abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
včera 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 8
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 11
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 27
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 623 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: Problem se Squidem a DNS

    polo23 avatar 5.7.2009 00:09 polo23 | skóre: 26 | blog: polo23
    Problem se Squidem a DNS
    Přečteno: 303×

    Ahoj mam takovy problem .... Mam linuxovy server CentOS kde mam instalovan DNS,DHCP server a SQUID. K tomuto serveru jsou pripojeni uzivatele(XP). V iptables mam nastaveno presmerovani ze kazdy kdo se pripojuje k webu se pripoji na port 3128 coz je vlastne SQUID. Web jede v poho jen mi nejedou zaznamy ktere mam nakonfigurovany v DNS serveru. Napr kdyz clovek do prohlicece napise www tak by se mu mel zobrazit www server nasi firmy. Bohuzel SQUID oznami ze takova stranka neexistuje. priptom podle me by mel spolupracovat s DNS. Za prve v /etc/resolv.conf mam jako nameserver uvedenu adresu naseho DSN serveru a za druhe primo v souboru Squid.conf mam uvedenu directivu dns_nameservers IP naseho DNS. Tak v cem je teda problem?

    http://www.it-kurz.cz

    Odpovědi

    5.7.2009 01:27 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    Problém bude v tom že uživatel si může nastavit jakýkoliv DNS server a né ten tvůj.

    Takže by to asi chtělo přesměrovat dotazy z vnitřní sítě na ten tvůj DNS.
    5.7.2009 09:25 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    pozor na to, klient se ke squidu chova jinak kdyz je jako nromalni proxy, a jinak kdyz je transparent. Kdyz je normal, to znamena ze o ne klient vi, prekladani DNS nechava na proxy, kdyz je ale transparent, coz v tvem pripade, kdyz presmerovavas na port 3128 asi je, klient o ne nevi, a preklada pomoci sve dns. Takze v tomto pripade ti je nastaveni dns_nameservers k nicemu. Pokud je nastavene stejna DNS jako v resolv, je k nicemu i u normalni proxy, protoze ta pokud tohle nastaveni neexistuje, bere si nastaveni z resolv. Takze to ma smysl pouze u netransparentni cache, kde ale chces jinej DNS server nez ma server na kterem to bezi. Tobe tedy klienti prekpadaji pomoci jineho DNS nez je tvuj, nebo tvuj DNS jede blbe.
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    5.7.2009 10:27 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Myslim si, ze z bezpecnostnich duvodu squid stejne ignoruje puvodni cilovou IP adresu z TCP spojeni od klienta a zarizuje se sam podle Host: HTTP hlavicky daneho requestu. Problem muze byt v tom, ze standardne pouziva vlastni resolver, takze v pripade, kdy ma pridavat nejake jmeno domeny za jmena hostu bez tecky, je potreba mu to specifikovat volbou append_domain.

    Tomas

     

    polo23 avatar 5.7.2009 10:57 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Tak tady jsme se asi nepochopili...napisu teda presne jak mam co nastavene. 1) Mam server CentOS s DNS,DHCP a SQUID a IPTABLES s maskaradou aby se XP mohla pripojit do netu. Tento server ma adresu 172.16.240.129(vnitrni). Pomoci DHCP dava klientovi(XP) IP adresu 172.16.240.39.Dale mu dava adresu GW 172.16.240.129, adresu DNS 172.16.240.129. V souboru /etc/resolv.conv na serveru mam uvedeno "nameserver 172.16.240.129".

    V konfiguraku SQUIDu nam uvedeno dns_nameservers 172.16.240.129. (Tzn at se SQUID ridi tim co ma v konfiguraku nebo v resolv.conv tak je to stejne-je to vzdy adresa meho DNS serveru). Dale mam v DNS zone file pro priklad uveden zaznam  www  A 77.75.72.3(coz je IP seznam.cz).

    Tak a ted XP stanice dostane od DHCP udaje... je schopna se pripojit k netu(DNS,GW jsou pripominam adresa CENTOSu).

