abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    FatGid aneb CVE-2026-45250, lokální eskalace práv ve FreeBSD
    včera 21:33 | Bezpečnostní upozornění

    Ve FreeBSD byla nalezena a opravena zranitelnost FatGid aneb CVE-2026-45250. Jedná se o lokální eskalaci práv. Neprivilegovaný uživatel se může stát rootem.

    Ladislav Hagara | Komentářů: 0
    Flipper One
    včera 14:33 | IT novinky

    Společnost Flipper Devices oznámila Flipper One. Zcela nový Flipper postavený od nuly. Jedná se o open-source linuxovou platformu založenou na čipu Rockchip RK3576. Hledají se dobrovolníci pro pomoc s dokončením vývoje (ovladače, testování, tvorba modulů).

    Ladislav Hagara | Komentářů: 2
    vkd3d 2.0
    včera 14:00 | Nová verze

    Vývojáři Wine oznámili vydání verze 2.0 knihovny vkd3d pro překlad volání Direct3D na Vulkan. Přehled novinek na GitLabu.

    Ladislav Hagara | Komentářů: 0
    Red Hat Enterprise Linux (RHEL) 10.2 a 9.8
    včera 11:33 | Nová verze

    Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu (RHEL) 10.2 a 9.8. Vedle nových vlastností a oprav chyb přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Vypíchnout lze CLI AI asistenta goose. Podrobnosti v poznámkách k vydání (10.2 a 9.8).

    Ladislav Hagara | Komentářů: 0
    Apache NetBeans 30
    včera 05:11 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 30 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    WordPress 7.0 Armstrong
    včera 05:00 | Nová verze

    Byla vydána nová verze 7.0 svobodného open source redakčního systému WordPress. Kódové jméno Armstrong bylo vybráno na počest amerického jazzového trumpetisty a zpěváka Louise Armstronga (What A Wonderful World).

    Ladislav Hagara | Komentářů: 0
    Kritická zranitelnost v Drupalu (SA-CORE-2026-004, CVE-2026-9082)
    včera 04:55 | Bezpečnostní upozornění

    V Drupalu byla nalezena a opravena kritická zranitelnost SA-CORE-2026-004 (CVE-2026-9082). Útočník může provádět libovolné SQL dotazy na webech používajících databázi PostgreSQL.

    Ladislav Hagara | Komentářů: 0
    HP sponzorem služby Linux Vendor Firmware Service (LVFS)
    20.5. 14:11 | Komunita

    Richard Hughes oznámil, že službu Linux Vendor Firmware Service (LVFS) umožňující aktualizovat firmware zařízení na počítačích s Linuxem, nově sponzoruje také společnost HP.

    Ladislav Hagara | Komentářů: 3
    Demoscéna: Wake Up! 16b
    20.5. 13:33 | IT novinky

    O víkendu proběhla demopárty Outline 2026. Publikována byla prezentovaná dema. Upozornit lze na 16 bajtové, opravdu šestnáct bajtové, zvukově obrazové demo Wake Up! 16b (YouTube).

    Ladislav Hagara | Komentářů: 2
    Ardour 9.5
    20.5. 04:22 | Nová verze

    Byla vydána nová verze 9.5 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání a na YouTube.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (16%)
     (26%)
    Celkem 1678 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / DNS failover
    Štítky: CentOS, distribuce, DNS, domény, firewall, Internet, IPv4, ISP, tom, traffic

    Dotaz: DNS failover

    21.5.2019 15:03 Tomas3 | skóre: 20
    DNS failover
    Přečteno: 860×
    Zdravím všechny,

