[Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

[-- Attachment #1: Type: text/plain, Size: 3629 bytes --]

Приветствую Всех

Имеется Bind (bind-9.2.4.rc5-alt1) на ALT 2.4, который обслуживает все 
интерфейсы на сервере.
Сервер имеет широкий канал через ADSL, который перманентно откидывается, 
но восстанавливается в течении 10 попыток, за счёт опций pppd: persist и 
maxfail 10.
Однако за время восстановления, bind прекращает слушать этот интерфейс и 
не может возобновить, хотя интерфейс уже успешно поднялся:
Sep 19 16:48:10 server named[17493]: no longer listening on 82.207.88.73#53
Sep 19 17:25:51 server pppd[14092]: pppd 2.4.2 started by root, uid 0
Sep 19 17:25:51 server pppd[14092]: Using interface ppp0
Sep 19 17:25:51 server pppd[14092]: Connect: ppp0 <--> /dev/pts/0
Sep 19 17:25:51 server pppoe[14093]: PPP session is 40528
Sep 19 17:26:01 server pam_tcb[14110]: crond: Session opened for root by 
(uid=0)
Sep 19 17:26:01 server crond[14112]: (root) CMD (/usr/bin/enable lp 
"hp2550(color)")
Sep 19 17:26:02 server pam_tcb[14110]: crond: Session closed for root
Sep 19 17:26:14 server pppd[14092]: PAP authentication succeeded
Sep 19 17:26:14 server pppd[14092]: local  IP address 82.207.88.73
Sep 19 17:26:14 server pppd[14092]: remote IP address 195.5.5.7
Sep 19 17:48:09 server named[17493]: listening on IPv4 interface ppp0, 
82.207.88.73#53
Sep 19 17:48:09 server named[17493]: could not listen on UDP socket: 
permission denied
Sep 19 17:48:09 server named[17493]: creating IPv4 interface ppp0 
failed; interface ignored
Sep 19 18:48:09 server named[17493]: listening on IPv4 interface ppp0, 
82.207.88.73#53
Sep 19 18:48:09 server named[17493]: could not listen on UDP socket: 
permission denied
Sep 19 18:48:09 server named[17493]: creating IPv4 interface ppp0 
failed; interface ignored

Лечит только перезапуск bind:
Sep 19 18:51:46 server named[17493]: shutting down
Sep 19 18:51:47 server named[17493]: no longer listening on 127.0.0.1#53
Sep 19 18:51:47 server named[17493]: no longer listening on 192.168.2.1#53
Sep 19 18:51:47 server named[17493]: no longer listening on 
193.110.21.150#53
Sep 19 18:51:47 server named[17493]: no longer listening on 192.168.200.1#53
Sep 19 18:51:47 server named[17493]: exiting
Sep 19 18:51:47 server bind: named shutdown succeeded
Sep 19 18:51:47 server named[30241]: starting BIND 9.2.4rc5
Sep 19 18:51:47 server named[30241]: using 1 CPU
Sep 19 18:51:47 server bind: named startup succeeded
Sep 19 18:51:47 server named[30241]: loading configuration from 
'/etc/named.conf'
Sep 19 18:51:47 server named[30241]: listening on IPv4 interface lo, 
127.0.0.1#53
Sep 19 18:51:47 server named[30241]: listening on IPv4 interface eth0, 
192.168.2.1#53
Sep 19 18:51:47 server named[30241]: listening on IPv4 interface eth1, 
193.110.21.150#53
Sep 19 18:51:47 server named[30241]: listening on IPv4 interface eth1:0, 
192.168.200.1#53
Sep 19 18:51:47 server named[30241]: listening on IPv4 interface ppp0, 
82.207.88.73#53
Sep 19 18:51:47 server named[30241]: none:0: open: /etc/rndc.key: file 
not found
Sep 19 18:51:47 server named[30241]: couldn't add command channel 
127.0.0.1#953: file not found
Sep 19 18:51:47 server named[30241]: zone 1.168.192.in-addr.arpa/IN: 
loaded serial 5
Sep 19 18:51:47 server named[30241]: zone 2.168.192.in-addr.arpa/IN: 
loaded serial 5
Sep 19 18:51:48 server named[30241]: zone 200.168.192.in-addr.arpa/IN: 
loaded serial 5
Sep 19 18:51:48 server named[30241]: zone diya.org/IN: loaded serial 5
Sep 19 18:51:48 server named[30241]: zone diyaorg.dp.ua/IN: loaded 
serial 2005012410
Sep 19 18:51:48 server named[30241]: running

Как же быть в этой ситуации? Перезапускать bind руками уже достало.
Конфиг bind прикладываю.

