Proteggi resolv.conf dal DHCP su FreeBSD 10

• Metodo 1: utilizzare le impostazioni dell'interfaccia statica
• Metodo 2: Rendi immutabile resolv.conf
• Metodo 3: dite educatamente a FreeBSD di lasciare da sole le vostre impostazioni

Se si esegue il proprio resolver o si desidera utilizzarne uno da un provider di terze parti, è possibile che il /etc/resolv.conffile venga sovrascritto da DHCP. Esistono diversi modi per risolvere questo problema. Dal momento che probabilmente vorrai riavviare per assicurarti che le tue modifiche si attacchino, e dato che in primo luogo sarai monkeying con le impostazioni di rete, ti consiglio vivamente di farlo su un'istanza di prova e / o al di fuori del picco ore.

Ora, quindi, ecco tre metodi, dal peggiore al migliore. Nota che tutti i metodi in questa guida sono stati scritti per FreeBSD 10. Gli utenti Linux possono fare riferimento a questa guida .

Metodo 1: utilizzare le impostazioni dell'interfaccia statica

Nei miei test limitati, ciò si traduce in tempi di avvio leggermente più veloci poiché non è necessario attendere che DHCP assegni le impostazioni di rete. Tuttavia, ho visto menzionare in diversi documenti Vultr che l'utilizzo delle impostazioni dell'interfaccia statica è disapprovato e che si dovrebbe attenersi al DHCP. Presumo che abbiano una buona ragione per questo e quindi ho continuato a usare DHCP da solo. Tuttavia, se decidi di percorrere questa strada, segui i passaggi seguenti.

• Determinare l'IP del server, la maschera di rete e l'IP del gateway.
• Modifica /etc/rc.confper utilizzare questi valori anziché DHCP.
• Riavvia per testare le impostazioni.

Determina IP / maschera di rete / gateway

Supponendo che l'interfaccia sia vtnet0, eseguire le seguenti operazioni:

ifconfig vtnet0 | grep inet

Questo dovrebbe fornirti l'indirizzo IP e la maschera di rete per il tuo server:

inet 10.10.10.10 netmask 0xffffff00 broadcast 10.10.10.255

A FreeBSD piace usare hex per la maschera di rete. Quanto sopra si converte in 255.255.255.0se sei curioso. Puoi trovare una tabella utile qui , ma non temere: puoi semplicemente copiare l'indirizzo esadecimale nei tuoi file di configurazione (o convertirlo in decimale se preferisci).

Puoi trovare il gateway in vari modi. Eccone uno:

route get default | grep gateway restituirà qualcosa sulla falsariga di:

gateway: 10.10.10.1

Modifica /etc/rc.confcon nuovi valori

Dotato di IP, maschera di rete e gateway, è ora il momento di aggiungerli alla configurazione del sistema. Consiglio vivamente di eseguire il backup di questo file prima di apportare qualsiasi modifica, in quanto renderà molto più semplice annullare in caso di errori. Ora apri /etc/rc.confnel tuo editor preferito e apporta le seguenti modifiche:

# Comment out this line:
# ifconfig_vtnet0="dhcp"

# Add these lines:
defaultrouter="10.10.10.1"
ifconfig_vtnet0="inet 10.10.10.10 netmask 0xffffff00"

Ovviamente, dovresti essere sicuro di sostituire il tuo IP reale, la maschera di rete e il gateway per i miei ovvi falsi.

Riavvia e prova

Riavviare il server utilizzando shutdown -r nowe assicurarsi che venga ripristinato correttamente. Esegui tutti i test che ritieni necessari per assicurarti che tutto funzioni correttamente. Se la rete non è accessibile, accedi tramite console e ripristina le modifiche. Se tutto va bene, a questo punto puoi mettere qualunque cosa ti piaccia resolv.confsenza temere che venga cancellata.