    měl bych dotaz ohledně DNS failoveru. Mám dva servery s CENTOS 7, domény registrovány na Wedosu. Mám 3 připojení k internetu a od každého ISP pár veřejných IPv4 adres. Firewall mám nakonfigurován tak, že když vypadne jeden poskytovatel, přesměruje traffic na druhého. Ale jak docílit toho, aby když je nedostupná určitá IP z internetu, aby mi traffic z internetu šel na funkční veřejnou IP. Asi by se to dalo řešit DNS failoverem a tak mě zajímá, řešil jste to někdy někdo? nechci ručně měnit DNS záznamy u domén a tak bych potřeboval nějaký levný a spolehlivý automat. Děkuji Tom
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    21.5.2019 16:17 MP
    Rozbalit Rozbalit vše Re: DNS failover
    Cloudflare.
    21.5.2019 16:55 Nereknu | skóre: 23 | Neřeknu:)
    Rozbalit Rozbalit vše Re: DNS failover
    Zrovna minulý týden jsem to řešil. A zatím jsem zvolil víc A záznamů u domény - sice druhá linka je slabší, ale pro to nejdůležitější to zas tak nijak extra nevytěžuje a ty méně důležité věci (které ale mají větší průtoky) prostě chvíli nepojedou.

    22.5.2019 08:22 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Děkuji, to mě taky napadlo, ale nikde jsem nezjistil, jak přesně více A záznamů funguje. Znamená to, že když nebude dostupná první IP v A záznamu, že to zkusí znovu pod druhou IP adresou? Myslel jsem, že to funguje jako ping, když bych totiž dal ping na název domény (subdomény), náhodně mi najde jednu z IP v A záznamu a tu bude pingat, podle mě, když bude jedna IP adresa z DNS záznamů nedostupná a zrovna si ji ping vybere, tak ping na ní nebude fungovat. Nebo to nyní funguje už i tak, že když pošlu ping, tak mi bude odpovídat vždy jen dostupná IP? Nerad bych to nastavil a pak zjistil, že polovině uživatelů služby nefungují, když nebude fungovat jedna z IP v DNS záznamu.
    22.5.2019 15:01 Pepan
    Rozbalit Rozbalit vše Re: DNS failover
    jak přesně více A záznamů funguje: roundrobin když bude jedna IP adresa z DNS záznamů nedostupná a zrovna si ji ping vybere, tak ping na ní nebude fungovat: ano
    Max avatar 21.5.2019 17:20 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Povolit u všech veřejných IP komunikaci s tím, že je dobré, aby i odchozí traffic odcházel směrem odkud bylo navázáno spojení.
    Pro všechny veřejné IP nastavit shodné dns záznamy. Tzn. nasadit DNS Round Robin

    Následně můžeš spoléhat na klientskou fci failoveru, kdy web browser když nenačte web z první IP v pořadí, zkusí další.
    Toto se ale týká web prohlížečů a není to úplně ideální failover. Pokud budeš poskytovat něco jiného (jiné služby, než webové), tak těžko říci, jaká podpora pro dns failover tam bude.

    Další možností je hodit si někam proxynu (např. haproxy). V rámci haproxy můžeš kontrolovat, zda zdroj žije (můžeš si na to napsat vlastní pravidla) a pokud ne, bude směrovat provoz na další server v pořadí, nebo dočasně server vyřadí z load balancing listu a až bude IP žít, zase automaticky bude směrovat provoz.

    Další možností je využít nějakého poskytovatele proxy služeb, co toto bude dělat za tebe (odpadne ti VM s haproxy), tzn. třeba ten Cloudflare.

    Další možností je použít DNS Round Robin v kombinaci s DynDNS. Tzn. že si budeš kontrolovat, zda IP žije, pokud ne, smázneš dns záznam pro tu konkrétní IP a zbytek necháš. Až IP bude žít, zase dns záznam přidáš. Wedos má nějaké API pro práci s DNS. Lze si to tedy naskryptovat.