С уважением, Роман

[-- Attachment #2: named.conf --]
[-- Type: text/plain, Size: 743 bytes --]

acl lan {
	192.168.200/2;
	192.168.2/24;
	127.0.0.1 ;
	82.207.88.73;
	};

options { 
	directory "/zone";
	query-source address * port 53;
	version "no version info";
	listen-on { any; };
//	listen-on { lan; };
	allow-transfer { none; };
	allow-recursion { lan; };
	
	forward	first;
	forwarders
	{
		82.207.79.5;
		193.110.20.1;
		195.24.128.65;
	};
};

zone  "diya.org" { 
	type master; 
	file  "diya.org.zone"; 
};
zone  "2.168.192.in-addr.arpa" { 
	type master; 
	file  "diya.backname"; 
};

zone  "1.168.192.in-addr.arpa" {
        type master;
        file  "diya_o.backname";
};

zone  "200.168.192.in-addr.arpa" {
	type master;
	file  "diya_n.backname";
};

zone  "diyaorg.dp.ua" {
        type master;
        file  "diyaorg.dp.ua";
};

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Sergey]

On Thursday 20 September 2007, Roman Savochenko wrote:

> Sep 19 18:48:09 server named[17493]: could not listen on UDP socket: 
> permission denied
> Sep 19 18:48:09 server named[17493]: creating IPv4 interface ppp0 
> failed; interface ignored
 
Повеситься на порт ниже 1024 можно только от рута, вот он и не может...
А вот что делать, сходу и не скажу. Разьве что рестарт бинда при
поднятии интерфейса через /уес/ззз/ipup-ppp, /etc/ppp/ip-up.d или
как там оно собрано/сделано.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Sergey wrote:
> On Thursday 20 September 2007, Roman Savochenko wrote:
>
>   
>> Sep 19 18:48:09 server named[17493]: could not listen on UDP socket: 
>> permission denied
>> Sep 19 18:48:09 server named[17493]: creating IPv4 interface ppp0 
>> failed; interface ignored
>>     
>  
> Повеситься на порт ниже 1024 можно только от рута, вот он и не может...
> А вот что делать, сходу и не скажу. Разьве что рестарт бинда при
> поднятии интерфейса через /уес/ззз/ipup-ppp, /etc/ppp/ip-up.d или
> как там оно собрано/сделано.
По мне, так лучше было отучить bind прекращать слушать интерфейс по 
недоступности, только как это сделать я не нашел.

С уважением, Роман.

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Peter V. Saveliev]

В сообщении от Thursday 20 September 2007 11:15:10 Sergey написал(а):
> On Thursday 20 September 2007, Roman Savochenko wrote:
> > Sep 19 18:48:09 server named[17493]: could not listen on UDP socket:
> > permission denied
> > Sep 19 18:48:09 server named[17493]: creating IPv4 interface ppp0
> > failed; interface ignored
>
> Повеситься на порт ниже 1024 можно только от рута, вот он и не может...
> А вот что делать, сходу и не скажу. Разьве что рестарт бинда при
> поднятии интерфейса через /уес/ззз/ipup-ppp, /etc/ppp/ip-up.d или
> как там оно собрано/сделано.

Вот мне тоже пришла такая мысль -- ведь bind к этому моменту скидывает 
привилегии.

Как вариант без перезапуска -- повесить на высокий порт, скажем, 53000, и 
делать redirect в prerouting. Тогда bind должен цепляцо заново без проблем, а 
редирект со стандартного порта обеспечит iptables, которому будет всё равно, 
с какого интерфейса идёт траффик (если явно интерфейс не указывать, что и не 
нужно в данном случае).

-- 
Peter V. Saveliev

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Peter V. Saveliev]

В сообщении от Thursday 20 September 2007 11:28:19 Roman Savochenko 
написал(а):
<skip />
> По мне, так лучше было отучить bind прекращать слушать интерфейс по
> недоступности, только как это сделать я не нашел.
<skip />

afaik, для этого придётся переписать ядро в области сокетов. Имхо, не путь.

-- 
Peter V. Saveliev

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Peter V. Saveliev wrote:
> В сообщении от Thursday 20 September 2007 11:28:19 Roman Savochenko 
> написал(а):
> <skip />
>   
>> По мне, так лучше было отучить bind прекращать слушать интерфейс по
>> недоступности, только как это сделать я не нашел.
>>     
> <skip />
>
> afaik, для этого придётся переписать ядро в области сокетов. Имхо, не путь.
Да ну!
Другие сервисы, ведь не откидываются и при появлении интерфейса работают.

