GLOBAL overload

Включение NAT для трансляции адресов источника на внутреннем интерфейсе.
Будет транслироваться только трафик попадающий под условия роут-мапа INT1.
Внешний адрес будет браться из пула GLOBAL.

ip nat inside source static tcp 10.0.0.1 23 212.192.64.74 23 extend

Статическое «прокидывание порта» или «публикация сервиса».
В трафике идущем внутрь на адрес 212.192.64.74 на порт tcp 23 будет заменен адресат на адрес 10.0.0.1 и порт 23.

o Назначить внутренние и внешние интерфейсы.
interface FastEthernet0/0
ip nat inside

interface FastEthernet0/1.1
ip nat outside
Интерфейс Fa 0/0 назначен внутренним для NAT.

Сабинтерфейс Fa 0/1.1 назначен внешним для NAT.

o Отладка и диагностика:
sh ip nat translations - просмотр таблицы текущих трансляций;
clear ip nat translations - удалить все текущие трансляции;
debug ip nat – включение отладочных сообщений (undebug all – выключение отладки).

== Примеры ==
Приведем несколько демонстрационных примеров для эмулятора cisco Packet Tracer.

Простая схема вывода небольшой сети в интернет через пул внешних адресов
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_Simple_SNAT.pkt

Простая схема вывода сети в интернет через один внешний адрес
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_Simple_PAT.pkt

Схема объединения сетей с пересекающейся адресацией
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_SDNAT.pkt

Инструкция по cisco IOS NAT
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

== Порядок работы NAT ==
Порядок применения правил NAT различается у различных производителей и на различном оборудовании. Приведем порядок применения политик NAT для маршрутизаторов на cisco IOS:

Inside-to-Outside
<code>
If IPSec then check input access list
decryption - for CET (Cisco Encryption Technology) or IPSec
check input access list
check input rate limits
input accounting
redirect to web cache
policy routing
routing
NAT inside to outside (local to global translation)
crypto (check map and mark for encryption)
check output access list
inspect (Context-based Access Control (CBAC))
TCP intercept
encryption
Queueing
</code>

Outside-to-Inside
<code>
If IPSec then check input access list
decryption - for CET or IPSec
check input access list
check input rate limits
input accounting
redirect to web cache
NAT outside to inside (global to local translation)
policy routing
routing
crypto (check map and mark for encryption)
check output access list
inspect CBAC
TCP intercept
encryption
Queueing
</code>

== Интернет-канал от одного провайдера через NAT ==
Простая схема реализации NAT с одним провайдером

http://user.files.psu.ru/MoiseevVI/NAT_2isp_no_2isp.PNG

== Резервирование интернет-канала от двух провайдеров при помощи NAT, ip sla ==

Дано: мы получаем для нескольких компьютеров интернет от провайдера ISP1. Он выделили нам адрес 212.192.88.150.
Выход в интернет организован с этого ip адреса через NAT.

Задача: подключить резервного провайдера - ISP2. Он выделит нам адрес 212.192.90.150.
Организовать балансировку трафика: web-трафик пускать через ISP1, прочий трафик - через ISP2.
В случае отказа одного из провайдеров - пускать весь трафик по живому каналу.

В чем сложность задачи?
clear ip nat translations?

=== Схема ===
http://user.files.psu.ru/MoiseevVI/NAT_2isp.PNG

=== Конфиг ===

1 clear ip nat translations *

Найден, оттестирован такой кусок EEM.
Не на всех версиях IOS генерируется событие.. Надо уточнить.
<code>
!
event manager applet NAT-TRACK
event syslog pattern "TRACKING-5-STATE"
action 0.1 cli command "enable"
action 0.2 wait 3
action 0.3 cli command "clear ip nat translation *"
action 0.4 syslog msg "NAT translation cleared after track state change"
!
</code>

2 При падении интерфейса на провайдера, велики шансы, что его шлюз будет пинговаться через второго

<code php>
!
username ИМЯ password 0 ПАРОЛЬ
enable secret 0 ПАРОЛЬКОНФИГА
!
! контроль входа на маршрутизатор
line vty 0 4
login local
!
! ДХЦП
ip dhcp pool LAN
network ВнутрСеть Маска
default-router Шлюз
dns-server 10.11.12.13
! DNS - фиктивный придумали - НЕ из нашей локальной сети
!
!
! Монитор пинга на адрес шлюза провайдера-1
! Ждать ответа 100 мс
! Пинговать с частотой 1 секунда
ip sla monitor 1
type echo protocol ipIcmpEcho ШлюзПров1 source-interface ИнтерфейсНаПров1
timeout 100
frequency 1
!
! Монитор пинга на провайдера-2
ip sla monitor 2
type echo protocol ipIcmpEcho ШлюзПров2 source-interface ИнтерфейсНаПров2
timeout 50
frequency 1
!
! Запуск пинговалок 1 и 2, сейчас и навсегда
ip sla monitor schedule 1 life forever start-time now
ip sla monitor schedule 2 life forever start-time now
!
! Трэки 10 и 20 - отслеживание состояния пинговалок
! Реагирует на состояние Down или Up с задержкой 1 сек.
track 10 rtr 1 reachability
delay down 1 up 1
!
track 20 rtr 2 reachability
delay down 1 up 1
!
!
! Маршруты на все внешние сети на обоих провайдеров
! Маршруты привязаны к трэкам
! и будут активироваться только если трэк в состоянии Up
! т.е. если шлюз на соответствующего провайдера доступен
ip route 0.0.0.0 0.0.0.0 ШлюзПров1 track 10
ip route 0.0.0.0 0.0.0.0 ШлюзПров2 track 20
!
!
!
int fa 0/0
no shut
!
! Саб-интерфейсы в сторону внешних провайдеров
! помечаются как outside для NAT
interface FastEthernet0/0.1
description ISP1
encaps dot1q НомерВланПров1
ip address ipНаПров1 Маска
ip nat outside
!
interface FastEthernet0/0.2
description ISP2
encapsulation dot1Q НомерВланПров2
ip address ipНаПров2 Маска
ip nat outside
!
! Интерфейс на внутр сеть
! помечается как inside для NAT
! Привязывается политика маршрутизации PBR
interface FastEthernet0/1
ip address ipНаВнутрСеть маска
ip nat inside
ip policy route-map PBR
no shut
!
! Аксесс-листы из внутр сети наружу
! На веб-трафик и на все остальное
ip access-list extended LOCAL
permit ip внутрСеть any
!
ip access-list extended WEB
permit tcp внутрСеть any eq www
permit tcp внутрСеть any eq 443
!
ip access-list extended ALL
permit ip any any
!
!
! хитрый рут-мап PBR
! Если трафик из локалки на Веб
! то назначить ему шлюзом первого провайдера
! Иначе, прочему трафику из локалки
! назначить шлюзом второго провайдера.
! При назначении шлюза проверяются Трэки
route-map PBR permit 10
match ip address WEB
set ip next-hop verify-availability ШлюзПров1 1 track 10
!
route-map PBR permit 20
match ip address ALL
set ip next-hop verify-availability ШлюзПров2 1 track 20
!
!
! хитрый рут-мап ISP1
! срабатывает если трафик из локалки
! пытается выйти через интерфейс Fa0/0.1
route-map ISP1 permit 10
match ip address LOCAL
match interface FastEthernet0/0.1
!
! хитрый рут-мап ISP2
! срабатывает если трафик из локалки
! пытается выйти через интерфейс Fa0/0.2
route-map ISP2 permit 10
match ip address LOCAL
match interface FastEthernet0/0.2
!
!
! Наконец, NAT ;-)
!
! Трафик из локалки в первого провайдера Натить через первый интерфейс
ip nat inside source route-map ISP1 interface FastEthernet0/0.1 overload
!
! Трафик из локалки во второго провайдера Натить через второй интерфейс
ip nat inside source route-map ISP2 interface FastEthernet0/0.2 overload
!
! Трафик на фиктивный ДНС переНатить на Гугл-ДНС
! no-alias - не создавать arp-proxy-alias для внешнего ip в статик-трансляции
ip nat outside source static 8.8.8.8 10.11.12.13 no-alias
!
! проброс внутреннего порта 3389 на внешний порт 1111
! extendable - разрешает делать много записей для одного внутрХоста
ip nat inside source static tcp внутрХост 3389 внешip1 1111 extendable
ip nat inside source static tcp внутрХост 3389 внешip2 1111 extendable
!
!
</code>

== Разное ==

TTL

CGN (carrier grade nat) с особым пулом приватных адресов

NAT как ALG (application layer gateway), (plain text protocols e.g. SIP)
NAT - helpers

linux-style masquerade, mikrotik netmap

NAT64, DNS64

IPsec nat traversal

uPNP

[[категория:Лекции]]
[[Категория:Сети]]
[[Category:Cisco]] [[Category:NAT]]

NAT (обзор и примеры)

2020-06-16T05:42:24Z

Moiseevvi: /* Разное */

== NAT != proxy ==
Это абсолютно разные технологии. Не путайте их.

== Что такое NAT ==

NAT - собирательный термин, обозначает технологию трансляции сетевых адресов и/или протоколов. NAT устройства производят над проходящими пакетами преобразования с заменой адресов, портов, протоколов и пр.

Существуют более узкие понятие SNAT, DNAT, маскарадинг, PAT, NAT-PT и т.д.

== зачем нужен NAT, как его используют ==

Для вывода в интернет внутренней сети
* через пул внешних адресов
* через один внешний адрес

Для подмены внешнего ip адреса другим (перенаправление трафика)

Для балансировки нагрузки между одинаковыми серверами с разными ip адресами.

Для объединения двух локальных сетей с пересекающейся внутренней адресацией.

== как устроен NAT ==

destination NAT

source NAT

s+d NAT (branch merging - evil!)

PAT (overload)

port-mapping, прокидывание портов

== Преимущества и недостатки ==

Несовместим с некоторыми протоколами. Конкретная реализация NAT должна поддерживать инспекцию требуемого протокола.

NAT обладает свойством "экранировать" внутреннюю сеть от внешнего мира, но его нельзя использовать вместо межсетевого экрана.

== Настройка на Cisco IOS ==

Маршрутизаторы и межсетевые экраны Cisco поддерживают различные типы NAT, в зависимости от набора опций ПО. Наиболее используемым является метод NAT с привязкой внутренних локальных адресов в различные порты одного внешнего адреса (PAT в терминологии Cisco).

Для настройки NAT на маршрутизаторе требуется:
o Определить трафик, который необходимо транслировать (при помощи access-list’ов или route-map);

ip access-list extended LOCAL
permit ip 10.0.0.0 0.255.255.255 any

route-map INT1
match ip address LOCAL
match interface FastEthernet0/1.1
Аксесс-лист LOCAL выбирает весь трафик из 10 сети.

Роут-мап INT1 выбирает трафик аксесс-листа LOCAL, выходящий через сабинтерфейс Fa 0/1.1

o Определить на какие внешние адреса проводить трансляцию. Выбрать пул внешних адресов. Для PAT достаточно одного адреса.

ip nat pool GLOBAL 212.192.64.74 212.192.64.74 netmask 255.255.255.0

Задание пула внешних адресов с именем GLOBAL. В пуле всего один адрес.

o Включить NAT для выбранных внутренних и внешних адресов.

ip nat inside source route-map INT1 pool GLOBAL overload

Включение NAT для трансляции адресов источника на внутреннем интерфейсе.
Будет транслироваться только трафик попадающий под условия роут-мапа INT1.
Внешний адрес будет браться из пула GLOBAL.

ip nat inside source static tcp 10.0.0.1 23 212.192.64.74 23 extend

Статическое «прокидывание порта» или «публикация сервиса».
В трафике идущем внутрь на адрес 212.192.64.74 на порт tcp 23 будет заменен адресат на адрес 10.0.0.1 и порт 23.

o Назначить внутренние и внешние интерфейсы.
interface FastEthernet0/0
ip nat inside

interface FastEthernet0/1.1
ip nat outside
Интерфейс Fa 0/0 назначен внутренним для NAT.

Сабинтерфейс Fa 0/1.1 назначен внешним для NAT.

o Отладка и диагностика:
sh ip nat translations - просмотр таблицы текущих трансляций;
clear ip nat translations - удалить все текущие трансляции;
debug ip nat – включение отладочных сообщений (undebug all – выключение отладки).

== Примеры ==
Приведем несколько демонстрационных примеров для эмулятора cisco Packet Tracer.

Простая схема вывода небольшой сети в интернет через пул внешних адресов
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_Simple_SNAT.pkt

Простая схема вывода сети в интернет через один внешний адрес
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_Simple_PAT.pkt

Схема объединения сетей с пересекающейся адресацией
http://k.psu.ru/disk/files/user/MoiseevVI/wiki/NAT_exapmles_SDNAT.pkt

Инструкция по cisco IOS NAT
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

== Порядок работы NAT ==
Порядок применения правил NAT различается у различных производителей и на различном оборудовании. Приведем порядок применения политик NAT для маршрутизаторов на cisco IOS:

Inside-to-Outside
<code>
If IPSec then check input access list
decryption - for CET (Cisco Encryption Technology) or IPSec
check input access list
check input rate limits
input accounting
redirect to web cache
policy routing
routing
NAT inside to outside (local to global translation)
crypto (check map and mark for encryption)
check output access list
inspect (Context-based Access Control (CBAC))
TCP intercept
encryption
Queueing
</code>

Outside-to-Inside
<code>
If IPSec then check input access list
decryption - for CET or IPSec
check input access list
check input rate limits
input accounting
redirect to web cache
NAT outside to inside (global to local translation)
policy routing
routing
crypto (check map and mark for encryption)
check output access list
inspect CBAC
TCP intercept
encryption
Queueing
</code>

== Интернет-канал от одного провайдера через NAT ==
Простая схема реализации NAT с одним провайдером

http://user.files.psu.ru/MoiseevVI/NAT_2isp_no_2isp.PNG

== Резервирование интернет-канала от двух провайдеров при помощи NAT, ip sla ==

Дано: мы получаем для нескольких компьютеров интернет от провайдера ISP1. Он выделили нам адрес 212.192.88.150.
Выход в интернет организован с этого ip адреса через NAT.

Задача: подключить резервного провайдера - ISP2. Он выделит нам адрес 212.192.90.150.
Организовать балансировку трафика: web-трафик пускать через ISP1, прочий трафик - через ISP2.
В случае отказа одного из провайдеров - пускать весь трафик по живому каналу.

В чем сложность задачи?
clear ip nat translations?

=== Схема ===
http://user.files.psu.ru/MoiseevVI/NAT_2isp.PNG

=== Конфиг ===

1 clear ip nat translations *

Найден, оттестирован такой кусок EEM.
Не на всех версиях IOS генерируется событие.. Надо уточнить.
<code>
!
event manager applet NAT-TRACK
event syslog pattern "TRACKING-5-STATE"
action 0.1 cli command "enable"
action 0.2 wait 3
action 0.3 cli command "clear ip nat translation *"
action 0.4 syslog msg "NAT translation cleared after track state change"
!
</code>

2 При падении интерфейса на провайдера, велики шансы, что его шлюз будет пинговаться через второго

<code php>
!
username ИМЯ password 0 ПАРОЛЬ
enable secret 0 ПАРОЛЬКОНФИГА
!
! контроль входа на маршрутизатор
line vty 0 4
login local
!
! ДХЦП
ip dhcp pool LAN
network ВнутрСеть Маска
default-router Шлюз
dns-server 10.11.12.13
! DNS - фиктивный придумали - НЕ из нашей локальной сети
!
!
! Монитор пинга на адрес шлюза провайдера-1
! Ждать ответа 100 мс
! Пинговать с частотой 1 секунда
ip sla monitor 1
type echo protocol ipIcmpEcho ШлюзПров1 source-interface ИнтерфейсНаПров1
timeout 100
frequency 1
!
! Монитор пинга на провайдера-2
ip sla monitor 2
type echo protocol ipIcmpEcho ШлюзПров2 source-interface ИнтерфейсНаПров2
timeout 50
frequency 1
!
! Запуск пинговалок 1 и 2, сейчас и навсегда
ip sla monitor schedule 1 life forever start-time now
ip sla monitor schedule 2 life forever start-time now
!
! Трэки 10 и 20 - отслеживание состояния пинговалок
! Реагирует на состояние Down или Up с задержкой 1 сек.
track 10 rtr 1 reachability
delay down 1 up 1
!
track 20 rtr 2 reachability
delay down 1 up 1
!
!
! Маршруты на все внешние сети на обоих провайдеров
! Маршруты привязаны к трэкам
! и будут активироваться только если трэк в состоянии Up
! т.е. если шлюз на соответствующего провайдера доступен
ip route 0.0.0.0 0.0.0.0 ШлюзПров1 track 10
ip route 0.0.0.0 0.0.0.0 ШлюзПров2 track 20
!
!
!
int fa 0/0
no shut
!
! Саб-интерфейсы в сторону внешних провайдеров
! помечаются как outside для NAT
interface FastEthernet0/0.1
description ISP1
encaps dot1q НомерВланПров1
ip address ipНаПров1 Маска
ip nat outside
!
interface FastEthernet0/0.2
description ISP2
encapsulation dot1Q НомерВланПров2
ip address ipНаПров2 Маска
ip nat outside
!
! Интерфейс на внутр сеть
! помечается как inside для NAT
! Привязывается политика маршрутизации PBR
interface FastEthernet0/1
ip address ipНаВнутрСеть маска
ip nat inside
ip policy route-map PBR
no shut
!
! Аксесс-листы из внутр сети наружу
! На веб-трафик и на все остальное
ip access-list extended LOCAL
permit ip внутрСеть any
!
ip access-list extended WEB
permit tcp внутрСеть any eq www
permit tcp внутрСеть any eq 443
!
ip access-list extended ALL
permit ip any any
!
!
! хитрый рут-мап PBR
! Если трафик из локалки на Веб
! то назначить ему шлюзом первого провайдера
! Иначе, прочему трафику из локалки
! назначить шлюзом второго провайдера.
! При назначении шлюза проверяются Трэки
route-map PBR permit 10
match ip address WEB
set ip next-hop verify-availability ШлюзПров1 1 track 10
!
route-map PBR permit 20
match ip address ALL
set ip next-hop verify-availability ШлюзПров2 1 track 20
!
!
! хитрый рут-мап ISP1
! срабатывает если трафик из локалки
! пытается выйти через интерфейс Fa0/0.1
route-map ISP1 permit 10
match ip address LOCAL
match interface FastEthernet0/0.1
!
! хитрый рут-мап ISP2
! срабатывает если трафик из локалки
! пытается выйти через интерфейс Fa0/0.2
route-map ISP2 permit 10
match ip address LOCAL
match interface FastEthernet0/0.2
!
!
! Наконец, NAT ;-)
!
! Трафик из локалки в первого провайдера Натить через первый интерфейс
ip nat inside source route-map ISP1 interface FastEthernet0/0.1 overload
!
! Трафик из локалки во второго провайдера Натить через второй интерфейс
ip nat inside source route-map ISP2 interface FastEthernet0/0.2 overload
!
! Трафик на фиктивный ДНС переНатить на Гугл-ДНС
ip nat outside source static 8.8.8.8 10.11.12.13 no-alias
!
! проброс внутреннего порта 3389 на внешний порт 1111
ip nat inside source static tcp внутрХост 3389 внешip 1111 extendable
ip nat inside source static tcp внутрХост 3389 внешip 1111 extendable
!
!
</code>

== Разное ==

TTL

CGN (carrier grade nat) с особым пулом приватных адресов

NAT как ALG (application layer gateway), (plain text protocols e.g. SIP)
NAT - helpers

linux-style masquerade, mikrotik netmap

NAT64, DNS64

IPsec nat traversal

uPNP

[[категория:Лекции]]
[[Категория:Сети]]
[[Category:Cisco]] [[Category:NAT]]

HTTPS на примере Apache2 (методическое пособие)

2020-04-07T07:22:49Z

Moiseevvi: /* SSL сертификат */

= HTTPS =
== PKI ==

Сертификат сервера должен быть выдан Центром Сертификации, которому доверяет браузер. Браузер доверяет ЦС сертификаты которых хранятся в системном хранилище.