    Mam tam 2 prohlizece . 1) FIREFOX ktery je nakonfigurovan na proxy port 3128. Kdyz v nem napisu www tak by mel zobrazit seznam.cz. Bohuzel SQUID mu vygeneruje stranku ze ...server nenalezen. Cemuz nerozumim... SQUID by mel pouzivat DNS ze sveho konfiguraku(a tam je uvedeno to moje DNS CENTOSu) a nebo z resolv.conf kde je uvedeno to same.

    2) Prohlizec Iexplorer neni nastaven nan proxy ale pozadavky jdou pres proxy pac na CENTOSu mam nastaveno REDIRECT(vse co jde na port 80 predavej portu 3128 coz je proxy). Situace je stejna jako u FF ....stranka www se neprelozi.

    Tak a ted jak jsem to provizorne zprovoznil... V IPTABLES na CENTOSu jsem umazal ten REDIRECT tzn Iexplorer uz nejede pres proxy a ajhle napisu www a zobrazi se mi stranka seznam.cz. Z toho usuzuji ze chyba musi byt nutne v tom ze proxy nejak nechce spolupracovat s mym DNS ale pouziva pro me nezname DNS.

    Mate tedy nekdo napad jak donutit proxy spolupracovat s mym dns tak ze napisu www a objevi se seznam.cz?

    http://www.it-kurz.cz
    5.7.2009 11:20 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    A nebudeš mít nějak zblblé pravidla v iptables že ten tvůj squid se nedostane na ten místní DNS, a proto použije jiný?
    5.7.2009 12:06 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    mas udelanej dobre ten redirect a prepnutej squid do transparent modu? Jestli to jako proxy, nastavena v prihlizeci jede, ale po redirectu ne, vypada to na blbe nastanej squid. To spis nez problem s DNS vypada na problem se squidem.
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    polo23 avatar 5.7.2009 12:19 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Kdyz vypnu REDIRECT tak to prohlizec ve kterem mam nastavenou Proxy neovlivni. Rozdil je v tom ze druhy prohlizec ktery jel na port 80 a byl presmerovavany pres SQUIDa ted jede normalne na port 80. Jeste bych dodal ze kdyz si dam v comman line XP nslookup www tak mi ukaze spravne IP seznam.cz

    http://www.it-kurz.cz
    5.7.2009 12:09 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    jestli ti expolorer na primo na 80 jede, mas vubec ve squidu nastavena dobre ACL pro pristup? Zkus v tom squidu na chvili nastavit naprimo nejake jine DNS, ne svoje, ale tveho providera, nebo opendns, jestli to pujde, mas problem v dns, jestli ne, masproblem ve squidu.
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    polo23 avatar 5.7.2009 12:24 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Tak explorer samozrejme pojede spravne (myslim tim i kdyz tam napisu www tak se mi objevi seznam.cz)kdyz nebudu mit nastaven REDIRECT. V iptables je SNAT a diky tomu muze explorer i na portu 80 jit ven aniz by byl ovlivnen SQUIDEM.

    http://www.it-kurz.cz
    5.7.2009 12:10 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Abych pravdu rekl, tak i po precteni toho vysvetleni si myslim, ze by to mohlo resit pridani direktivy append_domain .spravne-jmeno-domeny.cz  . Ten zaznam www neni nekde v TLD, ten je veden v nejake domene, FQDN je porad www.spravne-jmeno-domeny.cz, ne? Klienti muzou dostat jmeno domeny z DHCP serveru a pri resolvovani, ho ve vhodnem okamziku zkusi pridat k resolvovanemu jmenu, takze se DNS serveru ve skutecnosti ptaji na cele jemeno www.spravne-jmeno-domeny.cz. Aby neco podobneho delal i squid, ktery standardne nepouziva systemovy resolver a tuto informaci si z resolv.confu nevezme (pokd tam vubec je), je potreba mu rict, jake jmeno domeny ma pred odeslanim dotazu do dns ke jmenu bez tecky pridat.