С уважением, Роман

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Peter V. Saveliev]

В сообщении от Thursday 20 September 2007 11:34:23 Roman Savochenko 
написал(а):
<skip />
> > afaik, для этого придётся переписать ядро в области сокетов. Имхо, не
> > путь.
>
> Да ну!
> Другие сервисы, ведь не откидываются и при появлении интерфейса работают.
<skip />

Виноват -- только что проверил, действительно accept() не откидывается с 
опущенного интерфейса и потом восстанавлиает работу при поднятии.

Другой вопрос, что биндиццо-то надо к ip, а не к интерфейсу, а при перезапуске 
интерфейса ip может и поменяться вдруг.

-- 
Peter V. Saveliev

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Peter V. Saveliev wrote:
> В сообщении от Thursday 20 September 2007 11:15:10 Sergey написал(а):
>   
>> On Thursday 20 September 2007, Roman Savochenko wrote:
>>     
>>> Sep 19 18:48:09 server named[17493]: could not listen on UDP socket:
>>> permission denied
>>> Sep 19 18:48:09 server named[17493]: creating IPv4 interface ppp0
>>> failed; interface ignored
>>>       
>> Повеситься на порт ниже 1024 можно только от рута, вот он и не может...
>> А вот что делать, сходу и не скажу. Разьве что рестарт бинда при
>> поднятии интерфейса через /уес/ззз/ipup-ppp, /etc/ppp/ip-up.d или
>> как там оно собрано/сделано.
>>     
>
> Вот мне тоже пришла такая мысль -- ведь bind к этому моменту скидывает 
> привилегии.
>
> Как вариант без перезапуска -- повесить на высокий порт, скажем, 53000, и 
> делать redirect в prerouting. Тогда bind должен цепляцо заново без проблем, а 
> редирект со стандартного порта обеспечит iptables, которому будет всё равно, 
> с какого интерфейса идёт траффик (если явно интерфейс не указывать, что и не 
> нужно в данном случае).
А это хоть и костыль, но всё-же вариант.

С уважением, Роман

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Peter V. Saveliev wrote:
> В сообщении от Thursday 20 September 2007 11:34:23 Roman Savochenko 
> написал(а):
> <skip />
>   
>>> afaik, для этого придётся переписать ядро в области сокетов. Имхо, не
>>> путь.
>>>       
>> Да ну!
>> Другие сервисы, ведь не откидываются и при появлении интерфейса работают.
>>     
> <skip />
>
> Виноват -- только что проверил, действительно accept() не откидывается с 
> опущенного интерфейса и потом восстанавлиает работу при поднятии.
>
> Другой вопрос, что биндиццо-то надо к ip, а не к интерфейсу, а при перезапуске 
> интерфейса ip может и поменяться вдруг.
Тоже не факт. Биндиться можно глобально, и слушать он будет все 
доступные интерфейсы, и даже те которые появятся после биндинга.

С уважением, Роман

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Peter V. Saveliev]

В сообщении от Thursday 20 September 2007 11:49:16 Roman Savochenko 
написал(а):
<skip />
> > Как вариант без перезапуска -- повесить на высокий порт, скажем, 53000, и
> > делать redirect в prerouting. Тогда bind должен цепляцо заново без
> > проблем, а редирект со стандартного порта обеспечит iptables, которому
> > будет всё равно, с какого интерфейса идёт траффик (если явно интерфейс не
> > указывать, что и не нужно в данном случае).
>
> А это хоть и костыль, но всё-же вариант.
<skip />

Не костылём был бы вариант с биндингом на 0.0.0.0: надо посмотреть, нельзя ли 
намеду явно указать, чтобы он слушал не на ip, которые нашёл на интерфейсах, 
а на адресе 0.0.0.0.

-- 
Peter V. Saveliev

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Peter V. Saveliev wrote:
> В сообщении от Thursday 20 September 2007 11:49:16 Roman Savochenko 
> написал(а):
> <skip />
>   
>>> Как вариант без перезапуска -- повесить на высокий порт, скажем, 53000, и
>>> делать redirect в prerouting. Тогда bind должен цепляцо заново без
>>> проблем, а редирект со стандартного порта обеспечит iptables, которому
>>> будет всё равно, с какого интерфейса идёт траффик (если явно интерфейс не
>>> указывать, что и не нужно в данном случае).
>>>       
>> А это хоть и костыль, но всё-же вариант.
>>     
> <skip />
>
> Не костылём был бы вариант с биндингом на 0.0.0.0: надо посмотреть, нельзя ли 
> намеду явно указать, чтобы он слушал не на ip, которые нашёл на интерфейсах, 
> а на адресе 0.0.0.0.
Вообще я имел ввиду: INADDR_ANY
Он определён как:
#define INADDR_ANY              ((unsigned long int) 0x00000000)
И я не берусь утверждать что это именно 0.0.0.0

С уважением, Роман

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Peter V. Saveliev]

В сообщении от Thursday 20 September 2007 12:04:37 Roman Savochenko 
написал(а):
<skip />
> Вообще я имел ввиду: INADDR_ANY
> Он определён как:
> #define INADDR_ANY              ((unsigned long int) 0x00000000)
> И я не берусь утверждать что это именно 0.0.0.0
<skip />

Не суть. Суть в том, что я сейчас копаю доки и дёргаю свой намед, и пока что 
не нашёл пимпы, которая бы заставляла его биндиццо на INADDR_ANY. Потому, 
кроме костыля с iptables, пока решения не вижу, увы.