При использовании самоподписанных сертификатов, корневые сертификаты ставятся на компьютеры клиентов вручную (или с помощью груповой политики).

Крупные коммерческие ЦС, продающие сертификаты, распространяют свои корневые сертификаты с обновлениями браузеров и операционных систем.

== TLS/SSL ==
HTTPS это протокол HTTP используемый поверх шифрованного канала TLS или SSL. Стандартный порт 443.

Использование TLS канала позволяет защитить передаваемые данные шифрованием. Использование сертификата сервера позволяет клиентам быть уверенными в аутентичности сайта.

= SSL сертификат =

Для протокола SSL на стороне сервера нам требуется сертификат X.509 на конкретное доменное имя и соответствующий закрытый ключ.
Доменное имя должно быть указано в поле Subject сертификата в графе CN. Для указания множества имен используется поле subjectAltName.
Имя домена должно указываться в том виде, в каком оно используется в ссылках на сайт. В нашем примере это будет доменное имя "www.model.local".

Для внутрикорпоративного использования, в простейшем случае, нам потребуется самостоятельно создать сертификат для доменного имени.

Если сертификатов требуется несколько - разумно создать Удостоверяющий Центр, сгенерировать корневой сертификат и им подписывать сертификаты сайтов. На компьютеры клиентов придется устанавливать корневой сертификат.

Если сертификат требуется один - можно создать самоподписанный сертификат для сайта сразу. На компьютеры клиентов придется устанавливать этот сертификат.

Создаем простой Самоподписанный Сертификат и ключ для доменного имени www.model.local со сроком действия 1024 дня с ключом RSA 2048 бит. Сертификат будет подписан алгоритмом SHA512/256.

Воспользуемся пакетом openssl. Часть параметров указывается в командной строке, часть в режиме диалога, расширения сертификата описаны в файле ./cert.config.

Отредактируйте файл cert.config в соответствии с требуемыми параметрами сертификата. Пример:

<code C>
[ req ]
default_bits = 2048
distinguished_name = subject
#req_extensions = req_ext
x509_extensions = x509_ext
string_mask = utf8only

[ subject ]
countryName = Country Code
countryName_default = RU
stateOrProvinceName = State
stateOrProvinceName_default = Permski Kray
localityName = City
localityName_default = Perm
organizationName = Organization
organizationName_default = PSU

commonName = Common Name
commonName_default = PSU server

[ x509_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer

# RSA Key transport = keyEncipherment = non-ephemeral
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
nsComment = "PSU Generated Certificate"

[ alternate_names ]
IP.0 = 1.2.3.4
DNS.1 = model.local
DNS.2 = www.model.local
</code>

Обратите внимание на то, что DNS имя сервера указывается в расширении alternate_names.

Создаем сертификат командой openssl с параметрами, ссылаясь на файл конфигурации:
<code C>
root@model-net-ctrl-1:~/ssltest# openssl req -x509 -nodes -days 1024 -newkey rsa:2048 -sha512 -config cert.config -keyout web_key.pem -out web_cert.pem
Generating a 2048 bit RSA private key
writing new private key to 'web_key.pem'
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Permsky Krai
Locality Name (eg, city) []:Perm
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PSU
Common Name (e.g. server FQDN or YOUR name) []: PSU server www.model.local
</code>

В текущем каталоге будут созданы файл сертификат и файл ключ. На файл ключа необходимо поставить доступ только на чтение и только пользователю, который будет шифровать.

<code>
-rw-r--r-- 1 root root 1424 Feb 26 12:23 web_cert.pem
-rw-r--r-- 1 root root 1704 Feb 26 12:23 web_key.pem
root@model-net-ctrl-1:~/ssltest# chmod 0400 web_key.pem
</code>

Проверить параметры сертификата можно следующей командой
<code bash>
root@model-net-ctrl-1:~/ssltest# openssl x509 -in ./web_cert.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9676869248984892495 (0x864b254fcba5444f)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Validity
Not Before: Feb 26 06:49:43 2014 GMT
Not After : Dec 16 06:49:43 2016 GMT
Subject: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b6:39:4e:10:41:b4:e8:b1:17:87:e0:3f:61:3f:
X509v3 extensions:
X509v3 Subject Key Identifier:
FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Authority Key Identifier:
keyid:FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
6f:19:9e:f1:11:bc:fe:2d:3a:05:01:a3:5c:e3:97:03:e3:e7:
</code>
Как видим, subject и issuer совпадают, поле CA=TRUE, значит это самоподписанный корневой сертификат.

= Apache2 =

По-умолчанию шаблон конфигурации сайта для SSL лежит в /etc/apache2/sites-available/default-ssl.
Корневой каталог сайта /var/www.

Для запуска SSL необходимо включить соответствующий модуль.
<code>
a2enmod ssl
</code>

Теперь в конфигурации сайта (/etc/apache2/sites-available/default-ssl) указываем путь к сертификату и закрытому ключу
<code>
SSLCertificateFile /etc/apache2/ssltest/web_cert.pem
SSLCertificateKeyFile /etc/apache2/ssltest/web_key.pem
</code>

Включаем наш сайт, проверяем конфиг и перезапускаем Apache2.
<code>
a2ensite default-ssl
apache2ctl configtest
apache2ctl restart
</code>

Если все сделано правильно, новый сайт будет доступен по адресу https://www.model.local.

= Настройка браузера =

При открытии сайта браузер будет выдавать сообщение об ошибке сертификата, т.к. издатель сертификата не является доверенным.

Чтобы браузер стал доверять нашему сертификату, необходимо его поместить в хранилище доверенных.

Для этого надо открыть сайт. В предупреждении о сертификате выбрать подробные сведения. Открывшийся сертификат сохранить в файл на диске. Браузер необходимо закрыть.

Запустить файл с сертификатом с диска. При помощи Мастера импорта сертификатов поместить сертификат в хранилище Доверенные Корневые ЦС.

Заново открыть сайт в браузере. На этот раз сайт должен открыться без предупреждений по защищенному каналу.

Следите за тем, чтобы на защищаемом сайте все ссылки имели вид https://

[[категория:Лекции]]
[[категория:Сети]]
[[категория:SSL/TLS]]

BIND9 (методическое пособие)

2020-03-11T12:02:03Z

Moiseevvi: /* DNAME */

= Архитектура DNS=
root(.)

gTLD

ccTLD

Домены, поддомены, псевдо-поддомены, зоны прямые и обратные

Делегирование зон

Трансфер зон

Рекурсивный и нерекурсивный запрос

Stub-resolver.
Тупиковый резолвер с кэшем поддерживает только рекурсивный запрос. (win: DNS-client)
TSIG протокол позволяет аутентифицировать передачу данных между DNS-серверами. Можно проверять подлинность данных при передаче зон, рекурсивных запросах, динамических обновлениях. Сами данные не шифруются, но подлинность проверяется. TSIG использует метки времени для предотвращения атаки повторения пакетов.

DNSSEC

=== nslookup ===

Пример dns запроса на сервер 10.13.0.101 - рекурсия разрешена:

root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50

Пример dns запроса на сервер 10.13.0.101 - рекурсия запрещена:
root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
** server can't find www.ru: REFUSED

=== dig ===
Пример запроса при помощи команды dig. Рекурсия запрещена
root@netctrl-01:/etc# dig +all ya.ru.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +all ya.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36103
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ya.ru. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 20 16:21:58 2014
;; MSG SIZE rcvd: 23

Рекурсия разрешена
<code>
root@netctrl-01:/etc/bind# dig +trace ya.ru.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace ya.ru.
;; global options: +cmd
. 510544 IN NS m.root-servers.net.
. 510544 IN NS b.root-servers.net.
. 510544 IN NS a.root-servers.net.
. 510544 IN NS g.root-servers.net.
. 510544 IN NS k.root-servers.net.
. 510544 IN NS f.root-servers.net.
. 510544 IN NS d.root-servers.net.
. 510544 IN NS j.root-servers.net.
. 510544 IN NS l.root-servers.net.
. 510544 IN NS h.root-servers.net.
. 510544 IN NS e.root-servers.net.
. 510544 IN NS i.root-servers.net.
. 510544 IN NS c.root-servers.net.
;; Received 512 bytes from 127.0.0.1#53(127.0.0.1) in 3 ms

ru. 172800 IN NS a.dns.ripn.net.
ru. 172800 IN NS b.dns.ripn.net.
ru. 172800 IN NS d.dns.ripn.net.
ru. 172800 IN NS e.dns.ripn.net.
ru. 172800 IN NS f.dns.ripn.net.
;; Received 335 bytes from 128.63.2.53#53(128.63.2.53) in 191 ms

ya.ru. 345600 IN NS ns1.yandex.ru.
ya.ru. 345600 IN NS ns2.yandex.ru.
;; Received 154 bytes from 193.232.156.17#53(193.232.156.17) in 288 ms

ya.ru. 7200 IN A 213.180.204.3
ya.ru. 7200 IN A 93.158.134.3
ya.ru. 7200 IN A 213.180.193.3
ya.ru. 7200 IN NS ns1.yandex.ru.
ya.ru. 7200 IN NS ns2.yandex.ru.
;; Received 202 bytes from 213.180.193.1#53(213.180.193.1) in 47 ms
</code>

= Сервер имен BIND9 =
== Управление ==
Проверяет конфиг сервера имен
named-checkconf

Перезагружает конфиг и зоны
rndc reload

Перезагружает только изменившиеся зоны
rndc reconfig

Запуск
service bind9 start

Состояние сервера
rndc status

Сброс кэша
rndc flush

Конфигурация и файлы зон по-умолчанию лежат в /etc/bind/

== Опции ==

Списки доступа
<code>
acl network1 {
1.2.3.0/24;
192.168.0.0/20;
};
acl GoodDns {
1.2.3.4;
};
</code>

Ограничение на трансфер зон и запросы
<code>
allow-transfer {
localhost;
GoodDns;
};
allow-query {
any;
};
</code>

Настройка зоны и подключение файла зоны
<code>
zone "example.com" {
type master;
file "/etc/bind/db.example.com.";
allow-query {
any;
};
};
</code>

== Зона прямого просмотра ==
Зоны прямого просмотра делегируются нам владельцем родительского домена.

Пример файла зоны, для которой мы являемся мастером (SOA ns1.model.local.)
Сервер ns.example.com. указан в качестве вторичного.

Параметры времени жизни записи:
* TTL - время, на которое запись считается действительной, после выдачи сервером. Записи в кэше хранятся в течение TTL.
* Negative Cache TTL - время действия ответа об отсутствии записи (NXDOMAIN). Запись о том, что запрошенное имя не существует хранится в кэше на это время.

TTL можно задавать отдельно для каждой записи. Negative Cache TTL - действует на зоны в целом.

<code>
;
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; Negative Cache TTL
;
IN NS ns1.model.local.
IN NS ns.example.com.
IN MX 10 mail1
;
gw IN A 10.13.0.1
; несколько имен на один адрес
ns1 IN A 10.13.0.2
net-ctrl-1 IN A 10.13.0.2
mail1 IN A 10.13.0.10
front2 IN A 10.13.0.11
back1 IN A 10.13.0.20
back2 IN A 10.13.0.21
; несколько адресов на одно имя - балансировка
back IN A 10.13.0.20
IN A 10.13.0.21
stor1 IN A 10.13.0.30
stor2 IN A 10.13.0.31
stor-vip IN A 10.13.0.40
front-vrrp IN A 10.13.0.50
www IN CNAME model.local.
bc IN A 10.13.0.255
;
; users
user1 IN CNAME back.model.local.
www.user1 IN CNAME back.model.local.
user2 IN CNAME back.model.local.
www.user2 IN CNAME back.model.local.
;
</code>

== Зона обратного просмотра ==

Зона обратного просмотра управляется владельцем диапазона ip адресов.

Пример файла зоны обратного просмотра, для которой мы являемся мастером
<code>
;
$ORIGIN 0.13.10.IN-ADDR.ARPA.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
;
2 IN PTR ns1.model.local.
101 IN PTR netctrl-01.model.local.
255 IN PTR bc.model.local.
;
</code>

== Зоны по-умолчанию ==

Зона типа hint для домена точки со списком корневых серверов. Файл зона необходимо периодически обновлять с сервера ftp://ftp.internic.net/domain/named.cache

<code>
zone "." {
type hint;
file "/etc/bind/db.root";
};
</code>

Зоны замыкания на себя прямые, обратные и броадкастов.
<code>
zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
</code>

Пример прямой и обратной зоны замыкания на себя, входящих в дистрибутив BIND9
<code>
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1
</code>

<code>
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
1.0.0 IN PTR localhost.
</code>

== Типы ресурсных записей (RR) ==

=== SOA ===
SOA запись в файле зоны должна быть только одна. В файле она должна стоять первой.
Запись SOA определяет какой сервер является владельцем зоны и какие на зону установлены параметры.
После записи SOA надо обязательно указать IN NS запись с тем-же сервером, что и в заголовке.

Пример: домен example.com обслуживается серверами ns.example.com и ns.examle.net.
После указания директивы $ORIGIN сервер автоматически допишет за нас все неполные dns имена (таким образом hostmaster читается как hostmaster.example.com). Имя сервера вне зоны пишется полностью.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns hostmaster (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns
IN NS ns.example.net. ; out-of-zone
...
; A record for the NS RR above
ns IN A 192.168.2.1
;
</code>

Пример 2: домен example.com обслуживается двумя серверами вне зоны. Для них указаны полные имена в записях IN NS.
Т.к. домен обслуживается другими серверами никакие A записи не допускаются.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns.example.net. hostmaster.example.com. (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns.example.net. ; out-of-zone name server
IN NS ns.example.org. ; out-of-zone name server
</code>

=== NS ===
Инфраструктурная запись, указывающая имя сервера имен для данного домена.
Формат
<code>
owner-name ttl class rr target-name
example.com. IN NS ns1.example.com.
</code>

Согласно стандарту, каждый публичный домен должен иметь минимум 2 сервера имен. Частный домен может обслуживаться и одним сервером.

Если NS сервер для нашего домена находится в нашем домене, то мы обязаны указать A-запись для этого сервера (glue-record).
Если NS сервер лежит вне домена - A-запись указывать не нужно.

Пример: NS записи для основного домена и для делегированного поддомена с указанием glue-records.
<code>
$TTL 2d ; default TTL is 2 days
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; обязательно указываем адреса этих серверов
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
; переключение на поддомен
$ORIGIN us.example.com.
@ IN NS ns3.us.example.com.
IN NS ns1.example.com.
; обязательно указываем на сервер поддомена
ns3.us.example.com. A 10.10.0.24
</code>

=== A, AAAA ===
A-запись указывает на ip адрес для данного имени хоста. Опционально указать особо ttl.

Пример: различные вариации записи
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
joe IN A 192.168.0.3 ; одинаковые ip
www IN A 192.168.0.3
; можно указать домен полностью
www.example.com. A 192.168.0.3
fred 3600 IN A 192.168.0.4 ; указан другой ttl
ftp IN A 192.168.0.24 ; разные ip для одного имени
IN A 192.168.0.7
mail IN A 192.168.0.15 ; разные ip для одного имени
mail IN A 192.168.0.32
mail IN A 192.168.0.3
squat IN A 10.0.14.13 ; другая подсеть
</code>

AAAA-запись используется для IPv6 адресов
<code>
ws1-29 A 10.0.10.29
AAAA 2002:d4c0:4090::d110:1011
</code>

Когда одному имени сопоставлено много адресов, в обратной записи для адреса нужно выдрать только одно имя.

=== MX ===
Инфраструктурная запись указывающая на имя почтового сервера для домена.
Если имя сервера в этом-же домене - требуется еще А-запись с ip адресом почтового сервера.

Почтовых серверов для домена можно указать несколько с разными приоритетами.

Пример: почтовые сервера для домена и поддомена в одном файле
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com.
example.com. IN SOA ns1.example.com. root.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
; почтовый сервер для адресов вида user@example.com
IN MX 10 mail.example.com.
; почтовые сервера для поддомена user@us.example.com
us IN MX 10 mail.us.example.com.
us IN MX 20 mail.example.com.
; A-запись для основного почтового сервера
mail IN A 192.168.0.5
; Переключение на поддомен
$ORIGIN us.example.com.
; A-запись для почтового сервера поддомена
mail IN A 10.10.0.29
</code>

=== CNAME ===

Запись CNAME используется для указания псевдонима или ссылки одного имени на другое.
Если сервер вернул клиенту CNAME в ответ на запрос, то клиенту придется повторно делать запрос на разрешение CNAME.
Используется для удобства администрирования при наличии многих имен у одного сервера.