    Tomas

     

    5.7.2009 12:24 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    append_domain jsem vzivote nepouzil, a squiduju uz roky, na x serverech.
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    5.7.2009 12:15 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    asi prepise, ale to nic prece nemeni na pohledu klienta, ten to nevi, takze, jetli je na transparentni proxy, snazi se dns prelozit sam, pokud se mu to nepovede, prohlizec hodi chybu, domena nenalezena, protoze nevi kam jit, k proxy se to ani nedostane.
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    5.7.2009 12:22 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Vsak tazatel pise, ze mu chybu o nenalezeni hosta pise squid a ne klient. Klient jmeno dokaze resolvovat, dotaz se dostane na squid. Ten, misto aby pouzil SO_ORIGINAL_DST z NATu, vezme Host: hlavicku z requestu, sam si resolvuje IP a na tu se snazi spojit. To se mu ale nepodari, protoze na rozdil od klienta nevi, jakou ma ke jmenu pridat domenu, protoze mu to nikdo nerekl.

    Tomas

     

    5.7.2009 12:27 tezkatlipoka | skóre: 35
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS
    uz blbe ctu, furt tam daval ten seznam, az jsem si to nejak v halve pomychal
    Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
    polo23 avatar 5.7.2009 12:36 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Podivejte napisu to co njvice zjednodusene. Mam explorer a na serveru zadny direct. Zadam www...explorerr se dotaze DNS serveru a a ten ma v tabulce www A IPseznamu. Takze po zadani WWW se objevi stranka seznam.cz. Tak a kdyz dam redirect tak to jde pres proxy...dejme tomu ze napisu centrum.cz stranka se objevi, ale na to aby se objevila muselo dojit k prekladu jmena na IP. A ja se PTAM ktery DNS server byl pouzit PROXY serverem - on musi vyuzivat taky DNS preklady. A jak jsme psal jak v resolv.conf tak v squid.conf mam uveden jako DNS CENTOS.

    http://www.it-kurz.cz
    5.7.2009 12:44 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Nevim, cetl-li jste muj prispevek vyse, kde jsem se snazil napsat, jak se resolvuji tahle kratka jmena bez uvedene domeny (resp., ze se vlastne nikdy neresolvuji). Klient, ktery se dns serveru pta, k nim musi pridat i odpovidajici jmeno domeny. To ze Vam to jde z klienta je dano tim, ze on proste to jmeno domeny zna a prida ho ke jmenu www pri pokladani dotazu. To same ale musi delat i ten squid, coz se mu musi rict.

    Omlouvam se, ze s tim porad otravuju. Proste mi napiste, ze jste tam ten append_domain .jmeno.cz pridal a ze to nepomohlo. Ja dam pokoj a Vy si usetrite ta vysvetlovani, ktera mi pisete ;-)

    Tomas

     

    polo23 avatar 5.7.2009 13:53 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Dobra dam ho tam ale neodpustim si posledni pripspevek. Predstavte si ze mate v zone file DNS zaznam. tojenuda A IPseznamu. Klient se zepta DNS znas IP tojenuda? A on pokud ho ma v tabulce(a on ho tam ma) posle IP seznamu. Pokud by ho tam nemel pak by se stalo jak zrejme pisete vy. tojenuda by se doplnilo o domenu tojenuda.mydomain.cz a server by se dotazoval serveru ktere jsou v hierarchii vyse. Znas IP serveru cz? On by ji poslal...pak by se dotazal serveru cz znas IP mydomain....atd az by se dostal k tojenuda. Rozumime si? Tak a ted se jdu teda podivat na to append domain:)

    http://www.it-kurz.cz
    polo23 avatar 5.7.2009 14:07 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Mam ted nejake neodkladne zalezitosti... tak budu do vecera pryc. pisu to proto ze to append_domain opravdu pomohlo. Problem je v tom ze pozitri tuhle a jeste dalsi prace odevzdavam sefovi tak potrebuju presne vysvetlitjak to append_domain funguje ted apokud nevadi Tomasi:) Jo a jeste dekuju za radu uplne jsem cumel kdyz to najelo:))

    http://www.it-kurz.cz
    5.7.2009 15:44 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Tak to jsem rad, ze to jede. Myslim si, ze nejdulezitejsi je opustit tu myslenku, ze DNS server dokaze odpovedet na kratke jmeno typu "tojenuda" nebo "www". DNS je hierarchicky system a ma smysl se ho ptat na FQDN, coz je to jedine, co zna. Vazne doporucuju se podivat tim tcpdumpem na dns serveru, kde budou ty dotazy a odpovedi krasne videt.