-- 
Peter V. Saveliev

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1411 bytes --]

On Thu, Sep 20, 2007 at 09:41:14AM +0300, Roman Savochenko wrote:
> Приветствую Всех
> 
> Имеется Bind (bind-9.2.4.rc5-alt1) на ALT 2.4, который обслуживает все 
> интерфейсы на сервере.
> Сервер имеет широкий канал через ADSL, который перманентно откидывается, 
> но восстанавливается в течении 10 попыток, за счёт опций pppd: persist и 
> maxfail 10.
> Однако за время восстановления, bind прекращает слушать этот интерфейс и 
> не может возобновить, хотя интерфейс уже успешно поднялся:
[...]
> Как же быть в этой ситуации? Перезапускать bind руками уже достало.

У bind есть параметр interface-interval для управления поведением в такой ситуации.

$ grep -rwl interface-interval /usr/share/doc/bind-*/arm/ |xargs -rn1 links -dump |sed -n '/^[[:space:]]*interface-interval/,/^[[:space:]]*[a-z-]\+$/p'
   interface-interval

           The server will scan the network interface list every
           interface-interval minutes. The default is 60 minutes. The maximum
           value is 28 days (40320 minutes). If set to 0, interface scanning
           will only occur when the configuration file is loaded. After the
           scan, the server will begin listening for queries on any newly
           discovered interfaces (provided they are allowed by the listen-on
           configuration), and will stop listening on interfaces that have
           gone away.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Roman Savochenko]

Dmitry V. Levin wrote:
> On Thu, Sep 20, 2007 at 09:41:14AM +0300, Roman Savochenko wrote:
>   
>> Приветствую Всех
>>
>> Имеется Bind (bind-9.2.4.rc5-alt1) на ALT 2.4, который обслуживает все 
>> интерфейсы на сервере.
>> Сервер имеет широкий канал через ADSL, который перманентно откидывается, 
>> но восстанавливается в течении 10 попыток, за счёт опций pppd: persist и 
>> maxfail 10.
>> Однако за время восстановления, bind прекращает слушать этот интерфейс и 
>> не может возобновить, хотя интерфейс уже успешно поднялся:
>>     
> [...]
>   
>> Как же быть в этой ситуации? Перезапускать bind руками уже достало.
>>     
>
> У bind есть параметр interface-interval для управления поведением в такой ситуации.
>
> $ grep -rwl interface-interval /usr/share/doc/bind-*/arm/ |xargs -rn1 links -dump |sed -n '/^[[:space:]]*interface-interval/,/^[[:space:]]*[a-z-]\+$/p'
>    interface-interval
>
>            The server will scan the network interface list every
>            interface-interval minutes. The default is 60 minutes. The maximum
>            value is 28 days (40320 minutes). If set to 0, interface scanning
>            will only occur when the configuration file is loaded. After the
>            scan, the server will begin listening for queries on any newly
>            discovered interfaces (provided they are allowed by the listen-on
>            configuration), and will stop listening on interfaces that have
>            gone away.
>   
Большое спасибо.

С уважением, Роман

Re: [Sysadmins] Bind: Прекращение прослушивания внешнего интерфейса после временного его исчезновения.

[Aleksey Avdeev]

Roman Savochenko пишет:
> Приветствую Всех
> 
> Имеется Bind (bind-9.2.4.rc5-alt1) на ALT 2.4, который обслуживает все
> интерфейсы на сервере.
> Сервер имеет широкий канал через ADSL, который перманентно откидывается,
> но восстанавливается в течении 10 попыток, за счёт опций pppd: persist и
> maxfail 10.
> Однако за время восстановления, bind прекращает слушать этот интерфейс и
> не может возобновить, хотя интерфейс уже успешно поднялся:
...
> 
> Как же быть в этой ситуации? Перезапускать bind руками уже достало.
> Конфиг bind прикладываю.

  Решил подобную проблему через закидывание bind в ovz контейнер с
внутренним ip. Его (bind) вход/выход во вне пропускаю через DNAT/SNAT
соответствующего интерфейса.

  При этом, т. к. bind работает только с интерфейсом своего контейнера
-- подение/рестарт внешнего интерфейса не него не влияют.

-- 

С уважением. Алексей.