Примеры различных псевдонимов в домене example.com.:
<code>
joe IN A 192.168.254.3
www IN CNAME joe
www IN CNAME joe.example.com.
ftp IN CNAME www.example.com. ; паровоз
bill IN CNAME fred.another.com. ; перенаправление на имя в другом домене
;
IN A 192.168.254.8
www IN CNAME example.com.
</code>
=== DNAME ===
Перенаправление зон RFC 6672

=== PTR ===
Обратная запись указывает на имя по ip адресу. Используется специальный домен .IN-ADDR.ARPA.
Для IPv6 используется другой домен - IP6.ARPA. Поэтому обратные записи необходимо держать в разных файлах для ipv4 и ipv6.

Пример для IPv4:
<code>
$TTL 2d ; 172800 secs
$ORIGIN 23.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
12h ; refresh
15m ; update retry
3w ; expiry
3h ; minimum
)
IN NS ns1.example.com.
IN NS ns2.example.com.
2 IN PTR joe.example.com. ; FDQN
15 IN PTR www.example.com.
17 IN PTR bill.example.com.
74 IN PTR fred.example.com.
</code>

Пример для IPv6:
<code>
; reverse IPV6 zone file for example.com
$TTL 2d ; default TTL for zone 172800 secs
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; sn = serial number
12h ; refresh = refresh
15m ; retry = update retry
3w ; expiry = expiry
2h ; min = minimum
)
IN NS ns1.example.com.
IN NS ns2.example.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR ns1.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR mail.example.com.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR joe.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR www.example.com.
</code>
=== TEXT ===
=== SRV ===
=== Обратные зоны для бесклассовых подсетей ===
Приемы через CNAME и DNAME

== Директивы сервера bind==

$TTL
$ORIGIN

== View - ограничение видимости зон ==
Использование ограничения видимости позволяет применять различные опции по отношению к различным клиентам.
Опция вступают в действие в зависимости от ip адреса клиента - источника запроса.

Это позволяет использовать разные данные по одной и той-же зоне для разных клиентов.
Для внутренних клиентов мы должны разрешить рекурсивные запросы, для внешних - запретить.

В конфигурационном файле необходимо запретить рекурсию по-умолчанию (закомментировать).
На рубеже версии 9.5 поведение этого флажка меняется, на новых версиях надо оставить строчку включенной.
<code>
allow-recursion { any; };
</code>
На версии 9.8.4 поведение такое:
* allow-recursion { any; }; view recusion yes; - разрешает рекурсию. (на нерекурсивный запрос дает хинт root-list);
* allow-recursion { any; }; view recusion no; - запрещает рекурсию молча (no answer);
* allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
* закомментарен allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
Т.е. для нас актуальны первые два варианта.

Выключить проверку DNSSEC. Требуется если мы в лабораторных условиях сквоттим TLD.
<code>
dnssec-validation no;
</code>
Конфигурация зон /etc/bind/named.conf
<code>
; список доступа - наши внутренние клиенты
acl internal {
10.13.0.0/24;
localhost;
};

; область видимости для внутренних клиентов
view "internal-view" {
; клиент - соответствует списку доступа
match-clients { internal; };
; разрешена рекурсия для внутренних клиентов
recursion yes;

; зона видима только для внутренних клиентов
zone "model.local" in {
type master;
file "/etc/bind/db.model.local";
};

; зона видима для внутренних клиентов иначе, чем для внешних
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net.internal";
};

; обратная зона для внутренних клиентов тоже своя
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0.internal";
};

; дефолтные зоны сервера
include "/etc/bind/named.conf.default-zones";
};

; область видимости, доступная всем прочим клиентам
view "external-view" {
match-clients { any; };
; запрет рекурсии
recursion no;
; запрет добавления Additional секции со ссылками на root сервера для всех запросов, которых нет в зонах.
; заставляет bind отвечать REFUSED на запрос посторонних имен. (Блокировка Upward referrals)
additional-from-cache no;

; зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net";
};

; обратная зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0";
};

};

</code>

Обратите внимание: при запрете рекурсии внутри view перестанут работать CNAME на посторонние зоны.

При дублировании зон в областях видимости не забывайте прописать после NS записи еще и A-запись для вашего dns-сервера.
Внешние клиенты тоже должны знать ip адрес вашего NS.
Пример:
<code>
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014025006 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
IN MX 10 mail1
;
ns1 IN A 10.13.0.104 ; <--------- ОБЯЗАТЕЛЬНО
gw IN A 10.13.0.43
hi IN A 10.13.0.223
</code>

Если этого не сделать, в ответ на запрос к любому имени в зоне сервер будет отвечать ошибкой "ServerFail":
<code>
root@model-net-ctrl-1:/etc/bind# dig hi.model.local. @10.13.0.104
;; Got answer:
;; HEADER opcode: QUERY, status: SERVFAIL, id: 60022
</code>

== Запрет рекурсий ==
См. upward referrals debates
https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful

[[категория:Лекции]]
[[категория:Сети]]
[[категория:DNS]]

BIND9 (методическое пособие)

2020-03-11T12:01:31Z

Moiseevvi: /* Обратные зоны для бесклассовых подсетей */

= Архитектура DNS=
root(.)

gTLD

ccTLD

Домены, поддомены, псевдо-поддомены, зоны прямые и обратные

Делегирование зон

Трансфер зон

Рекурсивный и нерекурсивный запрос

Stub-resolver.
Тупиковый резолвер с кэшем поддерживает только рекурсивный запрос. (win: DNS-client)
TSIG протокол позволяет аутентифицировать передачу данных между DNS-серверами. Можно проверять подлинность данных при передаче зон, рекурсивных запросах, динамических обновлениях. Сами данные не шифруются, но подлинность проверяется. TSIG использует метки времени для предотвращения атаки повторения пакетов.

DNSSEC

=== nslookup ===

Пример dns запроса на сервер 10.13.0.101 - рекурсия разрешена:

root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50

Пример dns запроса на сервер 10.13.0.101 - рекурсия запрещена:
root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
** server can't find www.ru: REFUSED

=== dig ===
Пример запроса при помощи команды dig. Рекурсия запрещена
root@netctrl-01:/etc# dig +all ya.ru.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +all ya.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36103
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ya.ru. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 20 16:21:58 2014
;; MSG SIZE rcvd: 23

Рекурсия разрешена
<code>
root@netctrl-01:/etc/bind# dig +trace ya.ru.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace ya.ru.
;; global options: +cmd
. 510544 IN NS m.root-servers.net.
. 510544 IN NS b.root-servers.net.
. 510544 IN NS a.root-servers.net.
. 510544 IN NS g.root-servers.net.
. 510544 IN NS k.root-servers.net.
. 510544 IN NS f.root-servers.net.
. 510544 IN NS d.root-servers.net.
. 510544 IN NS j.root-servers.net.
. 510544 IN NS l.root-servers.net.
. 510544 IN NS h.root-servers.net.
. 510544 IN NS e.root-servers.net.
. 510544 IN NS i.root-servers.net.
. 510544 IN NS c.root-servers.net.
;; Received 512 bytes from 127.0.0.1#53(127.0.0.1) in 3 ms

ru. 172800 IN NS a.dns.ripn.net.
ru. 172800 IN NS b.dns.ripn.net.
ru. 172800 IN NS d.dns.ripn.net.
ru. 172800 IN NS e.dns.ripn.net.
ru. 172800 IN NS f.dns.ripn.net.
;; Received 335 bytes from 128.63.2.53#53(128.63.2.53) in 191 ms

ya.ru. 345600 IN NS ns1.yandex.ru.
ya.ru. 345600 IN NS ns2.yandex.ru.
;; Received 154 bytes from 193.232.156.17#53(193.232.156.17) in 288 ms

ya.ru. 7200 IN A 213.180.204.3
ya.ru. 7200 IN A 93.158.134.3
ya.ru. 7200 IN A 213.180.193.3
ya.ru. 7200 IN NS ns1.yandex.ru.
ya.ru. 7200 IN NS ns2.yandex.ru.
;; Received 202 bytes from 213.180.193.1#53(213.180.193.1) in 47 ms
</code>

= Сервер имен BIND9 =
== Управление ==
Проверяет конфиг сервера имен
named-checkconf

Перезагружает конфиг и зоны
rndc reload

Перезагружает только изменившиеся зоны
rndc reconfig

Запуск
service bind9 start

Состояние сервера
rndc status

Сброс кэша
rndc flush

Конфигурация и файлы зон по-умолчанию лежат в /etc/bind/

== Опции ==

Списки доступа
<code>
acl network1 {
1.2.3.0/24;
192.168.0.0/20;
};
acl GoodDns {
1.2.3.4;
};
</code>

Ограничение на трансфер зон и запросы
<code>
allow-transfer {
localhost;
GoodDns;
};
allow-query {
any;
};
</code>

Настройка зоны и подключение файла зоны
<code>
zone "example.com" {
type master;
file "/etc/bind/db.example.com.";
allow-query {
any;
};
};
</code>

== Зона прямого просмотра ==
Зоны прямого просмотра делегируются нам владельцем родительского домена.

Пример файла зоны, для которой мы являемся мастером (SOA ns1.model.local.)
Сервер ns.example.com. указан в качестве вторичного.

Параметры времени жизни записи:
* TTL - время, на которое запись считается действительной, после выдачи сервером. Записи в кэше хранятся в течение TTL.
* Negative Cache TTL - время действия ответа об отсутствии записи (NXDOMAIN). Запись о том, что запрошенное имя не существует хранится в кэше на это время.

TTL можно задавать отдельно для каждой записи. Negative Cache TTL - действует на зоны в целом.

<code>
;
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; Negative Cache TTL
;
IN NS ns1.model.local.
IN NS ns.example.com.
IN MX 10 mail1
;
gw IN A 10.13.0.1
; несколько имен на один адрес
ns1 IN A 10.13.0.2
net-ctrl-1 IN A 10.13.0.2
mail1 IN A 10.13.0.10
front2 IN A 10.13.0.11
back1 IN A 10.13.0.20
back2 IN A 10.13.0.21
; несколько адресов на одно имя - балансировка
back IN A 10.13.0.20
IN A 10.13.0.21
stor1 IN A 10.13.0.30
stor2 IN A 10.13.0.31
stor-vip IN A 10.13.0.40
front-vrrp IN A 10.13.0.50
www IN CNAME model.local.
bc IN A 10.13.0.255
;
; users
user1 IN CNAME back.model.local.
www.user1 IN CNAME back.model.local.
user2 IN CNAME back.model.local.
www.user2 IN CNAME back.model.local.
;
</code>

== Зона обратного просмотра ==

Зона обратного просмотра управляется владельцем диапазона ip адресов.

Пример файла зоны обратного просмотра, для которой мы являемся мастером
<code>
;
$ORIGIN 0.13.10.IN-ADDR.ARPA.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
;
2 IN PTR ns1.model.local.
101 IN PTR netctrl-01.model.local.
255 IN PTR bc.model.local.
;
</code>

== Зоны по-умолчанию ==

Зона типа hint для домена точки со списком корневых серверов. Файл зона необходимо периодически обновлять с сервера ftp://ftp.internic.net/domain/named.cache

<code>
zone "." {
type hint;
file "/etc/bind/db.root";
};
</code>

Зоны замыкания на себя прямые, обратные и броадкастов.
<code>
zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
</code>

Пример прямой и обратной зоны замыкания на себя, входящих в дистрибутив BIND9
<code>
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1
</code>

<code>
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
1.0.0 IN PTR localhost.
</code>

== Типы ресурсных записей (RR) ==

=== SOA ===
SOA запись в файле зоны должна быть только одна. В файле она должна стоять первой.
Запись SOA определяет какой сервер является владельцем зоны и какие на зону установлены параметры.
После записи SOA надо обязательно указать IN NS запись с тем-же сервером, что и в заголовке.

Пример: домен example.com обслуживается серверами ns.example.com и ns.examle.net.
После указания директивы $ORIGIN сервер автоматически допишет за нас все неполные dns имена (таким образом hostmaster читается как hostmaster.example.com). Имя сервера вне зоны пишется полностью.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns hostmaster (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns
IN NS ns.example.net. ; out-of-zone
...
; A record for the NS RR above
ns IN A 192.168.2.1
;
</code>

Пример 2: домен example.com обслуживается двумя серверами вне зоны. Для них указаны полные имена в записях IN NS.
Т.к. домен обслуживается другими серверами никакие A записи не допускаются.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns.example.net. hostmaster.example.com. (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns.example.net. ; out-of-zone name server
IN NS ns.example.org. ; out-of-zone name server
</code>

=== NS ===
Инфраструктурная запись, указывающая имя сервера имен для данного домена.
Формат
<code>
owner-name ttl class rr target-name
example.com. IN NS ns1.example.com.
</code>

Согласно стандарту, каждый публичный домен должен иметь минимум 2 сервера имен. Частный домен может обслуживаться и одним сервером.

Если NS сервер для нашего домена находится в нашем домене, то мы обязаны указать A-запись для этого сервера (glue-record).
Если NS сервер лежит вне домена - A-запись указывать не нужно.

Пример: NS записи для основного домена и для делегированного поддомена с указанием glue-records.
<code>
$TTL 2d ; default TTL is 2 days
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; обязательно указываем адреса этих серверов
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
; переключение на поддомен
$ORIGIN us.example.com.
@ IN NS ns3.us.example.com.
IN NS ns1.example.com.
; обязательно указываем на сервер поддомена
ns3.us.example.com. A 10.10.0.24
</code>

=== A, AAAA ===
A-запись указывает на ip адрес для данного имени хоста. Опционально указать особо ttl.

Пример: различные вариации записи
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
joe IN A 192.168.0.3 ; одинаковые ip
www IN A 192.168.0.3
; можно указать домен полностью
www.example.com. A 192.168.0.3
fred 3600 IN A 192.168.0.4 ; указан другой ttl
ftp IN A 192.168.0.24 ; разные ip для одного имени
IN A 192.168.0.7
mail IN A 192.168.0.15 ; разные ip для одного имени
mail IN A 192.168.0.32
mail IN A 192.168.0.3
squat IN A 10.0.14.13 ; другая подсеть
</code>

AAAA-запись используется для IPv6 адресов
<code>
ws1-29 A 10.0.10.29
AAAA 2002:d4c0:4090::d110:1011
</code>

Когда одному имени сопоставлено много адресов, в обратной записи для адреса нужно выдрать только одно имя.

=== MX ===
Инфраструктурная запись указывающая на имя почтового сервера для домена.
Если имя сервера в этом-же домене - требуется еще А-запись с ip адресом почтового сервера.

Почтовых серверов для домена можно указать несколько с разными приоритетами.

Пример: почтовые сервера для домена и поддомена в одном файле
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com.
example.com. IN SOA ns1.example.com. root.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
; почтовый сервер для адресов вида user@example.com
IN MX 10 mail.example.com.
; почтовые сервера для поддомена user@us.example.com
us IN MX 10 mail.us.example.com.
us IN MX 20 mail.example.com.
; A-запись для основного почтового сервера
mail IN A 192.168.0.5
; Переключение на поддомен
$ORIGIN us.example.com.
; A-запись для почтового сервера поддомена
mail IN A 10.10.0.29
</code>

=== CNAME ===

Запись CNAME используется для указания псевдонима или ссылки одного имени на другое.
Если сервер вернул клиенту CNAME в ответ на запрос, то клиенту придется повторно делать запрос на разрешение CNAME.
Используется для удобства администрирования при наличии многих имен у одного сервера.

Примеры различных псевдонимов в домене example.com.:
<code>
joe IN A 192.168.254.3
www IN CNAME joe
www IN CNAME joe.example.com.
ftp IN CNAME www.example.com. ; паровоз
bill IN CNAME fred.another.com. ; перенаправление на имя в другом домене
;
IN A 192.168.254.8
www IN CNAME example.com.
</code>
=== DNAME ===
Перенаправление зон

=== PTR ===
Обратная запись указывает на имя по ip адресу. Используется специальный домен .IN-ADDR.ARPA.
Для IPv6 используется другой домен - IP6.ARPA. Поэтому обратные записи необходимо держать в разных файлах для ipv4 и ipv6.

Пример для IPv4:
<code>
$TTL 2d ; 172800 secs
$ORIGIN 23.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
12h ; refresh
15m ; update retry
3w ; expiry
3h ; minimum
)
IN NS ns1.example.com.
IN NS ns2.example.com.
2 IN PTR joe.example.com. ; FDQN
15 IN PTR www.example.com.
17 IN PTR bill.example.com.
74 IN PTR fred.example.com.
</code>

Пример для IPv6:
<code>
; reverse IPV6 zone file for example.com
$TTL 2d ; default TTL for zone 172800 secs
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; sn = serial number
12h ; refresh = refresh
15m ; retry = update retry
3w ; expiry = expiry
2h ; min = minimum
)
IN NS ns1.example.com.
IN NS ns2.example.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR ns1.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR mail.example.com.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR joe.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR www.example.com.
</code>
=== TEXT ===
=== SRV ===
=== Обратные зоны для бесклассовых подсетей ===
Приемы через CNAME и DNAME

== Директивы сервера bind==

$TTL
$ORIGIN

== View - ограничение видимости зон ==
Использование ограничения видимости позволяет применять различные опции по отношению к различным клиентам.
Опция вступают в действие в зависимости от ip адреса клиента - источника запроса.

Это позволяет использовать разные данные по одной и той-же зоне для разных клиентов.
Для внутренних клиентов мы должны разрешить рекурсивные запросы, для внешних - запретить.

В конфигурационном файле необходимо запретить рекурсию по-умолчанию (закомментировать).
На рубеже версии 9.5 поведение этого флажка меняется, на новых версиях надо оставить строчку включенной.
<code>
allow-recursion { any; };
</code>
На версии 9.8.4 поведение такое:
* allow-recursion { any; }; view recusion yes; - разрешает рекурсию. (на нерекурсивный запрос дает хинт root-list);
* allow-recursion { any; }; view recusion no; - запрещает рекурсию молча (no answer);
* allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
* закомментарен allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
Т.е. для нас актуальны первые два варианта.