    A druhy problem je ten nestandardni resolver squidu. Kdy treba i v pripade, ze na tom serveru, kde bezi squid, bude fungovat "ping www" nebo "ping tojenuda" - a to diky tomu, ze konfigurace systemoveho resolveru v resolv.conf obsahuje direktivu domain nebo search, tak squid ta jmena nemusi byt schopen prelozit. Pouziva svuj resolver, ktery se musi konfigurovat v jeho konfiguracnim souboru. Takze to append_domain odpovida systemovemu domain a search z resolv.confu (opet je mozne si vyzkouset tyto direktivy z resolv.confu smazat a nemel by pak fungovat ani ten ping).

    Tomas

     

    5.7.2009 15:27 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Bohuzel si asi nerozumime. Predstavil jsem si to a nelibi se mi to. Problem je v tom, ze DNS server tam ten zaznam nema. A doplneni o domenu provadi klient, nikoliv DNS server. Pokud se zeptate sveho DNS serveru na jmeno tojenuda a budete mit v zonefile pro "mydomain.cz" zavedeny "A" zaznam nejak takto:

    @ IN SOA ns.mydoamin.cz. hostmaster.mydomain.cz.

        tojenuda IN A 192.168.0.10

    tak je to vyznamem uplne stejne, jako zapis:

    @ IN SOA ns.mydoamin.cz. hostmaster.mydomain.cz.

    tojenuda.mydomain.cz. IN A 192.168.0.10

    ze ktereho je ale zretelnejsi, ze zaznam, ktery mate zavedeny v DNS neni "tojenuda", ale "tojenuda.mydomain.cz.".

    Ted si zase predstave Vy, co by se stalo, kdyby na tom samem DNS serveru byla vedena jeste domena "myotherdomain.cz" a v ni byl zaznam tojenuda IN A 192.168.0.20 ? Co by odpovedel DNS server na dotaz klienta "jakou adresu ma tojenuda" ? Server by odpovedel, ze zadny takovy zaznam nezna. Klient by se tedy podival do sveho resolv.conf (nebo proste konfigurace sveho resolveru) a zkusil by pridavat obsah domain a search, dokud nedostane od DNS serveru kladnou odpoved.

    Schvalne se podivejte tcpdumpem, ten by mel vypsat, jake dotazy na DNS server chodi, a jak na ne odpovida, tam by to melo byt videt celkem nazorne.

    Tomas

     

    polo23 avatar 5.7.2009 19:06 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    Ted jsme zkousel dat na serveru ping www (ke kteremu mam v DNS prirazenou adresu seznamu) a v resolver.conv mam search localdomain a nepingne mi to. Ted uz to vazne nechapu mel by se podivat do resolv.conf zjistit ze on je DNS a z databaze si vzit adresu toho www.

    http://www.it-kurz.cz
    5.7.2009 19:16 tomk
    Rozbalit Rozbalit vše Re: Problem se Squidem a DNS

    No vsak to je tim, ze je tam jen search localdomain.  Musi tam byt bud search seznam.cz nebo domain seznam.cz. Zapomente uz prosim na to, ze se DNS serveru muze klient zeptat na kratke jmeno a dostat rozumnou odpoved. Klient se musi vzdy ptat na cele jmeno a to, v tomhle pripade, bud date pingu na prikazove radce - ping www.seznam.cz , nebo si ho dokaze podle instrukci v resolv.confu sestavit sam.

    Tomas

     

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.