[Megoldva] TTL idő változtatása

Linux-haladó

Van egy DNS szerver, amin van egy tábla, hogy a hálózaton BELÜL az adott neveket milyen IP re kell fordítani. A hálózaton minden levelezés, minden proxy nem IP re van megadva, hanem mail.vlmi.vlmi vagy, proxy.vlmi.vlmi. Van WINS, ami tud fordulni ilyen kérdésekben a DNS hez.
Eddig egyszerűnek tűnik, hiszen ha változtatni akarok a proxy-n vagy a levelezésen, akkor elkészül az új kiszolgáló, letesztelés után a DNS átír, a gépek beolvassák. Kész is. A TTL idő mondja meg, hogy milyen időközönként kérdezzék meg a DNS táblázazatot, illetve a ping parancsnál ír egy TTL értéket, egy "hop" számot, ami a max csomagpattanás-t adja meg. A gépeknél ki lehet erőszakolni egy "ipconfig /flushdns" -el
hogy újraolvassák a táblát.
Nademármost. Üzembe állítottam egy újproxy-t, a DNS táblában átírtam a megfelelő IP -t, és azonnal használatba vették. Előtte a samba.conf-ba ttl max ot (az alapértelmezett 14400 ról) levettem 7000 sec -re.

Hogy tudom megkérdezni a windows 7-et, vagy akár XP, hogy épp mikor akar DNS-t olvasni, vagy honnan tudom hogy az adott gép épp mit ért a proxy.vlmi.vlmi alatt? Ha beírom a ping proxy.vlmi.vlmi-t akkor azt is gyorsítótárból dolgozza fel, vagy DNS kérdez hozzá kapásból?

  • 8183 megtekintés

( gergelykiss | 2014. 03. 12., sze – 11:23 )

Először is, különbséget kell tenni az IP csomagok TTL értéke és a DNS TTL között, a kettő nem ugyanaz.

Amit a ping kimenetében látsz, az az IP fejlécben megadott TTL, vagyis hogy a csomag hány csomóponton (routeren) mehet keresztül, amíg eljut a célig. Minden átjáró eggyel csökkenti ezt az értéket a csomag fogadásakor. Ha a TTL értéke eléri a 0-t, a csomag eldobásra kerül (és visszamegy egy ICMP csomag "TTL expired in transit" üzenettel a forrásnak, hacsak nincs letiltva a tűzfalon).

A DNS világában a TTL azt jelenti, hogy maximum mennyi ideig maradhat cache-ben egy adott rekord. Ez másodpercben van kifejezve.

Windowsnál az "ipconfig /displaydns" paranccsal listázhatod a cache-ben lévő rekordokat, itt láthatod az aktuális TTL-értékeket is.

( mrceeka v | 2014. 03. 12., sze – 11:35 )

Hello,

A TTL-re nem támaszkodhatsz, bármikor, bármelyik gép ürítheti a DNS cache-t, illetve nem ismered pontosan a DNS cache használatának algoritmusát. Viszont az átállás lépései lehetnek a következők:
-régi DNS recordon TTL csökkentés mondjuk 15 másodpercre
-mikor minden régi TTL lejárt, DNS rekord átírása új címre, alacsony TTL mellett
-ha minden OK és sikeres volt az átállás, TTL növelése

Ekkor mi szükség van arra, hogy tudd, hogy áll a DNS cache a klienseiden?

Üdv,
Marci

teljesen igazad van, és amit leírtál az lenne a menet. Amit a squidnél "begyakorolnánk", akkor arra támaszkodhatunk a sokkalta fontosabb (és kisebb tűréssel elviselt) levelezés átállításnál.

az smb.conf ban van, és most módosítottam erre:
max ttl = 300

(szamba restart)

Most épp azt nézem, hogy van pár renitens lázadó gép, ahol nem proxy.vlmi.vlmi van, hanem be van írva az IP cím, ezeket javítani kell közben.

Biztos vagy abban, hogy ez a TTL az a TTL?

Name-Resolution Configuration Options:

max ttl

This option is used when Samba is not acting as a WINS server but is using another system on the network for its WINS server. It sets the maximum T T L for NetBIOS names registered by the Samba server with the WINS server. You should never need to alter this value.

Az első hozzászólásban gergelykiss vázolta, hogy több, eltérő TTL-ről írtál a nyitó hozzászólásban. Mint látod, ez pedig egy harmadik TTL a NetBIOS nevekhez rendelve. A "proxy.vlmi.vlmi" pedig DNS témakör.