Выключить проверку DNSSEC. Требуется если мы в лабораторных условиях сквоттим TLD.
<code>
dnssec-validation no;
</code>
Конфигурация зон /etc/bind/named.conf
<code>
; список доступа - наши внутренние клиенты
acl internal {
10.13.0.0/24;
localhost;
};

; область видимости для внутренних клиентов
view "internal-view" {
; клиент - соответствует списку доступа
match-clients { internal; };
; разрешена рекурсия для внутренних клиентов
recursion yes;

; зона видима только для внутренних клиентов
zone "model.local" in {
type master;
file "/etc/bind/db.model.local";
};

; зона видима для внутренних клиентов иначе, чем для внешних
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net.internal";
};

; обратная зона для внутренних клиентов тоже своя
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0.internal";
};

; дефолтные зоны сервера
include "/etc/bind/named.conf.default-zones";
};

; область видимости, доступная всем прочим клиентам
view "external-view" {
match-clients { any; };
; запрет рекурсии
recursion no;
; запрет добавления Additional секции со ссылками на root сервера для всех запросов, которых нет в зонах.
; заставляет bind отвечать REFUSED на запрос посторонних имен. (Блокировка Upward referrals)
additional-from-cache no;

; зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net";
};

; обратная зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0";
};

};

</code>

Обратите внимание: при запрете рекурсии внутри view перестанут работать CNAME на посторонние зоны.

При дублировании зон в областях видимости не забывайте прописать после NS записи еще и A-запись для вашего dns-сервера.
Внешние клиенты тоже должны знать ip адрес вашего NS.
Пример:
<code>
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014025006 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
IN MX 10 mail1
;
ns1 IN A 10.13.0.104 ; <--------- ОБЯЗАТЕЛЬНО
gw IN A 10.13.0.43
hi IN A 10.13.0.223
</code>

Если этого не сделать, в ответ на запрос к любому имени в зоне сервер будет отвечать ошибкой "ServerFail":
<code>
root@model-net-ctrl-1:/etc/bind# dig hi.model.local. @10.13.0.104
;; Got answer:
;; HEADER opcode: QUERY, status: SERVFAIL, id: 60022
</code>

== Запрет рекурсий ==
См. upward referrals debates
https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful

[[категория:Лекции]]
[[категория:Сети]]
[[категория:DNS]]

BIND9 (методическое пособие)

2020-03-11T12:01:00Z

Moiseevvi: /* Типы ресурсных записей (RR) */

= Архитектура DNS=
root(.)

gTLD

ccTLD

Домены, поддомены, псевдо-поддомены, зоны прямые и обратные

Делегирование зон

Трансфер зон

Рекурсивный и нерекурсивный запрос

Stub-resolver.
Тупиковый резолвер с кэшем поддерживает только рекурсивный запрос. (win: DNS-client)
TSIG протокол позволяет аутентифицировать передачу данных между DNS-серверами. Можно проверять подлинность данных при передаче зон, рекурсивных запросах, динамических обновлениях. Сами данные не шифруются, но подлинность проверяется. TSIG использует метки времени для предотвращения атаки повторения пакетов.

DNSSEC

=== nslookup ===

Пример dns запроса на сервер 10.13.0.101 - рекурсия разрешена:

root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50

Пример dns запроса на сервер 10.13.0.101 - рекурсия запрещена:
root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
** server can't find www.ru: REFUSED

=== dig ===
Пример запроса при помощи команды dig. Рекурсия запрещена
root@netctrl-01:/etc# dig +all ya.ru.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +all ya.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36103
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ya.ru. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 20 16:21:58 2014
;; MSG SIZE rcvd: 23

Рекурсия разрешена
<code>
root@netctrl-01:/etc/bind# dig +trace ya.ru.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace ya.ru.
;; global options: +cmd
. 510544 IN NS m.root-servers.net.
. 510544 IN NS b.root-servers.net.
. 510544 IN NS a.root-servers.net.
. 510544 IN NS g.root-servers.net.
. 510544 IN NS k.root-servers.net.
. 510544 IN NS f.root-servers.net.
. 510544 IN NS d.root-servers.net.
. 510544 IN NS j.root-servers.net.
. 510544 IN NS l.root-servers.net.
. 510544 IN NS h.root-servers.net.
. 510544 IN NS e.root-servers.net.
. 510544 IN NS i.root-servers.net.
. 510544 IN NS c.root-servers.net.
;; Received 512 bytes from 127.0.0.1#53(127.0.0.1) in 3 ms

ru. 172800 IN NS a.dns.ripn.net.
ru. 172800 IN NS b.dns.ripn.net.
ru. 172800 IN NS d.dns.ripn.net.
ru. 172800 IN NS e.dns.ripn.net.
ru. 172800 IN NS f.dns.ripn.net.
;; Received 335 bytes from 128.63.2.53#53(128.63.2.53) in 191 ms

ya.ru. 345600 IN NS ns1.yandex.ru.
ya.ru. 345600 IN NS ns2.yandex.ru.
;; Received 154 bytes from 193.232.156.17#53(193.232.156.17) in 288 ms

ya.ru. 7200 IN A 213.180.204.3
ya.ru. 7200 IN A 93.158.134.3
ya.ru. 7200 IN A 213.180.193.3
ya.ru. 7200 IN NS ns1.yandex.ru.
ya.ru. 7200 IN NS ns2.yandex.ru.
;; Received 202 bytes from 213.180.193.1#53(213.180.193.1) in 47 ms
</code>

= Сервер имен BIND9 =
== Управление ==
Проверяет конфиг сервера имен
named-checkconf

Перезагружает конфиг и зоны
rndc reload

Перезагружает только изменившиеся зоны
rndc reconfig

Запуск
service bind9 start

Состояние сервера
rndc status

Сброс кэша
rndc flush

Конфигурация и файлы зон по-умолчанию лежат в /etc/bind/

== Опции ==

Списки доступа
<code>
acl network1 {
1.2.3.0/24;
192.168.0.0/20;
};
acl GoodDns {
1.2.3.4;
};
</code>

Ограничение на трансфер зон и запросы
<code>
allow-transfer {
localhost;
GoodDns;
};
allow-query {
any;
};
</code>

Настройка зоны и подключение файла зоны
<code>
zone "example.com" {
type master;
file "/etc/bind/db.example.com.";
allow-query {
any;
};
};
</code>

== Зона прямого просмотра ==
Зоны прямого просмотра делегируются нам владельцем родительского домена.

Пример файла зоны, для которой мы являемся мастером (SOA ns1.model.local.)
Сервер ns.example.com. указан в качестве вторичного.

Параметры времени жизни записи:
* TTL - время, на которое запись считается действительной, после выдачи сервером. Записи в кэше хранятся в течение TTL.
* Negative Cache TTL - время действия ответа об отсутствии записи (NXDOMAIN). Запись о том, что запрошенное имя не существует хранится в кэше на это время.

TTL можно задавать отдельно для каждой записи. Negative Cache TTL - действует на зоны в целом.

<code>
;
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; Negative Cache TTL
;
IN NS ns1.model.local.
IN NS ns.example.com.
IN MX 10 mail1
;
gw IN A 10.13.0.1
; несколько имен на один адрес
ns1 IN A 10.13.0.2
net-ctrl-1 IN A 10.13.0.2
mail1 IN A 10.13.0.10
front2 IN A 10.13.0.11
back1 IN A 10.13.0.20
back2 IN A 10.13.0.21
; несколько адресов на одно имя - балансировка
back IN A 10.13.0.20
IN A 10.13.0.21
stor1 IN A 10.13.0.30
stor2 IN A 10.13.0.31
stor-vip IN A 10.13.0.40
front-vrrp IN A 10.13.0.50
www IN CNAME model.local.
bc IN A 10.13.0.255
;
; users
user1 IN CNAME back.model.local.
www.user1 IN CNAME back.model.local.
user2 IN CNAME back.model.local.
www.user2 IN CNAME back.model.local.
;
</code>

== Зона обратного просмотра ==

Зона обратного просмотра управляется владельцем диапазона ip адресов.

Пример файла зоны обратного просмотра, для которой мы являемся мастером
<code>
;
$ORIGIN 0.13.10.IN-ADDR.ARPA.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
;
2 IN PTR ns1.model.local.
101 IN PTR netctrl-01.model.local.
255 IN PTR bc.model.local.
;
</code>

== Зоны по-умолчанию ==

Зона типа hint для домена точки со списком корневых серверов. Файл зона необходимо периодически обновлять с сервера ftp://ftp.internic.net/domain/named.cache

<code>
zone "." {
type hint;
file "/etc/bind/db.root";
};
</code>

Зоны замыкания на себя прямые, обратные и броадкастов.
<code>
zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
</code>

Пример прямой и обратной зоны замыкания на себя, входящих в дистрибутив BIND9
<code>
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1
</code>

<code>
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
1.0.0 IN PTR localhost.
</code>

== Типы ресурсных записей (RR) ==

=== SOA ===
SOA запись в файле зоны должна быть только одна. В файле она должна стоять первой.
Запись SOA определяет какой сервер является владельцем зоны и какие на зону установлены параметры.
После записи SOA надо обязательно указать IN NS запись с тем-же сервером, что и в заголовке.

Пример: домен example.com обслуживается серверами ns.example.com и ns.examle.net.
После указания директивы $ORIGIN сервер автоматически допишет за нас все неполные dns имена (таким образом hostmaster читается как hostmaster.example.com). Имя сервера вне зоны пишется полностью.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns hostmaster (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns
IN NS ns.example.net. ; out-of-zone
...
; A record for the NS RR above
ns IN A 192.168.2.1
;
</code>

Пример 2: домен example.com обслуживается двумя серверами вне зоны. Для них указаны полные имена в записях IN NS.
Т.к. домен обслуживается другими серверами никакие A записи не допускаются.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns.example.net. hostmaster.example.com. (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns.example.net. ; out-of-zone name server
IN NS ns.example.org. ; out-of-zone name server
</code>

=== NS ===
Инфраструктурная запись, указывающая имя сервера имен для данного домена.
Формат
<code>
owner-name ttl class rr target-name
example.com. IN NS ns1.example.com.
</code>

Согласно стандарту, каждый публичный домен должен иметь минимум 2 сервера имен. Частный домен может обслуживаться и одним сервером.

Если NS сервер для нашего домена находится в нашем домене, то мы обязаны указать A-запись для этого сервера (glue-record).
Если NS сервер лежит вне домена - A-запись указывать не нужно.

Пример: NS записи для основного домена и для делегированного поддомена с указанием glue-records.
<code>
$TTL 2d ; default TTL is 2 days
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; обязательно указываем адреса этих серверов
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
; переключение на поддомен
$ORIGIN us.example.com.
@ IN NS ns3.us.example.com.
IN NS ns1.example.com.
; обязательно указываем на сервер поддомена
ns3.us.example.com. A 10.10.0.24
</code>

=== A, AAAA ===
A-запись указывает на ip адрес для данного имени хоста. Опционально указать особо ttl.

Пример: различные вариации записи
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
joe IN A 192.168.0.3 ; одинаковые ip
www IN A 192.168.0.3
; можно указать домен полностью
www.example.com. A 192.168.0.3
fred 3600 IN A 192.168.0.4 ; указан другой ttl
ftp IN A 192.168.0.24 ; разные ip для одного имени
IN A 192.168.0.7
mail IN A 192.168.0.15 ; разные ip для одного имени
mail IN A 192.168.0.32
mail IN A 192.168.0.3
squat IN A 10.0.14.13 ; другая подсеть
</code>

AAAA-запись используется для IPv6 адресов
<code>
ws1-29 A 10.0.10.29
AAAA 2002:d4c0:4090::d110:1011
</code>

Когда одному имени сопоставлено много адресов, в обратной записи для адреса нужно выдрать только одно имя.

=== MX ===
Инфраструктурная запись указывающая на имя почтового сервера для домена.
Если имя сервера в этом-же домене - требуется еще А-запись с ip адресом почтового сервера.

Почтовых серверов для домена можно указать несколько с разными приоритетами.

Пример: почтовые сервера для домена и поддомена в одном файле
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com.
example.com. IN SOA ns1.example.com. root.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
; почтовый сервер для адресов вида user@example.com
IN MX 10 mail.example.com.
; почтовые сервера для поддомена user@us.example.com
us IN MX 10 mail.us.example.com.
us IN MX 20 mail.example.com.
; A-запись для основного почтового сервера
mail IN A 192.168.0.5
; Переключение на поддомен
$ORIGIN us.example.com.
; A-запись для почтового сервера поддомена
mail IN A 10.10.0.29
</code>

=== CNAME ===

Запись CNAME используется для указания псевдонима или ссылки одного имени на другое.
Если сервер вернул клиенту CNAME в ответ на запрос, то клиенту придется повторно делать запрос на разрешение CNAME.
Используется для удобства администрирования при наличии многих имен у одного сервера.

Примеры различных псевдонимов в домене example.com.:
<code>
joe IN A 192.168.254.3
www IN CNAME joe
www IN CNAME joe.example.com.
ftp IN CNAME www.example.com. ; паровоз
bill IN CNAME fred.another.com. ; перенаправление на имя в другом домене
;
IN A 192.168.254.8
www IN CNAME example.com.
</code>
=== DNAME ===
Перенаправление зон

=== PTR ===
Обратная запись указывает на имя по ip адресу. Используется специальный домен .IN-ADDR.ARPA.
Для IPv6 используется другой домен - IP6.ARPA. Поэтому обратные записи необходимо держать в разных файлах для ipv4 и ipv6.

Пример для IPv4:
<code>
$TTL 2d ; 172800 secs
$ORIGIN 23.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
12h ; refresh
15m ; update retry
3w ; expiry
3h ; minimum
)
IN NS ns1.example.com.
IN NS ns2.example.com.
2 IN PTR joe.example.com. ; FDQN
15 IN PTR www.example.com.
17 IN PTR bill.example.com.
74 IN PTR fred.example.com.
</code>

Пример для IPv6:
<code>
; reverse IPV6 zone file for example.com
$TTL 2d ; default TTL for zone 172800 secs
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; sn = serial number
12h ; refresh = refresh
15m ; retry = update retry
3w ; expiry = expiry
2h ; min = minimum
)
IN NS ns1.example.com.
IN NS ns2.example.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR ns1.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR mail.example.com.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR joe.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR www.example.com.
</code>
=== TEXT ===
=== SRV ===
=== Обратные зоны для бесклассовых подсетей ===

== Директивы сервера bind==

$TTL
$ORIGIN

== View - ограничение видимости зон ==
Использование ограничения видимости позволяет применять различные опции по отношению к различным клиентам.
Опция вступают в действие в зависимости от ip адреса клиента - источника запроса.

Это позволяет использовать разные данные по одной и той-же зоне для разных клиентов.
Для внутренних клиентов мы должны разрешить рекурсивные запросы, для внешних - запретить.

В конфигурационном файле необходимо запретить рекурсию по-умолчанию (закомментировать).
На рубеже версии 9.5 поведение этого флажка меняется, на новых версиях надо оставить строчку включенной.
<code>
allow-recursion { any; };
</code>
На версии 9.8.4 поведение такое:
* allow-recursion { any; }; view recusion yes; - разрешает рекурсию. (на нерекурсивный запрос дает хинт root-list);
* allow-recursion { any; }; view recusion no; - запрещает рекурсию молча (no answer);
* allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
* закомментарен allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
Т.е. для нас актуальны первые два варианта.

Выключить проверку DNSSEC. Требуется если мы в лабораторных условиях сквоттим TLD.
<code>
dnssec-validation no;
</code>
Конфигурация зон /etc/bind/named.conf
<code>
; список доступа - наши внутренние клиенты
acl internal {
10.13.0.0/24;
localhost;
};

; область видимости для внутренних клиентов
view "internal-view" {
; клиент - соответствует списку доступа
match-clients { internal; };
; разрешена рекурсия для внутренних клиентов
recursion yes;

; зона видима только для внутренних клиентов
zone "model.local" in {
type master;
file "/etc/bind/db.model.local";
};

; зона видима для внутренних клиентов иначе, чем для внешних
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net.internal";
};

; обратная зона для внутренних клиентов тоже своя
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0.internal";
};

; дефолтные зоны сервера
include "/etc/bind/named.conf.default-zones";
};

; область видимости, доступная всем прочим клиентам
view "external-view" {
match-clients { any; };
; запрет рекурсии
recursion no;
; запрет добавления Additional секции со ссылками на root сервера для всех запросов, которых нет в зонах.
; заставляет bind отвечать REFUSED на запрос посторонних имен. (Блокировка Upward referrals)
additional-from-cache no;

; зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net";
};

; обратная зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0";
};

};

</code>

Обратите внимание: при запрете рекурсии внутри view перестанут работать CNAME на посторонние зоны.

При дублировании зон в областях видимости не забывайте прописать после NS записи еще и A-запись для вашего dns-сервера.
Внешние клиенты тоже должны знать ip адрес вашего NS.
Пример:
<code>
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014025006 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
IN MX 10 mail1
;
ns1 IN A 10.13.0.104 ; <--------- ОБЯЗАТЕЛЬНО
gw IN A 10.13.0.43
hi IN A 10.13.0.223
</code>

Если этого не сделать, в ответ на запрос к любому имени в зоне сервер будет отвечать ошибкой "ServerFail":
<code>
root@model-net-ctrl-1:/etc/bind# dig hi.model.local. @10.13.0.104
;; Got answer:
;; HEADER opcode: QUERY, status: SERVFAIL, id: 60022
</code>

== Запрет рекурсий ==
См. upward referrals debates
https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful

[[категория:Лекции]]
[[категория:Сети]]
[[категория:DNS]]

BIND9 (методическое пособие)

2020-03-11T10:15:14Z

Moiseevvi: /* Запрет рекурсий */

= Архитектура DNS=
root(.)

gTLD

ccTLD

Домены, поддомены, псевдо-поддомены, зоны прямые и обратные

Делегирование зон

Трансфер зон

Рекурсивный и нерекурсивный запрос

Stub-resolver.
Тупиковый резолвер с кэшем поддерживает только рекурсивный запрос. (win: DNS-client)
TSIG протокол позволяет аутентифицировать передачу данных между DNS-серверами. Можно проверять подлинность данных при передаче зон, рекурсивных запросах, динамических обновлениях. Сами данные не шифруются, но подлинность проверяется. TSIG использует метки времени для предотвращения атаки повторения пакетов.

