Задача заключается в том, что бы перенаправлять запросы из Росии на один веб-сервер, а всех остальных — на другой.
Для решения — вспользуемся GeoIP, но не стандартным, описанным тут>>>, а более простым вариантом, построенным на Acess Control List (ACL).
В каталоге /etc/bind создадим папку для GeoIP:
# mkdir geoip
Переходим в него, и в нём создаём файл, например, geoip.sh с таким содержимым:
# cat /etc/bind/geoip/geoip.sh
#!/bin/bash
[ -f GeoIPCountryCSV.zip ] || wget -T 5 -t 1 http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
echo -n «Creating CBE (Country,Begin,End) CSV file…»
unzip -p GeoIPCountryCSV.zip GeoIPCountryWhois.csv | awk -F » ‘{print $10″,»$6″,»$8}’ > cbe.csv
echo -ne «DONEnGenerating BIND GeoIP.acl file…»
(for c in $(awk -F , ‘{print $1}’ cbe.csv | sort -u)
do
echo «acl «$c» {»
grep «^$c,» cbe.csv | awk -F , ‘function s(b,e,l,m,n) {l = int(log(e-b+1)/log(2)); m = 2^32-2^l; n = and(m,e); if (n == and(m,b)) printf «t%u.%u.%u.%u/%u;n»,b/2^24%256,b/2^16%256,b/2^8%256,b%256,32-l; else {s(b,n-1); s(n,e)}} s($2,$3)’
echo -e «};n»
done) > GeoIP.acl
rm -f cbe.csv
echo «DONE»
exit 0
Устанавливаем права на выполнение файла:
# chmod +x geoip.sh
Находясь в каталоге /etc/bind/geoip — запускаем файл:
# ./geoip/geoip.sh
—2013-03-20 12:15:25— http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
Resolving geolite.maxmind.com… 174.36.207.186
Connecting to geolite.maxmind.com|174.36.207.186|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 2572208 (2.5M) [application/zip]
Saving to: “GeoIPCountryCSV.zip”
100%[==================================================================================================================================================================================================>] 2,572,208 1.35M/s in 1.8s
2013-03-20 12:15:27 (1.35 MB/s) — “GeoIPCountryCSV.zip” saved [2572208/2572208]
Creating CBE (Country,Begin,End) CSV file…-ne DONE
Generating BIND GeoIP.acl file…
DONE
В результате — получаем два файла:
# ls
GeoIP.acl GeoIPCountryCSV.zip
Теперь нам необходимо создать отдельные файлы зон для разных клиентов. Можно просто скопировать существующий, и изменить в нём IN A поле:
# ls -l
total 12
-rw-r—r— 1 root bind 716 Mar 20 11:48 domain.org.ua
-rw-r—r— 1 root bind 715 Mar 20 11:47 domain.org.ua.ru
Переходим к настройке самого BIND. Предполагается, что он установлен и настроен по обычной схеме, описанной, например, в статье Debian: установка и настройка DNS — BIND.
Редактируем файл /etc/bind/named.conf, в него добавляем строку:
include «/etc/bind/geoip/GeoIP.acl»;
Далее, редактируем файл /etc/bind/named.conf.zones. В него, вместо записи вида:
zone «domain.org.ua» {
type master;
file «/etc/bind/zones/master/domain.org.ua»;
};
Добавляем:
view «RU» {
match-clients { RU; };
recursion no;
zone «domain.org.ua» {
type master;
file «/etc/bind/zones/master/domain.org.ua.ru»;
};
};
view «NotMatched» {
match-clients { any; };
recursion no;
zone «domain.org.ua» {
type master;
file «/etc/bind/zones/master/domain.org.ua»;
};
};
ВАЖНО: не забывайте обновлять поле Serial в файлах зон.
Содержимое файлов зон одинаковое, за исключением поля IN A — для Росси отдаётся адрес 77.120.***.40, а для всех остальных — 195.***.***.97.
Далее, во избежание ошибки:
# rndc reload
rndc: ‘reload’ failed: failure
20-Mar-2013 12:27:04.762 /etc/bind/named.conf.default-zones:4: when using ‘view’ statements, all zones must be in views
Необходимо отредактировать файл /etc/bind/named.conf.default-zones. В нём редактируем записи о зонах.
Вместо:
zone «.» {
type hint;
file «/etc/bind/db.root»;
};
Указываем:
view «root» {
zone «.» {
type hint;
file «/etc/bind/db.root»;
};
};
Имя «root» — может быть произвольным. Важно, что бы эти имена не повторялись. Иначе будет ошибка такого плана:
20-Mar-2013 12:28:39.812 /etc/bind/named.conf.default-zones:13: view ‘root’: already exists previous definition: /etc/bind/named.conf.default-zones:3
Другой вариант — просто убрать строку:
include /etc/bind/named.conf.default-zones
из файла /etc/bind/named.conf.default-zones.
Перезагружаем:
# rndc reload
server reload successful
Проверяем.
Запрос из Украины — попадает под «фильтр» NotMatched, т.к. сеть не определна:
$ dig @ns1.setevoy.kiev.ua domain.org.ua
…
;; QUESTION SECTION:
;domain.org.ua. IN A
;; ANSWER SECTION:
domain.org.ua. 3600 IN A 195.191.226.97
И запрос из России — попадает под «фильтр» match-clients { RU; }:
$ dig @ns1.setevoy.kiev.ua domain.org.ua
…
;; QUESTION SECTION:
;domain.org.ua. IN A
;; ANSWER SECTION:
domain.org.ua. 3600 IN A 77.120.106.40