    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 08:25 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Děkuji, z vnitřní sítě do internetu to tak mám nastaveno. Ale řeším například SMTP server a další některé služby. Psal jsem v příspěvku výše, že jsem kdysi zkoušel více A záznamů, ale když jsem dal ping na název domény, tak mi to občas vybralo IP adresu, která byla nedostupná a ping mi neodpovídal, při dalším spuštění pingu to šlo na druhou IP, která zase fungovala. Dle tvého příspěvku to opravdu tak asi funguje, jen né v internetovém prohlížeči, který zkusí více IP adres, je to tak? Právě se mi zdá nejlepší zbůsob kontrola, jestli žije tato IP a když ne, nějakým API nebo službou změním IP adresu na funkční a jede se dál. Jenže i kdyby bylo v DNS TTL na 1 vteřinu, myslím si, že to není 100% způsob, protože většina poskytovatelů (ISP) bude mít nastavené cachování.
    Max avatar 22.5.2019 08:33 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Samozřejmě, minimálně ttl bývá 15min s tím, že existuje spousta routerů, které mají v sobě dns cache nastavenou natvrdo na třeba 24h.
    Jak jsem napsal, řešením je malá haproxy na stabilní infratruktuře někde v housingu, případně komerční poskytovatel proxy řešení jako např. ten Cloudflare.
    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 11:08 MP
    Rozbalit Rozbalit vše Re: DNS failover
    15min? To tezko :) Staci se podivat na TTL u apple/facebook a ruznych cdn. Taky jsme na to doplatili treba u Cisco ASA...

    Pokud se jedna o sluzby mimo prohlizece, tak bych na klientsky dns failover nevsadil ani zlamany petnik, takze jedina cesta je reverzni L4 proxy v housingu ci Cloudflare apod., pokud se clovek nechce delat s PI.
    Max avatar 22.5.2019 11:47 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    Tak 15min / 900s bývá nejnižší možná hodnota u poskytovatelů dns. Kdo má vlastní, může si nastavit menší ttl. Nebo si může najít poskytovatele, který to umožňuje.
    Každopádně jak už jsem řekl a ty též, dns failover není bezpečné řešení a nemusí to být vůbec řešení pro nehttp služby.
    Zdar Max
    Měl jsem sen ... :(
    22.5.2019 13:03 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    S 5 minutami nebyva sebemensi problem.
    21.5.2019 18:23 PetebLazar
    Rozbalit Rozbalit vše Re: DNS failover
    Nebyl Internet navržen tak, že do jednoho bodu (IP adresy) nemusí vést jen jedna možná cesta?
    Max avatar 21.5.2019 18:41 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: DNS failover
    A jak to koncový uživatel asi tak ovlivní? Tebou popsané řešení je věcí ISP a poskytovatelů peeringů, ne?
    Zdar Max
    Měl jsem sen ... :(
    21.5.2019 20:57 PetebLazar
    Rozbalit Rozbalit vše Re: DNS failover
    Toho jsem si vědom. Zajímalo by mne, kolik by taková služba mohla dnes řádově stát.
    21.5.2019 18:44 NN
    Rozbalit Rozbalit vše Re: DNS failover
    To ale neplati pro unicast..
    vencour avatar 21.5.2019 19:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DNS failover
    Tak jako tak pokud je více uplinků tak musí jít odpověď v rozsahu toho subnetu, na kerý šel dotaz.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    21.5.2019 20:52 j
    Rozbalit Rozbalit vše Re: DNS failover
    To pujde, ale nemusi jit tou linkou ze ktere dorazil request. Bydefault bez dalsiho totiz naprosto bez problemu projde pres libovolnej router paket s libovolnou src (a dst pochopitelne). Tudiz pokud mas IPcka A a B, a posles k providerovi A paket se SRC B, tak to minimalne v 50% naprosto vpohode projde. Opacne uz pochopitelne nikoli, protoze onen provider nezna cestu k B.

    Parkrat sem takhle resil oblibene tema asymetrie linek ... ;D, tzn nastavil sem to tak zcela umyslne.