A master DNS szerveren resource rekordonként is külön, vagy akár egyben az egész zónára.

Nem írtad milyen DNS szervered van, de általánosságban a zónafile-ban a label és a class közötti opcionális értékként: 


mail.vlmi.vlmi.    7000  IN A   198.51.100.1
proxy.vlmi.vlmi.    300  IN A   198.51.100.2

igaz, nem mondtam hogy pf sense fut tűzfalként, és azon van ez a szolgáltatás.
Azt hiszem megtaláltam, hogy hol lehet force olni a kessss ürítést:

in the pf sense
"Clearing the DNS Forwarder Cache

The DNS forwarder will store the results from DNS queries in its local cache until the TTL of the DNS record expires.

Occasionally you may want to manually clear the cache to purge a bad record or troubleshoot a DNS problem.

Rebooting pfSense will clear the cache but you can also clear the cache through the web gui. To manually clear the cache you will need to restart the dnsmasq service. The service can be restarted in the Status \ Services menu in the web interface."

Végül is TTL időt nem találtam sehol a pf sensén, se semmilyen beállításban, itt ürítem ezt, és az most úgy néz ki segít. Holnap megnézem kicsit élesebb körülmények között hogy tudok váltani egyik squidről a másikra :)

köszönöm a segítségeiteket, megint jövök egyel nektek :D

Azt hogy nem egyféle TTL értékkel találkozhatok értettem már elején is, ez a NetBIOS dolog vadiúj nekem :)
Bocs, ha nem vagyok teljesen egyértelmű; rendesen kérdezni is nehéz: nem tudnám megmondani hogy hányféle TTL létezik, és hogy azokat hol tudnám ÉN módosítani kényem-kedve szerint. Nyilván ki tudnám cserélni a a régi levelezést és a squidet, mert előbb-utóbb helyre áll a rend. De sokkal jobb lenne ha tudnám mit miért teszek, itt a HUP-on meg jó tanácsot kérni. Szóval szeretném tudva csinálni a dolgot, és szóljatok ha hülyeséget mondok, vagy kérdezek.

Lehet. Bar azt mondjuk jo lenne tudni, hogy milyen oprendszerrol is beszelunk. Mert mig Win alatt - ha jol tudom - van nslookup (de nincs mas), addig *X vilagaban nem hatrany tudni, hogy az nslookup lassan 10 eve deprecated statuszban leledzik, es a host vagy dig parancsokat szoktak helyette javasolni (esetleg drill).
Felreertes ne essek, nekem is kezreallobb az nslookup, de az ISC ezer eve azt magyarazza, hogy felejtsuk el az nslookupot. (Szerintem egyebkent ez is olyan, mint Linux alatt az ifconfig vs. ip parancs. Meg kell kb 50 ev, mire kihullunk mindannyian akik meg az ifconfigot tanultuk/hasznaltuk, es addigra talan a scripteket is atirjak ifconfigrol ipre.)

windóz operációs rendszerek futnak a kliens gépeken, mintegy 150 Xp és 150 Win7, a szerver felállás: pfsense tűzfal (egy gép), samba kettőpontkevés(egy másik szerver) a wins a sambán fut, DNS táblája a pfsensének van (egyébként a pf sense is kettőpont kevés, nem a legfrissebb). Egy tartomány (domain), nincs nagy kurfli, egy internet kapcsolat a tűzfalon keresztül. Meglátásom szerint nem bonyolult az itteni felállás, de a TTL idő állítgatása misztikum :D
//zárójelben jegyzem meg, hogy az XP-k cseréjét win7 re egy éve könyörgöm, eddig hiába. Sunyi módon a havonta elkölthető alkatrész beszerzési keretből RAM bővítést végzek az összes gépen, hogy majd alkalmasak legyenek egy átállás kapcsán..//
A pf sense dnsmasq szolgáltatásának újraindítása nem hoz azonnali gyógyírt. :S és TTL idő beállítása mely a DNS szolgáltatásra hatással lenne nincs meg. :S

Tényleg, ha van vlakinek segédprogramja nslookup ra, mint a pingetésre a fips, mondhatná...

(a ttl időt a pf sense csinálja itt nálam, értékét nem tudom módosítani pf sensén belül, és az értéke nulla. Azaz minden esetben a dns től kérdez a böngésző egészen annak újraindításáig. Ha átírom a táblában az új proxyra az IP címet lassan mindenki áttér az újra. - ennyivel tartozom az eredeti témának :D )