DNSSEC

=== nslookup ===

Пример dns запроса на сервер 10.13.0.101 - рекурсия разрешена:

root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50

Пример dns запроса на сервер 10.13.0.101 - рекурсия запрещена:
root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
** server can't find www.ru: REFUSED

=== dig ===
Пример запроса при помощи команды dig. Рекурсия запрещена
root@netctrl-01:/etc# dig +all ya.ru.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +all ya.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36103
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ya.ru. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 20 16:21:58 2014
;; MSG SIZE rcvd: 23

Рекурсия разрешена
<code>
root@netctrl-01:/etc/bind# dig +trace ya.ru.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace ya.ru.
;; global options: +cmd
. 510544 IN NS m.root-servers.net.
. 510544 IN NS b.root-servers.net.
. 510544 IN NS a.root-servers.net.
. 510544 IN NS g.root-servers.net.
. 510544 IN NS k.root-servers.net.
. 510544 IN NS f.root-servers.net.
. 510544 IN NS d.root-servers.net.
. 510544 IN NS j.root-servers.net.
. 510544 IN NS l.root-servers.net.
. 510544 IN NS h.root-servers.net.
. 510544 IN NS e.root-servers.net.
. 510544 IN NS i.root-servers.net.
. 510544 IN NS c.root-servers.net.
;; Received 512 bytes from 127.0.0.1#53(127.0.0.1) in 3 ms

ru. 172800 IN NS a.dns.ripn.net.
ru. 172800 IN NS b.dns.ripn.net.
ru. 172800 IN NS d.dns.ripn.net.
ru. 172800 IN NS e.dns.ripn.net.
ru. 172800 IN NS f.dns.ripn.net.
;; Received 335 bytes from 128.63.2.53#53(128.63.2.53) in 191 ms

ya.ru. 345600 IN NS ns1.yandex.ru.
ya.ru. 345600 IN NS ns2.yandex.ru.
;; Received 154 bytes from 193.232.156.17#53(193.232.156.17) in 288 ms

ya.ru. 7200 IN A 213.180.204.3
ya.ru. 7200 IN A 93.158.134.3
ya.ru. 7200 IN A 213.180.193.3
ya.ru. 7200 IN NS ns1.yandex.ru.
ya.ru. 7200 IN NS ns2.yandex.ru.
;; Received 202 bytes from 213.180.193.1#53(213.180.193.1) in 47 ms
</code>

= Сервер имен BIND9 =
== Управление ==
Проверяет конфиг сервера имен
named-checkconf

Перезагружает конфиг и зоны
rndc reload

Перезагружает только изменившиеся зоны
rndc reconfig

Запуск
service bind9 start

Состояние сервера
rndc status

Сброс кэша
rndc flush

Конфигурация и файлы зон по-умолчанию лежат в /etc/bind/

== Опции ==

Списки доступа
<code>
acl network1 {
1.2.3.0/24;
192.168.0.0/20;
};
acl GoodDns {
1.2.3.4;
};
</code>

Ограничение на трансфер зон и запросы
<code>
allow-transfer {
localhost;
GoodDns;
};
allow-query {
any;
};
</code>

Настройка зоны и подключение файла зоны
<code>
zone "example.com" {
type master;
file "/etc/bind/db.example.com.";
allow-query {
any;
};
};
</code>

== Зона прямого просмотра ==
Зоны прямого просмотра делегируются нам владельцем родительского домена.

Пример файла зоны, для которой мы являемся мастером (SOA ns1.model.local.)
Сервер ns.example.com. указан в качестве вторичного.

Параметры времени жизни записи:
* TTL - время, на которое запись считается действительной, после выдачи сервером. Записи в кэше хранятся в течение TTL.
* Negative Cache TTL - время действия ответа об отсутствии записи (NXDOMAIN). Запись о том, что запрошенное имя не существует хранится в кэше на это время.

TTL можно задавать отдельно для каждой записи. Negative Cache TTL - действует на зоны в целом.

<code>
;
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; Negative Cache TTL
;
IN NS ns1.model.local.
IN NS ns.example.com.
IN MX 10 mail1
;
gw IN A 10.13.0.1
; несколько имен на один адрес
ns1 IN A 10.13.0.2
net-ctrl-1 IN A 10.13.0.2
mail1 IN A 10.13.0.10
front2 IN A 10.13.0.11
back1 IN A 10.13.0.20
back2 IN A 10.13.0.21
; несколько адресов на одно имя - балансировка
back IN A 10.13.0.20
IN A 10.13.0.21
stor1 IN A 10.13.0.30
stor2 IN A 10.13.0.31
stor-vip IN A 10.13.0.40
front-vrrp IN A 10.13.0.50
www IN CNAME model.local.
bc IN A 10.13.0.255
;
; users
user1 IN CNAME back.model.local.
www.user1 IN CNAME back.model.local.
user2 IN CNAME back.model.local.
www.user2 IN CNAME back.model.local.
;
</code>

== Зона обратного просмотра ==

Зона обратного просмотра управляется владельцем диапазона ip адресов.

Пример файла зоны обратного просмотра, для которой мы являемся мастером
<code>
;
$ORIGIN 0.13.10.IN-ADDR.ARPA.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
;
2 IN PTR ns1.model.local.
101 IN PTR netctrl-01.model.local.
255 IN PTR bc.model.local.
;
</code>

== Зоны по-умолчанию ==

Зона типа hint для домена точки со списком корневых серверов. Файл зона необходимо периодически обновлять с сервера ftp://ftp.internic.net/domain/named.cache

<code>
zone "." {
type hint;
file "/etc/bind/db.root";
};
</code>

Зоны замыкания на себя прямые, обратные и броадкастов.
<code>
zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
</code>

Пример прямой и обратной зоны замыкания на себя, входящих в дистрибутив BIND9
<code>
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1
</code>

<code>
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
1.0.0 IN PTR localhost.
</code>

== Типы ресурсных записей (RR) ==

=== SOA ===
SOA запись в файле зоны должна быть только одна. В файле она должна стоять первой.
Запись SOA определяет какой сервер является владельцем зоны и какие на зону установлены параметры.
После записи SOA надо обязательно указать IN NS запись с тем-же сервером, что и в заголовке.

Пример: домен example.com обслуживается серверами ns.example.com и ns.examle.net.
После указания директивы $ORIGIN сервер автоматически допишет за нас все неполные dns имена (таким образом hostmaster читается как hostmaster.example.com). Имя сервера вне зоны пишется полностью.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns hostmaster (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns
IN NS ns.example.net. ; out-of-zone
...
; A record for the NS RR above
ns IN A 192.168.2.1
;
</code>

Пример 2: домен example.com обслуживается двумя серверами вне зоны. Для них указаны полные имена в записях IN NS.
Т.к. домен обслуживается другими серверами никакие A записи не допускаются.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns.example.net. hostmaster.example.com. (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns.example.net. ; out-of-zone name server
IN NS ns.example.org. ; out-of-zone name server
</code>

=== NS ===
Инфраструктурная запись, указывающая имя сервера имен для данного домена.
Формат
<code>
owner-name ttl class rr target-name
example.com. IN NS ns1.example.com.
</code>

Согласно стандарту, каждый публичный домен должен иметь минимум 2 сервера имен. Частный домен может обслуживаться и одним сервером.

Если NS сервер для нашего домена находится в нашем домене, то мы обязаны указать A-запись для этого сервера (glue-record).
Если NS сервер лежит вне домена - A-запись указывать не нужно.

Пример: NS записи для основного домена и для делегированного поддомена с указанием glue-records.
<code>
$TTL 2d ; default TTL is 2 days
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; обязательно указываем адреса этих серверов
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
; переключение на поддомен
$ORIGIN us.example.com.
@ IN NS ns3.us.example.com.
IN NS ns1.example.com.
; обязательно указываем на сервер поддомена
ns3.us.example.com. A 10.10.0.24
</code>

=== A, AAAA ===
A-запись указывает на ip адрес для данного имени хоста. Опционально указать особо ttl.

Пример: различные вариации записи
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
joe IN A 192.168.0.3 ; одинаковые ip
www IN A 192.168.0.3
; можно указать домен полностью
www.example.com. A 192.168.0.3
fred 3600 IN A 192.168.0.4 ; указан другой ttl
ftp IN A 192.168.0.24 ; разные ip для одного имени
IN A 192.168.0.7
mail IN A 192.168.0.15 ; разные ip для одного имени
mail IN A 192.168.0.32
mail IN A 192.168.0.3
squat IN A 10.0.14.13 ; другая подсеть
</code>

AAAA-запись используется для IPv6 адресов
<code>
ws1-29 A 10.0.10.29
AAAA 2002:d4c0:4090::d110:1011
</code>

Когда одному имени сопоставлено много адресов, в обратной записи для адреса нужно выдрать только одно имя.

=== MX ===
Инфраструктурная запись указывающая на имя почтового сервера для домена.
Если имя сервера в этом-же домене - требуется еще А-запись с ip адресом почтового сервера.

Почтовых серверов для домена можно указать несколько с разными приоритетами.

Пример: почтовые сервера для домена и поддомена в одном файле
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com.
example.com. IN SOA ns1.example.com. root.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
; почтовый сервер для адресов вида user@example.com
IN MX 10 mail.example.com.
; почтовые сервера для поддомена user@us.example.com
us IN MX 10 mail.us.example.com.
us IN MX 20 mail.example.com.
; A-запись для основного почтового сервера
mail IN A 192.168.0.5
; Переключение на поддомен
$ORIGIN us.example.com.
; A-запись для почтового сервера поддомена
mail IN A 10.10.0.29
</code>

=== CNAME ===

Запись CNAME используется для указания псевдонима или ссылки одного имени на другое.
Если сервер вернул клиенту CNAME в ответ на запрос, то клиенту придется повторно делать запрос на разрешение CNAME.
Используется для удобства администрирования при наличии многих имен у одного сервера.

Примеры различных псевдонимов в домене example.com.:
<code>
joe IN A 192.168.254.3
www IN CNAME joe
www IN CNAME joe.example.com.
ftp IN CNAME www.example.com. ; паровоз
bill IN CNAME fred.another.com. ; перенаправление на имя в другом домене
;
IN A 192.168.254.8
www IN CNAME example.com.
</code>

=== PTR ===
Обратная запись указывает на имя по ip адресу. Используется специальный домен .IN-ADDR.ARPA.
Для IPv6 используется другой домен - IP6.ARPA. Поэтому обратные записи необходимо держать в разных файлах для ipv4 и ipv6.

Пример для IPv4:
<code>
$TTL 2d ; 172800 secs
$ORIGIN 23.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
12h ; refresh
15m ; update retry
3w ; expiry
3h ; minimum
)
IN NS ns1.example.com.
IN NS ns2.example.com.
2 IN PTR joe.example.com. ; FDQN
15 IN PTR www.example.com.
17 IN PTR bill.example.com.
74 IN PTR fred.example.com.
</code>

Пример для IPv6:
<code>
; reverse IPV6 zone file for example.com
$TTL 2d ; default TTL for zone 172800 secs
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; sn = serial number
12h ; refresh = refresh
15m ; retry = update retry
3w ; expiry = expiry
2h ; min = minimum
)
IN NS ns1.example.com.
IN NS ns2.example.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR ns1.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR mail.example.com.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR joe.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR www.example.com.
</code>

=== SRV ===

== Директивы сервера bind==

$TTL
$ORIGIN

== View - ограничение видимости зон ==
Использование ограничения видимости позволяет применять различные опции по отношению к различным клиентам.
Опция вступают в действие в зависимости от ip адреса клиента - источника запроса.

Это позволяет использовать разные данные по одной и той-же зоне для разных клиентов.
Для внутренних клиентов мы должны разрешить рекурсивные запросы, для внешних - запретить.

В конфигурационном файле необходимо запретить рекурсию по-умолчанию (закомментировать).
На рубеже версии 9.5 поведение этого флажка меняется, на новых версиях надо оставить строчку включенной.
<code>
allow-recursion { any; };
</code>
На версии 9.8.4 поведение такое:
* allow-recursion { any; }; view recusion yes; - разрешает рекурсию. (на нерекурсивный запрос дает хинт root-list);
* allow-recursion { any; }; view recusion no; - запрещает рекурсию молча (no answer);
* allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
* закомментарен allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
Т.е. для нас актуальны первые два варианта.

Выключить проверку DNSSEC. Требуется если мы в лабораторных условиях сквоттим TLD.
<code>
dnssec-validation no;
</code>
Конфигурация зон /etc/bind/named.conf
<code>
; список доступа - наши внутренние клиенты
acl internal {
10.13.0.0/24;
localhost;
};

; область видимости для внутренних клиентов
view "internal-view" {
; клиент - соответствует списку доступа
match-clients { internal; };
; разрешена рекурсия для внутренних клиентов
recursion yes;

; зона видима только для внутренних клиентов
zone "model.local" in {
type master;
file "/etc/bind/db.model.local";
};

; зона видима для внутренних клиентов иначе, чем для внешних
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net.internal";
};

; обратная зона для внутренних клиентов тоже своя
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0.internal";
};

; дефолтные зоны сервера
include "/etc/bind/named.conf.default-zones";
};

; область видимости, доступная всем прочим клиентам
view "external-view" {
match-clients { any; };
; запрет рекурсии
recursion no;
; запрет добавления Additional секции со ссылками на root сервера для всех запросов, которых нет в зонах.
; заставляет bind отвечать REFUSED на запрос посторонних имен. (Блокировка Upward referrals)
additional-from-cache no;

; зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net";
};

; обратная зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0";
};

};

</code>

Обратите внимание: при запрете рекурсии внутри view перестанут работать CNAME на посторонние зоны.

При дублировании зон в областях видимости не забывайте прописать после NS записи еще и A-запись для вашего dns-сервера.
Внешние клиенты тоже должны знать ip адрес вашего NS.
Пример:
<code>
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014025006 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
IN MX 10 mail1
;
ns1 IN A 10.13.0.104 ; <--------- ОБЯЗАТЕЛЬНО
gw IN A 10.13.0.43
hi IN A 10.13.0.223
</code>

Если этого не сделать, в ответ на запрос к любому имени в зоне сервер будет отвечать ошибкой "ServerFail":
<code>
root@model-net-ctrl-1:/etc/bind# dig hi.model.local. @10.13.0.104
;; Got answer:
;; HEADER opcode: QUERY, status: SERVFAIL, id: 60022
</code>

== Запрет рекурсий ==
См. upward referrals debates
https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful

[[категория:Лекции]]
[[категория:Сети]]
[[категория:DNS]]

BIND9 (методическое пособие)

2020-03-11T10:14:36Z

Moiseevvi: /* View - ограничение видимости зон */

= Архитектура DNS=
root(.)

gTLD

ccTLD

Домены, поддомены, псевдо-поддомены, зоны прямые и обратные

Делегирование зон

Трансфер зон

Рекурсивный и нерекурсивный запрос

Stub-resolver.
Тупиковый резолвер с кэшем поддерживает только рекурсивный запрос. (win: DNS-client)
TSIG протокол позволяет аутентифицировать передачу данных между DNS-серверами. Можно проверять подлинность данных при передаче зон, рекурсивных запросах, динамических обновлениях. Сами данные не шифруются, но подлинность проверяется. TSIG использует метки времени для предотвращения атаки повторения пакетов.

DNSSEC

=== nslookup ===

Пример dns запроса на сервер 10.13.0.101 - рекурсия разрешена:

root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50

Пример dns запроса на сервер 10.13.0.101 - рекурсия запрещена:
root@netctrl-01:/etc/bind# nslookup www.ru. 10.13.0.101
Server: 10.13.0.101
Address: 10.13.0.101#53
** server can't find www.ru: REFUSED

=== dig ===
Пример запроса при помощи команды dig. Рекурсия запрещена
root@netctrl-01:/etc# dig +all ya.ru.
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +all ya.ru.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 36103
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;ya.ru. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Feb 20 16:21:58 2014
;; MSG SIZE rcvd: 23

Рекурсия разрешена
<code>
root@netctrl-01:/etc/bind# dig +trace ya.ru.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace ya.ru.
;; global options: +cmd
. 510544 IN NS m.root-servers.net.
. 510544 IN NS b.root-servers.net.
. 510544 IN NS a.root-servers.net.
. 510544 IN NS g.root-servers.net.
. 510544 IN NS k.root-servers.net.
. 510544 IN NS f.root-servers.net.
. 510544 IN NS d.root-servers.net.
. 510544 IN NS j.root-servers.net.
. 510544 IN NS l.root-servers.net.
. 510544 IN NS h.root-servers.net.
. 510544 IN NS e.root-servers.net.
. 510544 IN NS i.root-servers.net.
. 510544 IN NS c.root-servers.net.
;; Received 512 bytes from 127.0.0.1#53(127.0.0.1) in 3 ms

ru. 172800 IN NS a.dns.ripn.net.
ru. 172800 IN NS b.dns.ripn.net.
ru. 172800 IN NS d.dns.ripn.net.
ru. 172800 IN NS e.dns.ripn.net.
ru. 172800 IN NS f.dns.ripn.net.
;; Received 335 bytes from 128.63.2.53#53(128.63.2.53) in 191 ms

ya.ru. 345600 IN NS ns1.yandex.ru.
ya.ru. 345600 IN NS ns2.yandex.ru.
;; Received 154 bytes from 193.232.156.17#53(193.232.156.17) in 288 ms

ya.ru. 7200 IN A 213.180.204.3
ya.ru. 7200 IN A 93.158.134.3
ya.ru. 7200 IN A 213.180.193.3
ya.ru. 7200 IN NS ns1.yandex.ru.
ya.ru. 7200 IN NS ns2.yandex.ru.
;; Received 202 bytes from 213.180.193.1#53(213.180.193.1) in 47 ms
</code>

= Сервер имен BIND9 =
== Управление ==
Проверяет конфиг сервера имен
named-checkconf

Перезагружает конфиг и зоны
rndc reload

Перезагружает только изменившиеся зоны
rndc reconfig

Запуск
service bind9 start

Состояние сервера
rndc status

Сброс кэша
rndc flush

Конфигурация и файлы зон по-умолчанию лежат в /etc/bind/

== Опции ==

Списки доступа
<code>
acl network1 {
1.2.3.0/24;
192.168.0.0/20;
};
acl GoodDns {
1.2.3.4;
};
</code>

Ограничение на трансфер зон и запросы
<code>
allow-transfer {
localhost;
GoodDns;
};
allow-query {
any;
};
</code>

Настройка зоны и подключение файла зоны
<code>
zone "example.com" {
type master;
file "/etc/bind/db.example.com.";
allow-query {
any;
};
};
</code>

== Зона прямого просмотра ==
Зоны прямого просмотра делегируются нам владельцем родительского домена.

