{toc}
h2. Как включить модуль
В меню "Опции Carbon Reductor DPI X" выбрать опцию "Включить интеграцию с DNS".
Сама по себе опция отвечает только за то, что модуль будет включен. Нужно обязательно выбрать одну или несколько задач для него.
h2. Обязательные опции
Помимо опции "Включить интеграцию с DNS" необходимо указать ещё две опции:
h3. IP-адреса DNS-серверов
Если вы используете несколько одинаковых DNS-серверов, Carbon Reductor DPI X позволяет отправлять сгенерированные файлы зон на каждый из них.
Для этого их адреса нужно перечислить через пробел в этой опции.
h3. Тип DNS-сервера
Выберите тип DNS-сервера, который вы используете. На текущий момент варианта два:
* Unbound
* Bind / Named
Bind / Named хуже чем Unbound справляется с большим набором зон: потребляет больше оперативной памяти, перечитывание конфигурации занимает больше времени. Если вы планируете использовать Bind / Named для блокировки ресурсов, мы рекомендуем перейти на Unbound. Если использовать его только для разблокировки частично заблокированных ресурсов - проблем быть не должно.
*Важно:* один сервер Carbon Reductor DPI X может работать только с одним типом DNS-серверов, т.е. тип DNS-сервера - глобальная опция. Если в вашей сети используются и Bind / Named и Unbound одновременно, рекомендуемое решение - использовать два сервера с Carbon Reductor DPI X. Лицензию на второй сервер Carbon Reductor DPI X можно получить бесплатно в качестве резервного сервера и установить его в виртуальную машину.
h2. Задачи модуля
h3. Блокировка ресурсов по домену
Возможно вы уже пользовались прототипом модуля, который устанавливался непосредственно на DNS-сервер и обращался к Carbon Reductor за списками.
Сейчас схема изменилась - Carbon Reductor DPI X локально генерирует конфиги с DNS-зонами для заблокированных сайтов и отправляет их на DNS-сервер.
Если ранее использовался прототип - его необходимо отключить, удалив файл с параметрами запуска из директории /etc/cron.d/ на DNS-сервере.
h3. Избежание частичных блокировок популярных ресурсов
Это новая возможность в Carbon Reductor DPI X. Схема работы следующая:
# Модуль читает список частично заблокированных ресурсов. Его формируют администратор сервера и Carbon Soft, при использовании опции "Разблокировать популярные сайты в обход требований Роскомнадзора".
# Домены резолвятся, получаем набор связок "домен" - "список IP"
# Модуль читает список заблокированных целиком IP адресов.
# Заблокированные адреса удаляются из результатов резолва.
# Если ни один IP адрес ресурса не заблокирован - зона не генерируется.
# Если все IP адреса ресурса заблокированы - зона не генерируется.
# В остальных случаях из незаблокированных IP адресов формируется DNS-зона для домена.
# Из зон формируются конфигурационные файлы.
# Конфигурационные файлы отправляются на DNS-сервер.
# При наличии возможности (есть в Unbound) они валидируются. Если валидация не проходит - удаляются.
# Если всё в порядке - вызывается перечитывание конфигурационного файла.
# Абоненты, использующие DNS-сервер провайдера, при обращении к частично заблокированному ресурсу не получают заблокированные IP.
# В итоге они не замечают частичных блокировок.
# Снижается нагрузка на техническую поддержку провайдера
h2. Что нужно сделать на DNS-сервере
h3. Unbound 1.4.20 (CentOS 6)
Всё работает "из коробки".
h3. Bind / Named (CentOS 6)
TODO
h3. Unbound 1.6.0 (debian)
* Создать директорию /etc/unbound/local.d/
* В файле /etc/unbound/unbound.conf.d/unbound.conf в конце секции "server:" указать include: /etc/unbound/local.d/*.conf
h2. Как включить модуль
В меню "Опции Carbon Reductor DPI X" выбрать опцию "Включить интеграцию с DNS".
Сама по себе опция отвечает только за то, что модуль будет включен. Нужно обязательно выбрать одну или несколько задач для него.
h2. Обязательные опции
Помимо опции "Включить интеграцию с DNS" необходимо указать ещё две опции:
h3. IP-адреса DNS-серверов
Если вы используете несколько одинаковых DNS-серверов, Carbon Reductor DPI X позволяет отправлять сгенерированные файлы зон на каждый из них.
Для этого их адреса нужно перечислить через пробел в этой опции.
h3. Тип DNS-сервера
Выберите тип DNS-сервера, который вы используете. На текущий момент варианта два:
* Unbound
* Bind / Named
Bind / Named хуже чем Unbound справляется с большим набором зон: потребляет больше оперативной памяти, перечитывание конфигурации занимает больше времени. Если вы планируете использовать Bind / Named для блокировки ресурсов, мы рекомендуем перейти на Unbound. Если использовать его только для разблокировки частично заблокированных ресурсов - проблем быть не должно.
*Важно:* один сервер Carbon Reductor DPI X может работать только с одним типом DNS-серверов, т.е. тип DNS-сервера - глобальная опция. Если в вашей сети используются и Bind / Named и Unbound одновременно, рекомендуемое решение - использовать два сервера с Carbon Reductor DPI X. Лицензию на второй сервер Carbon Reductor DPI X можно получить бесплатно в качестве резервного сервера и установить его в виртуальную машину.
h2. Задачи модуля
h3. Блокировка ресурсов по домену
Возможно вы уже пользовались прототипом модуля, который устанавливался непосредственно на DNS-сервер и обращался к Carbon Reductor за списками.
Сейчас схема изменилась - Carbon Reductor DPI X локально генерирует конфиги с DNS-зонами для заблокированных сайтов и отправляет их на DNS-сервер.
Если ранее использовался прототип - его необходимо отключить, удалив файл с параметрами запуска из директории /etc/cron.d/ на DNS-сервере.
h3. Избежание частичных блокировок популярных ресурсов
Это новая возможность в Carbon Reductor DPI X. Схема работы следующая:
# Модуль читает список частично заблокированных ресурсов. Его формируют администратор сервера и Carbon Soft, при использовании опции "Разблокировать популярные сайты в обход требований Роскомнадзора".
# Домены резолвятся, получаем набор связок "домен" - "список IP"
# Модуль читает список заблокированных целиком IP адресов.
# Заблокированные адреса удаляются из результатов резолва.
# Если ни один IP адрес ресурса не заблокирован - зона не генерируется.
# Если все IP адреса ресурса заблокированы - зона не генерируется.
# В остальных случаях из незаблокированных IP адресов формируется DNS-зона для домена.
# Из зон формируются конфигурационные файлы.
# Конфигурационные файлы отправляются на DNS-сервер.
# При наличии возможности (есть в Unbound) они валидируются. Если валидация не проходит - удаляются.
# Если всё в порядке - вызывается перечитывание конфигурационного файла.
# Абоненты, использующие DNS-сервер провайдера, при обращении к частично заблокированному ресурсу не получают заблокированные IP.
# В итоге они не замечают частичных блокировок.
# Снижается нагрузка на техническую поддержку провайдера
h2. Что нужно сделать на DNS-сервере
h3. Unbound 1.4.20 (CentOS 6)
Всё работает "из коробки".
h3. Bind / Named (CentOS 6)
TODO
h3. Unbound 1.6.0 (debian)
* Создать директорию /etc/unbound/local.d/
* В файле /etc/unbound/unbound.conf.d/unbound.conf в конце секции "server:" указать include: /etc/unbound/local.d/*.conf