... {toc} {color:#993300}{*}Устарело{*}{color}{color:#993300}.{color} {color:#993300}{*}Актуальный способ настройки{*}{color} \- [http://docs.carbonsoft.ru/pages/viewpage.action?pageId=113737730] Генератор зон Bind/Named или Unbound для списка доменов, которые необходимо переадресовывать на страницу-заглушку. Это один из способов решения проблемы с фильтрацией ресурсов, меняющих IP адреса. Позволяет абонентам видеть страницу-заглушку при обращении к запрещённому ресурсу. h2. Bind/Named h3. Установка Вся эта схема рассчитана на использование на уже имеющемся и реально используемом абонентами/ревизором DNS-сервере провайдера. Пример установки приведён для целей тестирования, считаем что дистрибутив сервера CentOS 6. (!) Устанавливать DNS-сервер bind/named на Carbon Reductor не рекомендуется.
|
... h3. Настройка (!) В основном конфиге bind/named должен подключаться сгенерированный fakezone файл. В конец файла /etc/named.conf допишите: {code} include "/etc/named.reductor.zones"; {code} h2. Система генерации зон для DNS-сервера h3. 1. Установка Нам потребуется git для клонирования репозитория {code} yum -y install git {code} Клонируем репозиторий на DNS-сервер в папку /opt/named_fakezone_generator/ {code} git clone https://download5.carbonsoft.ru/reductor/repos/named_fakezone_generator /opt/named_fakezone_generator/ {code} h3. 2. Настройка Откройте (если его ещё нет, создайте) конфигурационный файл: {code} /etc/sysconfig/named_fakezone_generator {code} В нём укажите следующие значения: {code} REDUCTOR_IP='10.0.0.1' REDUCTOR_VERSION='8' {code} Если в сети используется несколько Carbon Reductor - выберите один любой. Для Carbon Reductor 7 инструкция находится по адресу: [http://docs.carbonsoft.ru/pages/viewpage.action?pageId=65798699] h3. 3. Обращение к Carbon Reductor за списком доменов Если SSH ключи отсутствуют, генерируем их: {code} ssh-keygen {code} Затем добавляем их на Carbon Reductor: {code} ssh-copy-id root@<ip адрес carbon reductor> {code} (!) Обязательно проверьте, что main.sh отрабатывает при ручном запуске перед автоматическим запуском. Проверяем что: * scp не запрашивает пароль * новый файл со списком доменов скачивается * и всё это применяется за приемлемое время (менее двух минут) {code} timeout -s 15 3500s /opt/named_fakezone_generator/main.sh {code} h3. 4. Настройка регулярного обновления Добавляем задачу для cron: раз в 20 минут обновлять список доменов. Ограничение по времени выполнения (timeout) сделано с большим запасом в качестве защиты от зависания скрипта. {code} echo '*/20 * * * * root timeout -s 15 3500s /opt/named_fakezone_generator/main.sh' > /etc/cron.d/named_fakezone_generator {code} h3. Примечания Часть описанных действий может выполняться не от пользователя root, в документации используется именно он для простоты примера. Если самостоятельная настройка схемы для работы от имени непривилегированного пользователя вызывает затруднения - используйте root. *Принцип действия* Список блокируемых зон: {code} /etc/named.reductor.zones {code} Файлы зон создаются на каждый блокируемый домен: {code} /etc/named/reductor_<домен который необходимо редиректить>.conf {code} Больше подробностей можно узнать непосредственно посмотрев файлы: * /opt/named_fakezone_generator/generate_bind_configs.sh * /opt/named_fakezone_generator/reductor_named_domain.tmplt.
|