Пример файла зоны, для которой мы являемся мастером (SOA ns1.model.local.)
Сервер ns.example.com. указан в качестве вторичного.

Параметры времени жизни записи:
* TTL - время, на которое запись считается действительной, после выдачи сервером. Записи в кэше хранятся в течение TTL.
* Negative Cache TTL - время действия ответа об отсутствии записи (NXDOMAIN). Запись о том, что запрошенное имя не существует хранится в кэше на это время.

TTL можно задавать отдельно для каждой записи. Negative Cache TTL - действует на зоны в целом.

<code>
;
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; Negative Cache TTL
;
IN NS ns1.model.local.
IN NS ns.example.com.
IN MX 10 mail1
;
gw IN A 10.13.0.1
; несколько имен на один адрес
ns1 IN A 10.13.0.2
net-ctrl-1 IN A 10.13.0.2
mail1 IN A 10.13.0.10
front2 IN A 10.13.0.11
back1 IN A 10.13.0.20
back2 IN A 10.13.0.21
; несколько адресов на одно имя - балансировка
back IN A 10.13.0.20
IN A 10.13.0.21
stor1 IN A 10.13.0.30
stor2 IN A 10.13.0.31
stor-vip IN A 10.13.0.40
front-vrrp IN A 10.13.0.50
www IN CNAME model.local.
bc IN A 10.13.0.255
;
; users
user1 IN CNAME back.model.local.
www.user1 IN CNAME back.model.local.
user2 IN CNAME back.model.local.
www.user2 IN CNAME back.model.local.
;
</code>

== Зона обратного просмотра ==

Зона обратного просмотра управляется владельцем диапазона ip адресов.

Пример файла зоны обратного просмотра, для которой мы являемся мастером
<code>
;
$ORIGIN 0.13.10.IN-ADDR.ARPA.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014023001 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
;
2 IN PTR ns1.model.local.
101 IN PTR netctrl-01.model.local.
255 IN PTR bc.model.local.
;
</code>

== Зоны по-умолчанию ==

Зона типа hint для домена точки со списком корневых серверов. Файл зона необходимо периодически обновлять с сервера ftp://ftp.internic.net/domain/named.cache

<code>
zone "." {
type hint;
file "/etc/bind/db.root";
};
</code>

Зоны замыкания на себя прямые, обратные и броадкастов.
<code>
zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
</code>

Пример прямой и обратной зоны замыкания на себя, входящих в дистрибутив BIND9
<code>
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1
</code>

<code>
;
$TTL 604800
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS localhost.
1.0.0 IN PTR localhost.
</code>

== Типы ресурсных записей (RR) ==

=== SOA ===
SOA запись в файле зоны должна быть только одна. В файле она должна стоять первой.
Запись SOA определяет какой сервер является владельцем зоны и какие на зону установлены параметры.
После записи SOA надо обязательно указать IN NS запись с тем-же сервером, что и в заголовке.

Пример: домен example.com обслуживается серверами ns.example.com и ns.examle.net.
После указания директивы $ORIGIN сервер автоматически допишет за нас все неполные dns имена (таким образом hostmaster читается как hostmaster.example.com). Имя сервера вне зоны пишется полностью.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns hostmaster (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns
IN NS ns.example.net. ; out-of-zone
...
; A record for the NS RR above
ns IN A 192.168.2.1
;
</code>

Пример 2: домен example.com обслуживается двумя серверами вне зоны. Для них указаны полные имена в записях IN NS.
Т.к. домен обслуживается другими серверами никакие A записи не допускаются.
<code>
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN example.com.
@ IN SOA ns.example.net. hostmaster.example.com. (
2003080800 ; serial number
1d12h ; refresh = 1 day 12 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns.example.net. ; out-of-zone name server
IN NS ns.example.org. ; out-of-zone name server
</code>

=== NS ===
Инфраструктурная запись, указывающая имя сервера имен для данного домена.
Формат
<code>
owner-name ttl class rr target-name
example.com. IN NS ns1.example.com.
</code>

Согласно стандарту, каждый публичный домен должен иметь минимум 2 сервера имен. Частный домен может обслуживаться и одним сервером.

Если NS сервер для нашего домена находится в нашем домене, то мы обязаны указать A-запись для этого сервера (glue-record).
Если NS сервер лежит вне домена - A-запись указывать не нужно.

Пример: NS записи для основного домена и для делегированного поддомена с указанием glue-records.
<code>
$TTL 2d ; default TTL is 2 days
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
IN NS ns1.example.com.
IN NS ns2.example.com.
; обязательно указываем адреса этих серверов
ns1 IN A 192.168.0.3
ns2 IN A 192.168.0.4
; переключение на поддомен
$ORIGIN us.example.com.
@ IN NS ns3.us.example.com.
IN NS ns1.example.com.
; обязательно указываем на сервер поддомена
ns3.us.example.com. A 10.10.0.24
</code>

=== A, AAAA ===
A-запись указывает на ip адрес для данного имени хоста. Опционально указать особо ttl.

Пример: различные вариации записи
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
joe IN A 192.168.0.3 ; одинаковые ip
www IN A 192.168.0.3
; можно указать домен полностью
www.example.com. A 192.168.0.3
fred 3600 IN A 192.168.0.4 ; указан другой ttl
ftp IN A 192.168.0.24 ; разные ip для одного имени
IN A 192.168.0.7
mail IN A 192.168.0.15 ; разные ip для одного имени
mail IN A 192.168.0.32
mail IN A 192.168.0.3
squat IN A 10.0.14.13 ; другая подсеть
</code>

AAAA-запись используется для IPv6 адресов
<code>
ws1-29 A 10.0.10.29
AAAA 2002:d4c0:4090::d110:1011
</code>

Когда одному имени сопоставлено много адресов, в обратной записи для адреса нужно выдрать только одно имя.

=== MX ===
Инфраструктурная запись указывающая на имя почтового сервера для домена.
Если имя сервера в этом-же домене - требуется еще А-запись с ip адресом почтового сервера.

Почтовых серверов для домена можно указать несколько с разными приоритетами.

Пример: почтовые сервера для домена и поддомена в одном файле
<code>
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com.
example.com. IN SOA ns1.example.com. root.example.com. (
2003080800 ; serial number
2h ; refresh = 2 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
; почтовый сервер для адресов вида user@example.com
IN MX 10 mail.example.com.
; почтовые сервера для поддомена user@us.example.com
us IN MX 10 mail.us.example.com.
us IN MX 20 mail.example.com.
; A-запись для основного почтового сервера
mail IN A 192.168.0.5
; Переключение на поддомен
$ORIGIN us.example.com.
; A-запись для почтового сервера поддомена
mail IN A 10.10.0.29
</code>

=== CNAME ===

Запись CNAME используется для указания псевдонима или ссылки одного имени на другое.
Если сервер вернул клиенту CNAME в ответ на запрос, то клиенту придется повторно делать запрос на разрешение CNAME.
Используется для удобства администрирования при наличии многих имен у одного сервера.

Примеры различных псевдонимов в домене example.com.:
<code>
joe IN A 192.168.254.3
www IN CNAME joe
www IN CNAME joe.example.com.
ftp IN CNAME www.example.com. ; паровоз
bill IN CNAME fred.another.com. ; перенаправление на имя в другом домене
;
IN A 192.168.254.8
www IN CNAME example.com.
</code>

=== PTR ===
Обратная запись указывает на имя по ip адресу. Используется специальный домен .IN-ADDR.ARPA.
Для IPv6 используется другой домен - IP6.ARPA. Поэтому обратные записи необходимо держать в разных файлах для ipv4 и ipv6.

Пример для IPv4:
<code>
$TTL 2d ; 172800 secs
$ORIGIN 23.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; serial number
12h ; refresh
15m ; update retry
3w ; expiry
3h ; minimum
)
IN NS ns1.example.com.
IN NS ns2.example.com.
2 IN PTR joe.example.com. ; FDQN
15 IN PTR www.example.com.
17 IN PTR bill.example.com.
74 IN PTR fred.example.com.
</code>

Пример для IPv6:
<code>
; reverse IPV6 zone file for example.com
$TTL 2d ; default TTL for zone 172800 secs
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2003080800 ; sn = serial number
12h ; refresh = refresh
15m ; retry = update retry
3w ; expiry = expiry
2h ; min = minimum
)
IN NS ns1.example.com.
IN NS ns2.example.net.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR ns1.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR mail.example.com.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR joe.example.com.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.0.0 IN PTR www.example.com.
</code>

=== SRV ===

== Директивы сервера bind==

$TTL
$ORIGIN

== View - ограничение видимости зон ==
Использование ограничения видимости позволяет применять различные опции по отношению к различным клиентам.
Опция вступают в действие в зависимости от ip адреса клиента - источника запроса.

Это позволяет использовать разные данные по одной и той-же зоне для разных клиентов.
Для внутренних клиентов мы должны разрешить рекурсивные запросы, для внешних - запретить.

В конфигурационном файле необходимо запретить рекурсию по-умолчанию (закомментировать).
На рубеже версии 9.5 поведение этого флажка меняется, на новых версиях надо оставить строчку включенной.
<code>
allow-recursion { any; };
</code>
На версии 9.8.4 поведение такое:
* allow-recursion { any; }; view recusion yes; - разрешает рекурсию. (на нерекурсивный запрос дает хинт root-list);
* allow-recursion { any; }; view recusion no; - запрещает рекурсию молча (no answer);
* allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
* закомментарен allow-recursion { none; }; view recusion yes|no; - запрещает рекурсию (REFUSED);
Т.е. для нас актуальны первые два варианта.

Выключить проверку DNSSEC. Требуется если мы в лабораторных условиях сквоттим TLD.
<code>
dnssec-validation no;
</code>
Конфигурация зон /etc/bind/named.conf
<code>
; список доступа - наши внутренние клиенты
acl internal {
10.13.0.0/24;
localhost;
};

; область видимости для внутренних клиентов
view "internal-view" {
; клиент - соответствует списку доступа
match-clients { internal; };
; разрешена рекурсия для внутренних клиентов
recursion yes;

; зона видима только для внутренних клиентов
zone "model.local" in {
type master;
file "/etc/bind/db.model.local";
};

; зона видима для внутренних клиентов иначе, чем для внешних
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net.internal";
};

; обратная зона для внутренних клиентов тоже своя
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0.internal";
};

; дефолтные зоны сервера
include "/etc/bind/named.conf.default-zones";
};

; область видимости, доступная всем прочим клиентам
view "external-view" {
match-clients { any; };
; запрет рекурсии
recursion no;
; запрет добавления Additional секции со ссылками на root сервера для всех запросов, которых нет в зонах.
; заставляет bind отвечать REFUSED на запрос посторонних имен. (Блокировка Upward referrals)
additional-from-cache no;

; зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "model.example.net" in {
type master;
file "/etc/bind/db.model.example.net";
};

; обратная зона видится внешними клиентами не так, как внутренними
; файл зоны свой
zone "0.13.10.in-addr.arpa" in {
type master;
file "/etc/bind/rev.10.13.0";
};

};

</code>

Обратите внимание: при запрете рекурсии внутри view перестанут работать CNAME на посторонние зоны.

При дублировании зон в областях видимости не забывайте прописать после NS записи еще и A-запись для вашего dns-сервера.
Внешние клиенты тоже должны знать ip адрес вашего NS.
Пример:
<code>
$ORIGIN model.local.
$TTL 1h
;
@ IN SOA ns1.model.local. hostmaster.model.local. (
2014025006 ; Serial Number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; min TTL
;
IN NS ns1.model.local.
IN MX 10 mail1
;
ns1 IN A 10.13.0.104 ; <--------- ОБЯЗАТЕЛЬНО
gw IN A 10.13.0.43
hi IN A 10.13.0.223
</code>

Если этого не сделать, в ответ на запрос к любому имени в зоне сервер будет отвечать ошибкой "ServerFail":
<code>
root@model-net-ctrl-1:/etc/bind# dig hi.model.local. @10.13.0.104
;; Got answer:
;; HEADER opcode: QUERY, status: SERVFAIL, id: 60022
</code>

== Запрет рекурсий ==
См. upward referrals debates

[[категория:Лекции]]
[[категория:Сети]]
[[категория:DNS]]

VPN Remote Access

2020-03-05T10:05:49Z

Moiseevvi: /* PIX (Nat only) */

= VPN удаленного доступа (remote access) =
== Топология ==
<code>
users------PIX-----------inet
| |
| |
DMZ RemoteAccess VPN

users 10.0.0.0/24
dmz 10.11.12.13/24
inet 212.192.80.150,151,152
vpn = users via outside

users -> inet = NAT
users -> dmz = allow
vpn -> users = allow
vpn -> dmz = allow
vpn -> inet = NAT
inet -> dmz = port-forward 4321->22 static nat

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
</code>

== Cisco PIX ==

<code>

pixfirewall# sh run
PIX Version 7.2(1)
!
domain-name psu.ru
!
interface Ethernet0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Ethernet2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 host 10.11.12.13
!
access-list TO-DMZ extended permit tcp any host 212.192.88.150 eq 4321
access-list LAN extended permit ip object-group LAN any
access-list NO-NAT-DMZ extended permit ip host 10.11.12.13 10.0.0.0 255.255.255.0

ip local pool net10 10.0.0.200-10.0.0.210 mask 255.255.255.0

global (outside) 123 interface
nat (outside) 123 access-list LAN
nat (inside) 123 access-list LAN

nat (inside) 0 access-list NO-NAT
nat (dmz) 0 access-list NO-NAT-DMZ

static (dmz,outside) tcp interface 4321 10.11.12.13 ssh netmask 255.255.255.255

access-group TO-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 212.192.64.2
vpn-tunnel-protocol IPSec l2tp-ipsec

username cisco password cisco mschap

crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport

crypto dynamic-map CM 65535 set transform-set TRANS_ESP_3DES_SHA

crypto map OUTSIDE 65535 ipsec-isakmp dynamic CM
crypto map OUTSIDE interface outside

crypto isakmp identity address
crypto isakmp enable outside

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20

tunnel-group DefaultRAGroup general-attributes
address-pool net10
default-group-policy DefaultRAGroup

tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key 11111

tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2

policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
</code>

== PIX (Nat only) ==
<code>
interface Ethernet0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Ethernet2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 host 10.11.12.13
!
access-list TO-DMZ extended permit tcp any host 212.192.88.150 eq 4321
access-list LAN extended permit ip object-group LAN any
access-list NO-NAT-DMZ extended permit ip host 10.11.12.13 10.0.0.0 255.255.255.0

global (outside) 123 interface
nat (outside) 123 access-list LAN
nat (inside) 123 access-list LAN

nat (inside) 0 access-list NO-NAT
nat (dmz) 0 access-list NO-NAT-DMZ

static (dmz,outside) tcp interface 4321 10.11.12.13 ssh netmask 255.255.255.255

access-group TO-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1

policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
</code>

== Cisco ASA ==

<code>
ciscoasa# sh run
: Saved
:
ASA Version 9.1(5)
!
ip local pool net10 10.0.0.200-10.0.0.210 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object network DMZ
host 10.11.12.13
!
object network LAN1
subnet 10.0.0.0 255.255.255.0
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list TO-DMZ extended permit tcp any host 10.11.12.13 eq ssh
!
nat (outside,outside) source dynamic LAN interface
nat (outside,inside) source static LAN LAN
!
object network DMZ
nat (dmz,outside) static interface service tcp smtp 4321
object network LAN1
nat (inside,outside) dynamic pat-pool interface
!
access-group TO-DMZ in interface outside
!
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1
!
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
!
crypto dynamic-map CM 65535 set ikev1 transform-set TRANS_ESP_3DES_SHA
crypto map OUTSIDE 65535 ipsec-isakmp dynamic CM
crypto map OUTSIDE interface outside
!
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
!
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 212.192.64.2
vpn-tunnel-protocol ikev1 l2tp-ipsec
!
username cisco password cisco mschap
!
tunnel-group DefaultRAGroup general-attributes
address-pool net10
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key 11111
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
!
policy-map global_policy
class inspection_default
inspect icmp
!
: end
</code>
[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] [[категория:VPN]]

VPN Remote Access

2020-03-05T10:04:38Z

Moiseevvi: /* Cisco ASA */

= VPN удаленного доступа (remote access) =
== Топология ==
<code>
users------PIX-----------inet
| |
| |
DMZ RemoteAccess VPN

users 10.0.0.0/24
dmz 10.11.12.13/24
inet 212.192.80.150,151,152
vpn = users via outside

users -> inet = NAT
users -> dmz = allow
vpn -> users = allow
vpn -> dmz = allow
vpn -> inet = NAT
inet -> dmz = port-forward 4321->22 static nat

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
</code>

== Cisco PIX ==

<code>

pixfirewall# sh run
PIX Version 7.2(1)
!
domain-name psu.ru
!
interface Ethernet0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Ethernet2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 host 10.11.12.13
!
access-list TO-DMZ extended permit tcp any host 212.192.88.150 eq 4321
access-list LAN extended permit ip object-group LAN any
access-list NO-NAT-DMZ extended permit ip host 10.11.12.13 10.0.0.0 255.255.255.0

ip local pool net10 10.0.0.200-10.0.0.210 mask 255.255.255.0

global (outside) 123 interface
nat (outside) 123 access-list LAN
nat (inside) 123 access-list LAN

nat (inside) 0 access-list NO-NAT
nat (dmz) 0 access-list NO-NAT-DMZ

static (dmz,outside) tcp interface 4321 10.11.12.13 ssh netmask 255.255.255.255

access-group TO-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 212.192.64.2
vpn-tunnel-protocol IPSec l2tp-ipsec

username cisco password cisco mschap

crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport

crypto dynamic-map CM 65535 set transform-set TRANS_ESP_3DES_SHA

crypto map OUTSIDE 65535 ipsec-isakmp dynamic CM
crypto map OUTSIDE interface outside

crypto isakmp identity address
crypto isakmp enable outside

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20

tunnel-group DefaultRAGroup general-attributes
address-pool net10
default-group-policy DefaultRAGroup

tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key 11111

tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2

policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
</code>

== PIX (Nat only) ==

interface Ethernet0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Ethernet2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list NO-NAT extended permit ip 10.0.0.0 255.255.255.0 host 10.11.12.13
!
access-list TO-DMZ extended permit tcp any host 212.192.88.150 eq 4321
access-list LAN extended permit ip object-group LAN any
access-list NO-NAT-DMZ extended permit ip host 10.11.12.13 10.0.0.0 255.255.255.0

global (outside) 123 interface
nat (outside) 123 access-list LAN
nat (inside) 123 access-list LAN

nat (inside) 0 access-list NO-NAT
nat (dmz) 0 access-list NO-NAT-DMZ

static (dmz,outside) tcp interface 4321 10.11.12.13 ssh netmask 255.255.255.255

access-group TO-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1

policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global

== Cisco ASA ==

<code>
ciscoasa# sh run
: Saved
:
ASA Version 9.1(5)
!
ip local pool net10 10.0.0.200-10.0.0.210 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 212.192.88.150 255.255.255.0
no shut
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0
no shut
!
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.11.12.1 255.255.255.0
no shut
!
same-security-traffic permit intra-interface
!
object network DMZ
host 10.11.12.13
!
object network LAN1
subnet 10.0.0.0 255.255.255.0
!
object-group network LAN
network-object 10.0.0.0 255.255.255.0
!
access-list TO-DMZ extended permit tcp any host 10.11.12.13 eq ssh
!
nat (outside,outside) source dynamic LAN interface
nat (outside,inside) source static LAN LAN
!
object network DMZ
nat (dmz,outside) static interface service tcp smtp 4321
object network LAN1
nat (inside,outside) dynamic pat-pool interface
!
access-group TO-DMZ in interface outside
!
route outside 0.0.0.0 0.0.0.0 212.192.88.1 1
!
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
!
crypto dynamic-map CM 65535 set ikev1 transform-set TRANS_ESP_3DES_SHA
crypto map OUTSIDE 65535 ipsec-isakmp dynamic CM
crypto map OUTSIDE interface outside
!
crypto isakmp identity address
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
!
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 212.192.64.2
vpn-tunnel-protocol ikev1 l2tp-ipsec
!
username cisco password cisco mschap
!
tunnel-group DefaultRAGroup general-attributes
address-pool net10
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key 11111
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
!
policy-map global_policy
class inspection_default
inspect icmp
!
: end
</code>
[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] [[категория:VPN]]

RTBH фильтрация для защиты от DDoS

2018-04-02T04:25:56Z

Moiseevvi: /* d/RTBH - scope-to-community trigger */

== REMOTELY TRIGGERED BLACK HOLE ==
===d/RTBH===

===s/RTBH - community-метод ===
===s/RTBH - Next-Hop-метод ===

Все роутеры в одной AS.
Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.

