|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (27)
просмотр истории страницы... |
Сама по себе опция отвечает только за то, что модуль будет включен. Нужно обязательно выбрать одну или несколько задач для него. |
{info} Внимание\! В случае если используется 2 сервера с Carbon Reductor интеграция с DNS-сервером должна быть настроена только на 1 из них. {info} |
h2. Что нужно сделать на DNS-сервере |
Модуль только добавляет подключаемые файлы в нужные места. В некоторых дистрибутивах в основном конфигурационном файле не настроено их подключение. Мы не хотим повредить возможные ручные настройки, поэтому это нужно сделать вручную. |
h3. Установить rsync |
|
h4. Установка и запуск По умолчанию, утилита может быть не установлена в системе. Установка и последующий запуск выполняются следующими командами. h3. CentOS 8 |yum install rsync rsync-daemon| |systemctl enable rsyncd --now| h3. CentOS 7 |yum install rsync| |systemctl enable rsyncd --now| h3. Ubuntu/Debian |apt-get install rsync| h5. Модуль только добавляет подключаемые файлы в нужные места. В некоторых дистрибутивах в основном конфигурационном файле не настроено их подключение. Мы не хотим повредить возможные ручные настройки, поэтому это нужно сделать вручную. |
*Unbound 1.4.20 (CentOS 6)* Всё обычно работает "из коробки". Более подробно можно прочитать в нашей статье - [http://docs.carbonsoft.ru/113999917]. |
Для корректной работы требуется минимум 2 Гб оперативной памяти на DNS-сервере. (замер производился при блокировке 185 000 доменов). |
h3. Требования к оперативной памяти. |
|
Для работы может потребоваться двойной запас памяти, потребляемой при обычной работе, так как проверка корректности конфигурации потребляет столько же памяти, сколько и сам DNS-сервер. Проверка запускается сравнительно редко, не используется постоянно, поэтому для подстраховки от нехватки памяти лучше использовать swap. || Режим работы || Оперативной памяти || Размер swap || | Минимальное тестирование, без реальных абонентов | 2 Гб | 2 Гб | | Оптимальный объём на август 2020 года | 4 Гб | 2 Гб | | Запас на случай роста объёмов реестра до середины 2021 года | 6 Гб | 2 Гб | |
*Unbound 1.6.0 (Debian 9)* * Создать директорию /etc/unbound/local.d/ * В файле /etc/unbound/unbound.conf.d/unbound.conf в конце секции "server:" указать include: /etc/unbound/local.d/*.conf |
*Bind 9 (CentOS 7)* |
|
В /etc/named.conf добавить |
|
{code} include "/etc/named/fakezone_block_zones.conf" {code} в конец блока {code} view "internal" { }; {code} |
Важно: проверьте уровень логирования. Из-за частых автоматических изменений конфигурации файл /var/named/data/named.run может быстро разрастаться и привести к нехватке места на диске. |
... |
h3. Тип DNS-сервера |
Выберите тип DNS-сервера, который вы используете. На текущий момент варианта два: вариант только один: |
* Unbound |
* Bind / Named |
|
Bind / Named хуже чем Unbound справляется с большим набором зон: потребляет больше оперативной памяти, перечитывание конфигурации занимает больше времени. Если вы планируете использовать Bind / Named для блокировки ресурсов, мы рекомендуем перейти на Unbound. Если использовать его только для разблокировки частично заблокированных ресурсов - проблем быть не должно. |
|
*Важно:* один сервер Carbon Reductor DPI X может работать только с одним типом DNS-серверов, т.е. тип DNS-сервера - глобальная опция. Если в вашей сети используются и Bind / Named и Unbound одновременно, рекомендуемое решение - использовать два сервера с Carbon Reductor DPI X. Лицензию на второй сервер Carbon Reductor DPI X можно получить бесплатно в качестве резервного сервера и установить его в виртуальную машину. |
|
... |
{code} |
/var/lib/reductor/lists/provider/domain_fakezone_savfe.load |
{code} |
... |
При возникновении ошибок - создайте заявку в хелпдеске и приложите полный вывод команды main.sh. |
h2. Известные ошибки |
h2. Защита от ошибок |
|
В работе с unbound мы постарались минимизировать полное перепрочтение конфигурации DNS-сервера (reload). Сейчас оно будет вызываться только в следующих случаях: |
|
h3. Дублирующиеся зоны в Unbound |
* Первый запуск с новым DNS-сервером (или если пропадут файлы используемые для синхронизации - /var/lib/fakezone/block.cache и файлы зон, созданные Carbon Reductor DPI X) * Необходима синхронизация (добавление и удаление) более 3000 доменов за раз. * Произошла ошибка при выполнении команды синхронизации. * Используются _и_ изменились списки для частичной разблокировки популярных сервисов. |
|
Если для одного домена создано несколько зон - это приведёт к ошибкам. Это происходит когда для него создаётся зона двумя из трёх возможных способов: |
При сетевых сбоях во время синхронизации - она продолжит выполнение на DNS-сервере. Если выполнение будет прервано по какой-либо причине, ничего страшного - спустя 5 минут выполнение продолжится с того места, на котором закончилось. |
|
# Для блокировки по домену # Для избежания частичной блокировки # Вручную администратором |
h3. Дублирующиеся зоны в Unbound |
|
Если для одного домена создано несколько зон - это приведёт к ошибкам. На текущий момент защиты от этого в модуле нет. Это происходит когда для него создаётся зона двумя из трёх возможных способов: |
|
h2. Защита от ошибок *Fakezone* имеет надёжную защиту от ошибок: сетевых и программных сбоев при синхронизации. Сейчас reload'ы будут вызываться только в следующих случаях: # Первый запуск с новым DNS-сервером (или если пропадут файлы используемые для синхронизации - /var/lib/fakezone/block.cache и файлы зон, созданные Carbon Reductor DPI X) # Необходима синхронизация (добавление и удаление) более 3000 доменов. # Произошла ошибка при выполнении команды синхронизации. # Используются и изменились списки для частичной разблокировки популярных сервисов. При сетевых сбоях во время синхронизации - она продолжит выполнение на DNS-сервере. Если выполнение будет прервано по таймауту, ничего страшного - спустя 5 минут выполнение продолжится с того места, на котором закончилось. |
* Для блокировки по домену * Для избежания частичной блокировки * Вручную администратором |