Se per qualsiasi motivo non riesci a riavviare, questo dovrebbe funzionare, ma farei davvero un corretto riavvio se fossi in te:

service netif restart && service routing restart

Metodo 2: Rendi resolv.confimmutabile

Questo è un po 'un trucco, ma è facilmente la soluzione più rapida. Non lo consiglio perché non posso garantire che questo non causerà qualche stranezza in futuro quando eseguirai l'aggiornamento a una nuova versione del sistema operativo e dhclient probabilmente si lamenterà di un mucchio. Detto questo, chflags schg /etc/resolv.confè sufficiente un semplice . Il file è ora completamente protetto da scrittura, anche da root. Puoi verificare in questo modo:

vultr [~]# chflags schg /etc/resolv.conf
vultr [~]# ls -ol /etc/resolv.conf
-rw-r--r--  1 root  wheel  schg 50 Nov 29 06:28 /etc/resolv.conf
vultr [~]# echo "so very untouchable" >> /etc/resolv.conf
/etc/resolv.conf: Operation not permitted.

Annulla con: chflags noschg /etc/resolv.conf

Metodo 3: dite educatamente a FreeBSD di lasciare da sole le vostre impostazioni

Questo è di gran lunga il modo più pulito e corretto per farlo. Esistono due approcci che puoi adottare:

Configurazione dhclient

Prendiamo l'esempio dall'alto e diciamo che tutto ciò che vuoi fare è inserire il tuo nameserver personalizzato resolv.confe non vuoi perderlo ogni volta che DHCP fa la sua cosa. Nel mio caso, voglio usare il risolutore di cache che ho installato che è in ascolto su localhost, quindi modifico /etc/dhclient.conf(che probabilmente sarà vuoto a parte i commenti) e aggiungo quanto segue:

interface "vtnet0" {
    supersede domain-name-servers 127.0.0.1;
}

Ciò consentirà a dhclient di fare tutto il resto necessario, ma quando il server DHCP gli invia un elenco di server dei nomi da utilizzare, il tuo sostituirà (come in, sostituirà completamente) quelli che offre. Se preferisci integrare (anziché sostituire) quelli offerti, puoi "aggiungere" o "anteporre" invece di "sostituire", a seconda dei casi.

Per inciso, se hai bisogno di più di un server personalizzato, specificali in questo modo:

supersede domain-name-servers 127.0.0.1, 127.0.0.2;

Dopo aver apportato le modifiche, riavvia dhclientper renderle immediatamente effettive:

service dhclient restart vtnet0

Esamina il tuo /etc/resolv.confe dovresti trovarlo ora ha i tuoi server dei nomi personalizzati.

Al momento della stesura di questo documento, i nameserver sono l'unica cosa che il server DHCP di Vultr abbia mai inserito nel mio resolv.conf, e l'unica cosa che mi è piaciuto personalizzare. Tuttavia, se dovessi mai avere la precedenza su qualsiasi altra impostazione, consulta l'eccellente manuale per un elenco completo:

man 5 dhclient.conf

Ci sono ottimi esempi in fondo che dovrebbero darti un'idea di cosa puoi fare. In cima alla mia testa, posso immaginare che potresti voler aggiungere qualcosa come supersede domain-name "example.com";se normalmente avessi una linea come quella nella tua resolv.conf. Ancora una volta, consultare i documenti.

Configurazione resolvconf

Questa è la soluzione più semplice se vuoi solo che tu resolv.confsia lasciato solo. Per il manuale:

resolvconf manages resolv.conf(5) files from multiple sources, such as DHCP and VPN clients

La sua configurazione risiede /etc/resolvconf.conf, che probabilmente non esiste sul tuo sistema, quindi sentiti libero di crearlo. Per rendere il tuo resolv.confimmutabile, aggiungi questo:

# prevent all updates to resolv.conf:
resolv_conf="/dev/null"

Se usi unboundcome risolutore di cache locale, questa è la linea che aggiunge (insieme ad alcuni per sé). Questo è fondamentalmente ingannevole resolvconfnel pensare che ti /etc/resolv.conftrovi /dev/null. Qualcosa di leggermente meno cattivo, ma ugualmente efficace, sarebbe:

# disable resolvconf from running any subscribers:
resolvconf="NO"

Se vuoi fare qualcosa di più sofisticato della semplice disattivazione, le pagine man sono disponibili resolvconfe resolvconf.confhanno molte informazioni.