D/RTBH - без URPF

S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)

<code>
boot system flash:c2801-adventerprisek9-mz.124-25d.bin

interface Null0
no ip unreachables
!
interface FastEthernet0/0
ip address 212.192.88.150 255.255.255.0
ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
ip address 10.111.0.1 255.255.255.0
ip verify unicast source reachable-via rx
!

router bgp 65150
redistribute static route-map RTBH-trigger
neighbor 212.192.88.151 remote-as 65150
neighbor 212.192.88.152 remote-as 65150
!
ip route 192.0.2.1 255.255.255.255 Null0 ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!
route-map RTBH-trigger permit 10
match tag 6666
set local-preference 200
set origin igp
set community no-export
set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20

</code>

Trigger:

ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666

===d/RTBH - scope-to-community trigger ===
Частичный конфиг.

Триггер - добавить /32 маршрут типа blackhole c route scope == 166.

<PRE>
# by RouterOS 6.41.3
/interface bridge
add fast-forward=no name=bridge-null
# example trigger
/ip route
add distance=1 dst-address=8.8.8.8/32 type=blackhole
# example peer with filters
/routing bgp peer
add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default
# фильтр на вход - по коммьюнити 65000:6666 - принимать маршрут и ставить тип blackhole
/routing filter
add action=accept bgp-communities=65000:6666 chain=rtbh-in prefix-length=32 set-type=blackhole
# на выход - по route scope == 166 ставить коммьюнити 0:6666
add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666
</PRE>

[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] [[категория:MikroTik]]

RTBH фильтрация для защиты от DDoS

2018-04-02T04:18:12Z

Moiseevvi: /* s/RTBH - Next-Hop-метод */

== REMOTELY TRIGGERED BLACK HOLE ==
===d/RTBH===

===s/RTBH - community-метод ===
===s/RTBH - Next-Hop-метод ===

Все роутеры в одной AS.
Добавляем триггер-маршрут на один роутер (триггер) - маршрут прилетает на все остальные.

D/RTBH - без URPF

S/RTBH - с URPF-loose на внешнем интерфейсе (не работает RTBH на Connected-сеть)

<code>
boot system flash:c2801-adventerprisek9-mz.124-25d.bin

interface Null0
no ip unreachables
!
interface FastEthernet0/0
ip address 212.192.88.150 255.255.255.0
ip verify unicast source reachable-via any allow-default ! НЕ РАБОТАЕТ на Directly-Attached host
!
interface FastEthernet0/1
ip address 10.111.0.1 255.255.255.0
ip verify unicast source reachable-via rx
!

router bgp 65150
redistribute static route-map RTBH-trigger
neighbor 212.192.88.151 remote-as 65150
neighbor 212.192.88.152 remote-as 65150
!
ip route 192.0.2.1 255.255.255.255 Null0 ! RTBH-next-hop
ip route 0.0.0.0 0.0.0.0 212.192.88.1
!
route-map RTBH-trigger permit 10
match tag 6666
set local-preference 200
set origin igp
set community no-export
set ip next-hop 192.0.2.1
!
route-map RTBH-trigger deny 20

</code>

Trigger:

ip route ATTACKER-IP 255.255.255.255 Null0 tag 6666

===d/RTBH - scope-to-community trigger ===
Частичный конфиг.

Триггер - добавить /32 маршрут типа blackhole c route scope == 166.

<PRE>
# by RouterOS 6.41.3
/interface bridge
add fast-forward=no name=bridge-null
# example trigger
/ip route
add distance=1 dst-address=8.8.8.8/32 type=blackhole
# example peer with filters
/routing bgp peer
add in-filter=rtbh-in name=peer1 out-filter=rtbh-out remote-address=212.192.88.154 remote-as=65015 ttl=default
# фильтр на вход - по коммьюнити 0:6666 - принимать маршрут и ставить тип blackhole
/routing filter
add action=accept bgp-communities=0:6666 chain=rtbh-in prefix-length=32 set-type=blackhole
# на выход - по route scope == 166 ставить коммьюнити 0:6666
add action=accept chain=rtbh-out prefix-length=32 scope=166 set-bgp-communities=0:6666
</PRE>

[[категория:Лекции]] [[категория:Сети]] [[категория:Cisco]] [[категория:MikroTik]]

HTTPS на примере Apache2 (методическое пособие)

2018-03-06T06:11:54Z

Moiseevvi: /* SSL сертификат */

= HTTPS =
== PKI ==

Сертификат сервера должен быть выдан Центром Сертификации, которому доверяет браузер. Браузер доверяет ЦС сертификаты которых хранятся в системном хранилище.

При использовании самоподписанных сертификатов, корневые сертификаты ставятся на компьютеры клиентов вручную (или с помощью груповой политики).

Крупные коммерческие ЦС, продающие сертификаты, распространяют свои корневые сертификаты с обновлениями браузеров и операционных систем.

== TLS/SSL ==
HTTPS это протокол HTTP используемый поверх шифрованного канала TLS или SSL. Стандартный порт 443.

Использование TLS канала позволяет защитить передаваемые данные шифрованием. Использование сертификата сервера позволяет клиентам быть уверенными в аутентичности сайта.

= SSL сертификат =

Для протокола SSL на стороне сервера нам требуется сертификат X.509 на конкретное доменное имя и соответствующий закрытый ключ.
Доменное имя должно быть указано в поле Subject сертификата в графе CN. Для указания множества имен используется поле subjectAltName.
Имя домена должно указываться в том виде, в каком оно используется в ссылках на сайт. В нашем примере это будет доменное имя "www.model.local".

Для внутрикорпоративного использования, в простейшем случае, нам потребуется самостоятельно создать сертификат для доменного имени.

Если сертификатов требуется несколько - разумно создать Удостоверяющий Центр, сгенерировать корневой сертификат и им подписывать сертификаты сайтов. На компьютеры клиентов придется устанавливать корневой сертификат.

Если сертификат требуется один - можно создать самоподписанный сертификат для сайта сразу. На компьютеры клиентов придется устанавливать этот сертификат.

Создаем простой Самоподписанный Сертификат и ключ для доменного имени www.model.local со сроком действия 1024 дня с ключом RSA 2048 бит. Сертификат будет подписан алгоритмом SHA512/256.

Воспользуемся пакетом openssl. Часть параметров указывается в командной строке, часть в режиме диалога, расширения сертификата описаны в файле ./cert.config.

Отредактируйте файл cert.config в соответствии с требуемыми параметрами сертификата. Пример:

<code C>
[ req ]
default_bits = 2048
distinguished_name = subject
#req_extensions = req_ext
x509_extensions = x509_ext
string_mask = utf8only

[ subject ]
countryName = Country Code
countryName_default = RU
stateOrProvinceName = State
stateOrProvinceName_default = Permski Kray
localityName = City
localityName_default = Perm
organizationName = Organization
organizationName_default = PSU

commonName = Common Name
commonName_default = PSU server

[ x509_ext ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer

# RSA Key transport = keyEncipherment = non-ephemeral
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
subjectAltName = @alternate_names
nsComment = "PSU Generated Certificate"

[ alternate_names ]

DNS.1 = site-domain-name.ru
DNS.2 = www.site-domain-name.ru
</code>

Обратите внимание на то, что DNS имя сервера указывается в расширении alternate_names.

Создаем сертификат командой openssl с параметрами, ссылаясь на файл конфигурации:
<code C>
root@model-net-ctrl-1:~/ssltest# openssl req -x509 -nodes -days 1024 -newkey rsa:2048 -sha512 -config cert.config -keyout web_key.pem -out web_cert.pem
Generating a 2048 bit RSA private key
writing new private key to 'web_key.pem'
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Permsky Krai
Locality Name (eg, city) []:Perm
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PSU
Common Name (e.g. server FQDN or YOUR name) []: PSU server site-domain-name.ru
</code>

В текущем каталоге будут созданы файл сертификат и файл ключ. На файл ключа необходимо поставить доступ только на чтение и только пользователю, который будет шифровать.

<code>
-rw-r--r-- 1 root root 1424 Feb 26 12:23 web_cert.pem
-rw-r--r-- 1 root root 1704 Feb 26 12:23 web_key.pem
root@model-net-ctrl-1:~/ssltest# chmod 0400 web_key.pem
</code>

Проверить параметры сертификата можно следующей командой
<code bash>
root@model-net-ctrl-1:~/ssltest# openssl x509 -in ./web_cert.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9676869248984892495 (0x864b254fcba5444f)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Validity
Not Before: Feb 26 06:49:43 2014 GMT
Not After : Dec 16 06:49:43 2016 GMT
Subject: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b6:39:4e:10:41:b4:e8:b1:17:87:e0:3f:61:3f:
X509v3 extensions:
X509v3 Subject Key Identifier:
FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Authority Key Identifier:
keyid:FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
6f:19:9e:f1:11:bc:fe:2d:3a:05:01:a3:5c:e3:97:03:e3:e7:
</code>
Как видим, subject и issuer совпадают, поле CA=TRUE, значит это самоподписанный корневой сертификат.

= Apache2 =

По-умолчанию шаблон конфигурации сайта для SSL лежит в /etc/apache2/sites-available/default-ssl.
Корневой каталог сайта /var/www.

Для запуска SSL необходимо включить соответствующий модуль.
<code>
a2enmod ssl
</code>

Теперь в конфигурации сайта (/etc/apache2/sites-available/default-ssl) указываем путь к сертификату и закрытому ключу
<code>
SSLCertificateFile /etc/apache2/ssltest/web_cert.pem
SSLCertificateKeyFile /etc/apache2/ssltest/web_key.pem
</code>

Включаем наш сайт, проверяем конфиг и перезапускаем Apache2.
<code>
a2ensite default-ssl
apache2ctl configtest
apache2ctl restart
</code>

Если все сделано правильно, новый сайт будет доступен по адресу https://www.model.local.

= Настройка браузера =

При открытии сайта браузер будет выдавать сообщение об ошибке сертификата, т.к. издатель сертификата не является доверенным.

Чтобы браузер стал доверять нашему сертификату, необходимо его поместить в хранилище доверенных.

Для этого надо открыть сайт. В предупреждении о сертификате выбрать подробные сведения. Открывшийся сертификат сохранить в файл на диске. Браузер необходимо закрыть.

Запустить файл с сертификатом с диска. При помощи Мастера импорта сертификатов поместить сертификат в хранилище Доверенные Корневые ЦС.

Заново открыть сайт в браузере. На этот раз сайт должен открыться без предупреждений по защищенному каналу.

Следите за тем, чтобы на защищаемом сайте все ссылки имели вид https://

[[категория:Лекции]]
[[категория:Сети]]
[[категория:SSL/TLS]]

HTTPS на примере Apache2 (методическое пособие)

2018-03-06T03:50:41Z

Moiseevvi: /* SSL сертификат */

= HTTPS =
== PKI ==

Сертификат сервера должен быть выдан Центром Сертификации, которому доверяет браузер. Браузер доверяет ЦС сертификаты которых хранятся в системном хранилище.

При использовании самоподписанных сертификатов, корневые сертификаты ставятся на компьютеры клиентов вручную (или с помощью груповой политики).

Крупные коммерческие ЦС, продающие сертификаты, распространяют свои корневые сертификаты с обновлениями браузеров и операционных систем.

== TLS/SSL ==
HTTPS это протокол HTTP используемый поверх шифрованного канала TLS или SSL. Стандартный порт 443.

Использование TLS канала позволяет защитить передаваемые данные шифрованием. Использование сертификата сервера позволяет клиентам быть уверенными в аутентичности сайта.

= SSL сертификат =

Для протокола SSL на стороне сервера нам требуется сертификат X.509 на конкретное доменное имя и соответствующий закрытый ключ.
Доменное имя должно быть указано в поле Subject сертификата в графе CN. Для указания множества имен используется поле subjectAltName.
Имя домена должно указываться в том виде, в каком оно используется в ссылках на сайт. В нашем примере это будет доменное имя "www.model.local".

Для внутрикорпоративного использования, в простейшем случае, нам потребуется самостоятельно создать сертификат для доменного имени.

Если сертификатов требуется несколько - разумно создать Удостоверяющий Центр, сгенерировать корневой сертификат и им подписывать сертификаты сайтов. На компьютеры клиентов придется устанавливать корневой сертификат.

Если сертификат требуется один - можно создать самоподписанный сертификат для сайта сразу. На компьютеры клиентов придется устанавливать этот сертификат.

Создаем простой Самоподписанный Сертификат и ключ для доменного имени www.model.local со сроком действия 1024 дня с ключом RSA 2048 бит. Сертификат будет подписан алгоритмом SHA512/256.

Воспользуемся пакетом openssl. Часть параметров указывается в командной строке, часть в режиме диалога, прочие параметры заданы в /etc/ssl/openssl.cnf

<code C>
root@model-net-ctrl-1:~/ssltest# openssl req -x509 -nodes -days 1024 -newkey rsa:2048 -sha512 -keyout web_key.pem -out web_cert.pem
Generating a 2048 bit RSA private key
writing new private key to 'web_key.pem'
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Permsky Krai
Locality Name (eg, city) []:Perm
Organization Name (eg, company) [Internet Widgits Pty Ltd]:PSNRU
Organizational Unit Name (eg, section) []:KOIBAS
Common Name (e.g. server FQDN or YOUR name) []:www.model.local
Email Address []:ru@model.local
</code>

В текущем каталоге будут созданы файл сертификат и файл ключ. На файл ключа необходимо поставить доступ только на чтение и только пользователю, который будет шифровать.

<code>
-rw-r--r-- 1 root root 1424 Feb 26 12:23 web_cert.pem
-rw-r--r-- 1 root root 1704 Feb 26 12:23 web_key.pem
root@model-net-ctrl-1:~/ssltest# chmod 0400 web_key.pem
</code>

Проверить параметры сертификата можно следующей командой
<code bash>
root@model-net-ctrl-1:~/ssltest# openssl x509 -in ./web_cert.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9676869248984892495 (0x864b254fcba5444f)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Validity
Not Before: Feb 26 06:49:43 2014 GMT
Not After : Dec 16 06:49:43 2016 GMT
Subject: C=RU, ST=Permsky Krai, L=Perm, O=PSNRU, OU=KOIBAS, CN=www.model.local/emailAddress=ru@ru.ru
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:b6:39:4e:10:41:b4:e8:b1:17:87:e0:3f:61:3f:
X509v3 extensions:
X509v3 Subject Key Identifier:
FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Authority Key Identifier:
keyid:FC:42:EF:CE:C0:B8:33:19:1A:AE:48:12:76:AD:E8:4D:75:A2:B0:2D
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
6f:19:9e:f1:11:bc:fe:2d:3a:05:01:a3:5c:e3:97:03:e3:e7:
</code>
Как видим, subject и issuer совпадают, поле CA=TRUE, значит это самоподписанный корневой сертификат.

= Apache2 =

По-умолчанию шаблон конфигурации сайта для SSL лежит в /etc/apache2/sites-available/default-ssl.
Корневой каталог сайта /var/www.

Для запуска SSL необходимо включить соответствующий модуль.
<code>
a2enmod ssl
</code>

Теперь в конфигурации сайта (/etc/apache2/sites-available/default-ssl) указываем путь к сертификату и закрытому ключу
<code>
SSLCertificateFile /etc/apache2/ssltest/web_cert.pem
SSLCertificateKeyFile /etc/apache2/ssltest/web_key.pem
</code>

Включаем наш сайт, проверяем конфиг и перезапускаем Apache2.
<code>
a2ensite default-ssl
apache2ctl configtest
apache2ctl restart
</code>

Если все сделано правильно, новый сайт будет доступен по адресу https://www.model.local.

= Настройка браузера =

При открытии сайта браузер будет выдавать сообщение об ошибке сертификата, т.к. издатель сертификата не является доверенным.

Чтобы браузер стал доверять нашему сертификату, необходимо его поместить в хранилище доверенных.

Для этого надо открыть сайт. В предупреждении о сертификате выбрать подробные сведения. Открывшийся сертификат сохранить в файл на диске. Браузер необходимо закрыть.