    --- BTW: Je to mimo jiny jeden ze zpusobu jak prostrelit NAT zvenku, a primarni duvod toho proc NAT naprosto nijak neresi jakoukoli bezpecnost site, ba naopak, vyrazne ji zhorsuje, protoze napsat spravne pravidla v situaci, kdy se IPcka paketu kvuli NATu v prubehu routovani menej muze byt celkem slusny peklo.
    vencour avatar 22.5.2019 06:59 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: DNS failover
    To, že to ve většině případů jde, neznamená, že to půjde vždy.
    Mimochodem fakt by mne zajímalo, jestli všichni asymetrický routing nebo kolizní subnet považují za malichernost.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    22.5.2019 13:02 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    To pujde, ale nemusi jit tou linkou ze ktere dorazil request. Bydefault bez dalsiho totiz naprosto bez problemu projde pres libovolnej router paket s libovolnou src (a dst pochopitelne). Tudiz pokud mas IPcka A a B, a posles k providerovi A paket se SRC B, tak to minimalne v 50% naprosto vpohode projde. Opacne uz pochopitelne nikoli, protoze onen provider nezna cestu k B.
    Tak tohle je jeden z nejvetsich blabolu, ktere jsi tu kdy vyplodil.
    22.5.2019 17:32 j
    Rozbalit Rozbalit vše Re: DNS failover
    Pise totalni trotl netusici ani zbla o fungovani IP.
    23.5.2019 10:38 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    Kolik BGP routeru spravujes? Tusis vubec, k cemu je mnt-routes v route objectu v RIPE db?
    To, co popisujes, je normalni spoofovani adres a to zadny normalni ISP ve svoji siti nechce.
    23.5.2019 16:24 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNS failover
    To, co popisujes, je normalni spoofovani adres a to zadny normalni ISP ve svoji siti nechce.
    normální příčetný. Bohužel bych řekl, že normálnímu ISP je to dost často fuk a ošetřené to nemá. Což samozřejmě neznamená, že by to někdo měl využívat nebo se na to dokonce spolehnout.
    Quando omni flunkus moritati
    23.5.2019 17:41 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    V zadnem pripade se na to spolehnout neda, protoze to stejne ustreli prvni BGP router na tranzitu.
    23.5.2019 17:51 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: DNS failover
    protoze to stejne ustreli prvni BGP router na tranzitu
    Kdyby tohle byla vždycky pravda, tak nefungují syn flood apod. útoky ze spoofnutých adres.
    Quando omni flunkus moritati
    21.5.2019 20:44 j
    Rozbalit Rozbalit vše Re: DNS failover
    To hodne zalezi na tom, ceho chces dosahnout. Pokud ti nevadi, ze se klienti budou ruzne pripojovat na ruzny IP, tak je naprosto koser proste uvest vic A/AAAA zaznamu. Normalne se to chova tak, ze DNS serviruje ty zaznamy v "nahodnym" poradi, a klient zacne tou prvni a pokud nefunguje, mel by zkusit druhou a dalsi.

    Pokud mas svuj dns, tak muzes ovlivnit i to poradi, pripadne muzes nabizet ruzny IP podle toho odkud jde dotaz ...

    Samozrejme ve vsech DNSlike resenich plati, ze v okamziku vypadku se spojeni rozpadne. Coz muze a nemusi byt problem.

    ----

    Ovsem pokud to chces vyresit spravne, tak presne k tomu slouzi PI adresy. Jinak receno, tvoji ISP slouzi jako dorucovatele dat ... ale IPcka mas pro vsechny stejne. Oni jen vypropaguji tvuj rozsah a prohlasi, ze k nemu znaji cestu. Ktera se ve skutecnosti pouzije pokud jich funguje vic, zalezi na spouste okolnostech.

    Rucni zmena DNS je ti uplne naprd, uvedom si, ze DNS se cachuje, a cache muze zit desitky hodin ale i dny.
    22.5.2019 13:53 Tomas3 | skóre: 20
    Rozbalit Rozbalit vše Re: DNS failover
    Ano, to já chápu a proto to nechci dělat ručně a ani s ohledem na cachování DNS u poskytovatelů. Hledám možnosti. Obávám se, že mi poskytovatelé neproroutují IP adresu konkurence a naopak. Právě bych se nejraději vzdal i více A záznamů v DNS a raději to udělal tak, že bych měl nějakou adresu (CNAME), která by v případě výpadku šla na jinou IP adresu. Tento CNAME bych zadal k doménám do DNS. Takže kdyby vypadl první server, šlo by to přes druhou IP, která by se rychle v tomto názvu změnila, problém je, že jsme zase u DNS a jak to někdo z ISP nacachuje, tak to postrádá smysl :( Nastuduji ten cloudfare, jak by měla fungovat ona proxy. Děkuji
    22.5.2019 17:51 j
    Rozbalit Rozbalit vše Re: DNS failover
    IP != PI = provider independent. Tzn mas SVOJE adresy (ale nejsi opravnen je poskytovat komukoli dalsimu = routovat je verejne, nejsi clenem ripe ...), a naprosto kazdej ISP ti je naroutuje. Samozrejem je tu hromada takyisp zamestnavajicich vsemozny trotly, a mezi nez muzes zaradit trebas toho o par postu vejs, ktery vubec netusej o cem je rec.

    Kazdej ISP je pak schopen ti takovy adresy zaridit (neco za to pochopitelne zaplatis). Na 4ce to bude pochopitelne uz asi smolik, ale na 6tce naprosto vpohode.

    Konkurencni adresu ti nenaroutuje predevsim proto, ze kdyby vypropagoval /32, tak ho nekdo prijde osobne zastrelit.

    V DNS se NIC rychle nezmeni. Takhle to vubec nefunguje, a CNAME ti vubec nijak nepomuze. Cname je alias, pokud se zeptam rekneme na www.abclinuxu.cz, tak zjistim, ze je to CNAME pro abclinuxu.cz, a ten ma A 171.25.221.158.

    A presne tohle si ulozi muj resolver do cache - na jak dlouho zalezi na SOA a taky na me, protoze to muzu klido zcela ignorovat (trebas proto, ze provozovatel primarniho NS je trotl a ma tam nesmyslne malo ... ). Obecne se ale bavime jiste o hodinach, kdy bude trvat nez se LIBOVOLNA zmena v DNS realne projevi vsude.

    Muzes samozrejem vyuzivat proxy, cimz si jen vyrobis dalsi SPOF. Co budes delat, az ti pojde ta?

    Jednoduse pocitej s tim, ze pokud chces zajistit nejaky sluzbe nejakou dostupnost, tak potrebujes internet, ne prijeni k necemu bez adres a routovani.
    23.5.2019 10:31 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: DNS failover
    Konkurencni adresu ti nenaroutuje predevsim proto, ze kdyby vypropagoval /32, tak ho nekdo prijde osobne zastrelit.
    Zadne strileni se neprovozuje. Jenom ti neblizsi pricetny router prefix delsi nez /24 odignoruje.
    22.5.2019 18:04 vakus
    Rozbalit Rozbalit vše Re: DNS failover
    Skus sa pozriet u Hetznera na Failover IP.
    24.5.2019 10:17 iwk
    Rozbalit Rozbalit vše Re: DNS failover
    Ides na to spravne. Ten update DNS sa da spravit automaticky - dynamicke dns (http://www.google.com/search?client=opera&q=dynamic+dns) Bud cez nejaku sluzbu (napr. noip) alebo aj priamo mikrotik ma vlastnu implementaciu (https://wiki.mikrotik.com/wiki/Manual:IP/Cloud). Pozri, ci nieco priamo nepodporuje tvoj firewall, ak je to nejaka krabicka. Asi najednoduchsie riesenie.

    Fungovat to bude tak, ze domeny (www) si nasmerujes na nejaky ten alias (CNAME), ktory sa automaticky updatne, ked sa konektivta prepne na zalohu.

    Druha moznost je si podobnu sluzbu na nejakej domene postavit sam. AWS route53 vie robit healtcheck a vracat IP iba pre dostupne resources. https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html.

    Tu na blogu to jeden clovek vysvetluje aj obrazkami https://www.virtualtothecore.com/load-balancing-services-with-aws-route53-dns-health-checks/

    Ako uz ini poznamenali, pri dns failovere moze byt delay kvoli TTL (minuta 1 minimum) a treba ratat s tym, ze niekomu kto ignoruje nastavenie tychto nizkych TTL, sa moze javit sluzba nedostupna aj dlhsie. Ale to uz je problem ignorantov :D

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.