Запустить файл с сертификатом с диска. При помощи Мастера импорта сертификатов поместить сертификат в хранилище Доверенные Корневые ЦС.

Заново открыть сайт в браузере. На этот раз сайт должен открыться без предупреждений по защищенному каналу.

Следите за тем, чтобы на защищаемом сайте все ссылки имели вид https://

[[категория:Лекции]]
[[категория:Сети]]
[[категория:SSL/TLS]]

802.1x

2017-05-16T08:40:57Z

Moiseevvi: /* Freeradius */

=Контроль доступа IEEE 802.1x на уровне порта=

==Freeradius==
Freeradius:

Attr 11 -Filter-Id (string) := <ACL-NAME>.in

<pre>Username Cleartext-Password := “pass”
Filter-Id = “<ACL-NAME>.in"

Cisco: ip access-list ext <ACL-NAME>
</pre>

==Коммутатор==
<code>
! c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!

</code>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

802.1x

2017-05-16T04:04:20Z

Moiseevvi: /* Freeradius */

=Контроль доступа IEEE 802.1x на уровне порта=

==Freeradius==
Freeradius:

Attr 11 -Filter-Id (string) := <ACL-NAME>.in

<pre>Username Cleartext-Password := “pass”
Filter-Id = “<ACL-NAME>.in

Cisco: ip access-list ext <ACL-NAME>
</pre>

==Коммутатор==
<code>
! c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!

</code>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

802.1x

2017-05-16T04:04:03Z

Moiseevvi: /* Контроль доступа IEEE 802.1x на уровне порта */

=Контроль доступа IEEE 802.1x на уровне порта=

==Freeradius==
Freeradius:
<pre>
Attr 11 -Filter-Id (string) := <ACL-NAME>.in
Username Cleartext-Password := “pass”
Filter-Id = “<ACL-NAME>.in

Cisco: ip access-list ext <ACL-NAME>
</pre>
==Коммутатор==
<code>
! c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!

</code>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

802.1x

2017-05-16T03:42:44Z

Moiseevvi: /* Контроль доступа IEEE 802.1x на уровне порта */

=Контроль доступа IEEE 802.1x на уровне порта=

<code>
! c2960 12.2(55)SE10
!
!
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!

</code>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

802.1x

2017-05-16T03:41:39Z

Moiseevvi: Новая страница: «=Контроль доступа IEEE 802.1x на уровне порта= <code> ! ! Включить управление доступом AAA ! aaa new-model…»

=Контроль доступа IEEE 802.1x на уровне порта=

<code>
!
! Включить управление доступом AAA
!
aaa new-model
!
! По-умолчанию проверять подлинность клиентов 802.1x на группе радиус-серверов
!
aaa authentication dot1x default group radius
!
! По-умолчанию назначать на портах настройки сети полученные с группы радиус-серверов
!
aaa authorization network default group radius
!
! В пакетах учета не указывать пустое имя пользователя
!
aaa accounting suppress null-username
!
! Посылать пакеты учета сразу, как только имеется новая информация по клиенту,
! и в дальнейшем каждую 1 минуту обновлять
!
aaa accounting update newinfo periodic 1
!
! По-умолчанию вести учет по состоянию клиентов,
! уведомлять о начале и конце сессии группу радиус серверов
!
aaa accounting dot1x default start-stop group radius
!
! Исключить из DHCP пулов адреса шлюзов, и адрес RADIUS-сервера
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 172.16.0.1
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.100
!
! Создать пулы DHCP адресов для трех VLAN
! Админский, пользовательский, гостевой
! Время аренды адреса - 0 дней, 0 часов, 5 минут
!
ip dhcp pool guest
network 192.168.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool user
network 172.16.0.0 255.255.255.0
lease 0 0 5
!
ip dhcp pool mgmt
network 10.0.0.0 255.255.255.0
lease 0 0 5
!
! Настроить DHCP снупинг на влан 10,172,192
! Включить снупинг для контроля выдачи адресов
!
ip dhcp snooping vlan 10,172,192
ip dhcp snooping
!
! Включить 802.1x
!
dot1x system-auth-control
!
! Влючить быстрый режим Spanning-tree
!
spanning-tree mode rapid-pvst
!
! Создать три VLAN'а
! Админский, пользовательский, гостевой
!
vlan 10
name Admins
!
vlan 172
name Users
!
vlan 192
name Guests
!
!
!
!
!
! Для всех пользовательских портов
! настроить 802.1x
!
interface range FastEthernet0/1 - 48
!
! включить влан доступа 172
! в этот влан попадут зарегистрированные пользователи
!
switchport access vlan 172
switchport mode access
!
! включить контроль подмены мак-адресов
!
switchport port-security
!
! в случае неуспешной авторизации или отсутствия EAP отклика
! от клиента, поместить порт в гостевай влан - 192
!
authentication event fail action authorize vlan 192
authentication event no-response action authorize vlan 192
!
! разрешить использовать помимо 802.1x
! еще и обход авторизации по MAC-уровню
! (и, в частности, гостевой влан)
!
authentication order dot1x mab
!
! запустить автоматическую аутентификацию на порту
!
authentication port-control auto
!
! при попытке неавторизованного доступа (подмена мака)
! отбрасывать пакеты
!
authentication violation protect
!
! режим порта - аутентикатор, проверяющий
!
dot1x pae authenticator
!
! установить таймауты между попытками авторизовать клиента,
! ожидания отклика от клиента, передачи запросов, все на 15 секунд
!
dot1x timeout quiet-period 15
dot1x timeout tx-period 15
dot1x timeout supp-timeout 15
!
! количество попыток проверить подлинность – 1, при неудаче, переходить к следующему
! методу (обход по мак)
!
dot1x max-req 1
dot1x max-reauth-req 1
!
! включить быстрый STP на порту,
! для быстрого перехода к авторизации клиента
!
spanning-tree portfast
!
! на гигабитные порты назначить админский влан 10
! для доступа к радиус серверу
!
interface range GigabitEthernet0/1 - 2
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
! поднять три интерфейса для трех вланов,
! сети - Админская 10, Пользовательская - 172.16,
! гостевая - 192.168.
!
interface Vlan10
descriptions Admin
ip address 10.0.0.1 255.255.255.0
no shut
!
interface Vlan172
description User
ip address 172.16.0.1 255.255.255.0
no shut
!
interface Vlan192
description Guest
ip address 192.168.0.1 255.255.255.0
no shut
!
! назначить радиус-сервер 10.0.0.100
! порт аутентикации - 1645
! порт учета - 1646
! ключ шифрования - supersecret
!
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key supersecret
!
! разрешить отправку и прием радиус атрибутов Vendor-Specific
!
radius-server vsa send accounting
radius-server vsa send authentication
!

</code>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

Безопасность на порту коммутатора

2017-04-11T09:36:41Z

Moiseevvi: /* Настройки */

=Безопасность IPv4 на порту коммутатора=
==Настройки==
<code>
no cdp en
switchport protected ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание - 3 минуты
switchport port-security violation restrict ! Варианты: protect(drop) restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky ! запомнить в конфиге
spanning-tree bpdufilter enable ! still send few bpdus on port-up
spanning-tree bpduguard enable ! err-disable if bpdu received
spanning-tree rootguard enable ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити ?????, ip по dhcp-снупингу

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
</code>

==Пример==
<pre>
!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
switchport mode access
switchport access vlan 88
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами
storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
ip verify source
no ip dhcp snooping trust
no ip arp inspection trust
!
!
int Gi0/1
descr UPLINK
switchport mode access
switchport access vlan 88
ip dhcp snooping trust
ip arp inspection trust
!

</pre>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

Безопасность на порту коммутатора

2017-04-11T08:10:04Z

Moiseevvi: /* Настройки */

=Безопасность IPv4 на порту коммутатора=
==Настройки==
<code>
no cdp en
switchport protected ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание - 3 минуты
switchport port-security violation restrict ! Варианты: protect(drop) restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky ! запомнить в конфиге
spanning-tree bpdufilter enable ! still send few bpdus on port-up
spanning-tree bpduguard enable ! err-disable if bpdu received
spanning-tree rootguard enable ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити, ip по dhcp-снупингу

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
</code>

==Пример==
<pre>
!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
switchport mode access
switchport access vlan 88
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами
storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
ip verify source
no ip dhcp snooping trust
no ip arp inspection trust
!
!
int Gi0/1
descr UPLINK
switchport mode access
switchport access vlan 88
ip dhcp snooping trust
ip arp inspection trust
!

</pre>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

Безопасность на порту коммутатора

2017-04-11T08:07:39Z

Moiseevvi: /* Настройки */

=Безопасность IPv4 на порту коммутатора=
==Настройки==
<code>
no cdp en
switchport protected ! block all traffic to other protected ports
switchport block multicast
switchport block unicast ! блокирует флуд неизвестного юникаста с этого порта
switchport port-security ! изучение первого мак адреса в качестве разрешенного, остальные запрещены
! не дает на других секурити портах такому маку светиться
switchport port-security aging time 3 ! устаревание - 3 минуты
switchport port-security violation restrict ! Варианты: protect(drop) restrict(drop+syslog) shutdown(err-disable)
switchport port-security aging type inactivity
switchport port-security mac-address sticky ! запомнить в конфиге
spanning-tree bpdufilter enable ! still send few bpdus on port-up
spanning-tree bpduguard enable ! err-disable if bpdu received
spanning-tree rootguard enable ! err-disable on root-bpdu
ip verify source port-security ! проверять сорс мак адрес по порт-секьюрити, ip по снупингу

storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
</code>

==Пример==
<pre>
!
ip dhcp snooping vlan 88
ip dhcp snooping verify mac-address ! - default
no ip dhcp snooping information option ! - чтобы вышестоящий свитч не дропнул наш запрос с опцией 82
ip dhcp snooping
!
!
ip arp inspection vlan 88
ip arp inspection validate src-mac ip
!
!
errdisable recovery cause bpduguard
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
errdisable detect cause all
!
spanning-tree mode rapid-pvst
!
!
!
interface range FastEthernet0/1 - 48
switchport mode access
switchport access vlan 88
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree bpdufilter enable ! Best practice - не поднимать STP с чужими устройствами
storm-control unicast level 87 65
storm-control multicast level 87 65
storm-control broadcast level 87 65
ip verify source
no ip dhcp snooping trust
no ip arp inspection trust
!
!
int Gi0/1
descr UPLINK
switchport mode access
switchport access vlan 88
ip dhcp snooping trust
ip arp inspection trust
!

</pre>

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Безопасность на порту]]

Резервирование шлюза по-умолчанию на примере GLBP

2017-04-10T08:56:37Z

Moiseevvi: /* R1 */

= Резервирование шлюза по-умолчанию на примере GLBP =
== Топология ==
http://user.files.psu.ru/MoiseevVI/wiki/SEC_Lab8_GLBP2014.png

== Сценарии отказа ==
=== Сценарий 1. Отказ одного из внешних линков ===
Трафик в сторону клиентов:

Маршрутизатор Internet удалит маршруты в сторону нерабочего канала по прошествии dead-interval. OSPF установит лучший маршрут в таблицу маршрутизации Internet. Трафик из интернета пойдет через оставшийся маршрутизатор в сторону клиентов.

Трафик от клиентов в интернет:

Маршрутизатор с пропавшим линком понизит себе GLBP-приоритет и перестанет быть активным. Оставшийся маршрутизатор примет на себя активную роль и виртуальный MAC от отказавшего. Коммутатор обновит таблицу MAC-адресов с указанием порта второго маршрутизатора. Трафик клиентов пойдет через виртуальный MAC шлюза в сторону интернета.

=== Сценарий 2. Отказ одного из внутренних линков ===
Трафик в сторону клиентов:

Маршрутизатор с отказавшим внутренним линком перестанет анонсировать внутреннюю сеть в Internet. Маршрутизатор Internet удалит маршруты в сторону нерабочего канала. OSPF установит лучший маршрут в таблицу маршрутизации Internet. Трафик из интернета пойдет через оставшийся маршрутизатор в сторону клиентов.

Трафик от клиентов в интернет:

Маршрутизатор с пропавшим линком перестанет быть активным. Оставшийся маршрутизатор обнаружит отсутствие соседа и примет на себя активную роль и виртуальный MAC от отказавшего. Коммутатор обновит таблицу MAC-адресов с указанием порта второго маршрутизатора. Трафик клиентов пойдет через виртуальный MAC шлюза в сторону интернета.

=== Сценарий 3. Отказ одного из маршрутизаторов ===

Аналогично первым двум. Трафик из интернета к клиентам пропадает на время сходимости OSPF. Трафик от клиентов в интернет пропадает на время переброса виртуального MAC-адреса по GLBP таймеру.

== Конфигурация ==

=== R1 ===
<code>
! GLBP будет понижать свой вес при пропадении внешнего линка
track 1 interface FastEthernet0/0 line-protocol
!
interface FastEthernet0/0
description INTERNET
ip address 212.192.88.150 255.255.255.0
ip ospf message-digest-key 1 md5 CiscoCisco ! аутентикация по md5
ip ospf dead-interval minimal hello-multiplier 4 ! таймеры OSPF уменьшены для ускорения сходимости
!
interface FastEthernet0/1
description LAN
ip address 212.192.83.230 255.255.255.0
glbp 1 ip 212.192.83.225 ! виртуальный ip шлюза
glbp 1 timers msec 300 1 ! обмен сообщениями каждые 300мс, через 1 сек - детектируется пропадение связи
glbp 1 priority 105 ! начальный приоритет (для выбора AVG)
glbp 1 preempt delay minimum 5 ! передача роли управляющего AVG через 5 сек
glbp 1 weighting 100 lower 95 ! начальный вес 100, нижняя граница активности - 95
glbp 1 weighting track 1 decrement 20 ! уменьшаем вес на 20 по сигналу от track 1
glbp 1 forwarder preempt delay minimum 5 ! передача роли AVF через 5 сек
!
router ospf 1
area 1 authentication message-digest ! аутентикация по md5
redistribute connected subnets ! анонсируем сети клиентов
network 212.192.88.0 0.0.0.255 area 1 ! зона 1
!
ip route 0.0.0.0 0.0.0.0 212.192.88.1 ! статический маршрут в сторону интернета (внешний маршрутизатор не отдает этот маршрут)
!
</code>

== GLBP спуфинг ==

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Резервирование]]

Резервирование шлюза по-умолчанию на примере GLBP

2017-04-10T08:55:28Z

Moiseevvi: /* Internet */

= Резервирование шлюза по-умолчанию на примере GLBP =
== Топология ==
http://user.files.psu.ru/MoiseevVI/wiki/SEC_Lab8_GLBP2014.png

== Сценарии отказа ==
=== Сценарий 1. Отказ одного из внешних линков ===
Трафик в сторону клиентов:

Маршрутизатор Internet удалит маршруты в сторону нерабочего канала по прошествии dead-interval. OSPF установит лучший маршрут в таблицу маршрутизации Internet. Трафик из интернета пойдет через оставшийся маршрутизатор в сторону клиентов.

Трафик от клиентов в интернет:

Маршрутизатор с пропавшим линком понизит себе GLBP-приоритет и перестанет быть активным. Оставшийся маршрутизатор примет на себя активную роль и виртуальный MAC от отказавшего. Коммутатор обновит таблицу MAC-адресов с указанием порта второго маршрутизатора. Трафик клиентов пойдет через виртуальный MAC шлюза в сторону интернета.

=== Сценарий 2. Отказ одного из внутренних линков ===
Трафик в сторону клиентов:

Маршрутизатор с отказавшим внутренним линком перестанет анонсировать внутреннюю сеть в Internet. Маршрутизатор Internet удалит маршруты в сторону нерабочего канала. OSPF установит лучший маршрут в таблицу маршрутизации Internet. Трафик из интернета пойдет через оставшийся маршрутизатор в сторону клиентов.

Трафик от клиентов в интернет:

Маршрутизатор с пропавшим линком перестанет быть активным. Оставшийся маршрутизатор обнаружит отсутствие соседа и примет на себя активную роль и виртуальный MAC от отказавшего. Коммутатор обновит таблицу MAC-адресов с указанием порта второго маршрутизатора. Трафик клиентов пойдет через виртуальный MAC шлюза в сторону интернета.

=== Сценарий 3. Отказ одного из маршрутизаторов ===

Аналогично первым двум. Трафик из интернета к клиентам пропадает на время сходимости OSPF. Трафик от клиентов в интернет пропадает на время переброса виртуального MAC-адреса по GLBP таймеру.

== Конфигурация ==

=== R1 ===
<code>
! GLBP будет понижать свой вес при пропадении внешнего линка
track 1 interface FastEthernet0/0 line-protocol
!
interface FastEthernet0/0
description INTERNET
ip address 212.192.88.150 255.255.255.0
ip ospf message-digest-key 1 md5 CiscoCisco ! аутентикация по md5
ip ospf dead-interval minimal hello-multiplier 4 ! таймеры OSPF уменьшены для ускорения сходимости
!
interface FastEthernet0/1
description LAN
ip address 212.192.83.230 255.255.255.224
glbp 1 ip 212.192.83.225 ! виртуальный ip шлюза
glbp 1 timers msec 300 1 ! обмен сообщениями каждые 300мс, через 1 сек - детектируется пропадение связи
glbp 1 priority 105 ! начальный приоритет (для выбора AVG)
glbp 1 preempt delay minimum 5 ! передача роли управляющего AVG через 5 сек
glbp 1 weighting 100 lower 95 ! начальный вес 100, нижняя граница активности - 95
glbp 1 weighting track 1 decrement 20 ! уменьшаем вес на 20 по сигналу от track 1
glbp 1 forwarder preempt delay minimum 5 ! передача роли AVF через 5 сек
!
router ospf 1
area 1 authentication message-digest ! аутентикация по md5
redistribute connected subnets ! анонсируем сети клиентов
network 212.192.88.0 0.0.0.255 area 1 ! зона 1
!
ip route 0.0.0.0 0.0.0.0 212.192.88.1 ! статический маршрут в сторону интернета (внешний маршрутизатор не отдает этот маршрут)
!
</code>

== GLBP спуфинг ==

[[категория:Лекции]]
[[категория:Сети]]
[[категория:Резервирование]]

RTBH фильтрация для защиты от DDoS

2017-03-28T05:13:00Z

Moiseevvi: /* s/RTBH */