Ασφάλεια Web Server

[arkouda_kafe]

Καλησπέρα σε όλους.

 

Δημιούργησα ένα θέμα στην κατηγορία του προγραμματισμού, αλλά πιστεύω ότι δεν ταιριάζει καθώς θέλω να μάθω πληροφορίες για την ασφάλεια του site.

http://www.insomnia.gr/topic/597291-wordpress-%CF%83%CE%B5-%CE%B4%CE%B9%CE%BA%CF%8C-%CE%BC%CE%BF%CF%85-web-server/

 

Έχω φτιάξει ένα site στο WordPress και το έχω ανεβάσει σε ένα Raspberry Pi με Raspbian Wheezy και LAMP

(https://en.wikipedia...oftware_bundle)).

Επίσης έχω αγοράσει ένα domain από το papaki.gr το οποίο το κάνω forward στην WAN IP (ένα δικό μου hostname) + public port του Router μου.

 

Ενώ μέχρι στιγμής λειτουργεί, εχω κάποιες απορίες και ενδιασμούς ταυτόχρονα για την ασφάλειά του.

 

1. Στα links του site φαίνεται το hostname + public port αντί για το κύριο domain. Είναι ασφαλές αυτό;
2. Είναι ασφαλέστερο να βάλω public port την 80 και lan port μια δικιά μου, ώστε στα links να φάινεται μόνο το hostname χωρίς το όνομα της πόρτας;
3. Υπάρχει κάποια άλλη λύση αντί για domain forward στο hostname της WAN IP, να ωφεληθώ καλύτερα με κάποιους nameservers που και αυτοί θα απευθύνονται κάπως στην WAN IP;

 

Δοκίμασα χθες από το papaki να καταχωρήσω έναν nameserver με το όνομα του hostname από το noip χωρίς πόρτα, δηλαδή την 80.Το αποτέλεσμα ήταν να καταχωρηθεί μια στιγμιαία μου WAN IP, χωρίς να ταιριάζει μετέπειτα με την τωρινή.Στο raspberry βέβαια ελέγχεται η WAN μου, και αλλάζει όποτε χρειάζεται.Δεν με ενοχλεί το domain forward, αρκεί να είναι ασφαλές και αξιόπιστο.

 

Στο sucuri για παράδειγμα μου εμφανίζονται κάποια warnigns, που νομίζω αφορούν την χρησιμοποίηση του hostname αντί για το κύριο domain.

[mamalacation]

Μπορείς με κάποιο παράδειγμα να εξηγήσεις τι εννοείς με hostname και τι με domain (μη βάλεις τα πραγματικά σου);

 

Μπορείς επίσης να εξηγήσεις τι εννοείς με το ότι κάνεις forward ένα domain από το παπάκι στη WAN IP σου; Μήπως εννοείς CNAME στο DNS που σου δίνει η noip;

 

Επίσης τι ακριβώς εννοείς με public port και lan port; Που τα έχεις δηλωμένα αυτά και σε ενοχλούν;

 

Επίσης, το σημείο που λες ότι καταχώρησες έναν nameserver στο papaki με το hostname του noip χωρίς πόρτα, δηλ την 80, μπορείς να το ξεκαθαρίσεις; Εννοείς NS record στο DNS; Ή μήπως εννοείς A record ή CNAME; Όπως και να'χει, στα zone records (του DNS) δε βάζεις port, παρά μόνο στα SRV records. Μήπως τελικά εννοείς SRV records; Αλλά αυτά είναι για άλλη δουλειά.

 

Κανονικά, αν έχεις ένα domain name στη noip, σετάρεις το server σου στο σπίτι με dyndns το οποίο κάνει update την ΙΡ σου στο noip. Τότε όμως (από όσο θυμάμαι) το site σου είναι του τύπου to.sitemoy.noip, όχι κάτι τύπου to.sitemou.gr. Αν εσύ τώρα έχεις βάλει CNAME record του domain που πήρες από το papaki να δείχνει στο αντίστοιχο της noip, τότε έχεις κάτι σαν αυτό:

 

my.domain.gr. IN CNAME my.domain.noip.

 

Σε αυτήν την περίπτωση, όταν κάποιος ζητήσει το my.domain.gr από το DNS server του, θα πάρει το CNAME record και μετά θα ζητήσει να μάθει την ΙΡ του my.domain.noip για να συνδεθεί τελικά πάνω σου. Αυτό θα έχει εκείνη τη στιγμή έστω την ΙΡ Α.Β.Γ.Δ. Αυτή θα την κασάρει ο DNS server που ρώτησες για κάθε επόμενο ερώτημα (όχι μόνο δικό σου αλλά και οποιουδήποτε άλλου τον ρωτήσει) για όσο είναι το TTL του my.domain.noip. Αν λοιπόν το TTL του my.domain.noip είναι πολύ μικρό (πχ 1 ή έστω και 10 (σε δευτερόλεπτα μετριέται), τότε κανονικά δε θα έχεις πρόβλημα. Αν όμως για κάποιο λόγο έχεις βάλει Α record στο papaki (δηλ με την ΙΡ και όχι το όνομα, μάλλον αυτό που λες εσύ hostname), τότε το TTL είναι του nameserver του papaki, το οποίο είναι συνήθως μεγαλύτερο (κάποιες ώρες ή και μία μέρα). Αυτό όμως δεν έχεις λόγο να το χρησιμοποιήσεις, γιατί όπως είπες η ΙΡ μπορεί να αλλάξει, οπότε είναι σωστότερο να έχεις CNAME record (αυτό που μάλλον εννοείς εσύ με forward το domain), και από τα συμφραζόμενά σου δε φαίνεται να έχεις κάνει αυτό.

 

Αν λοιπόν κατάλαβα τι λες, τότε στο 1 καλύτερα είναι να απαντάς με το domain name σου (το οποίο πάντα δείχνει στο αντίστοιχο του .noip). Αν το 3 είναι αυτό που σου περιγράφω (το CNAME δηλ στο my.domain.noip), τότε μια χαρά είναι αυτό, αρκεί να έχεις αρκούντως μικρό TTL στο noip.

Επίσης, το βασικότερο που μπορεί να μην πολυφάνηκε πριν, είναι ότι πρέπει να τρέχεις ένα σωστό dyndns service στο router σου για να κάνεις update το noip με την ΙΡ που έχεις κάθε φορά. Μάλλον αυτό δε σου λειτουργεί σωστά, αν κατάλαβα καλά τι λες.

[arkouda_kafe]

Καταρχήν σε ευχαριστώ πολύ για την απάντηση.Έχεις δίκιο που ρωτάς, γιατί όντως δεν γίνομαι σαφής.

 

"Μπορείς με κάποιο παράδειγμα να εξηγήσεις τι εννοείς με hostname και τι με domain (μη βάλεις τα πραγματικά σου);"

 

Hostname εννοώ την δημιουργία DNS Host (A), τύπου arkouda.noip.biz.Ενώ domain εννοώ arkouda.gr.

 

"Μπορείς επίσης να εξηγήσεις τι εννοείς με το ότι κάνεις forward ένα domain από το παπάκι στη WAN IP σου; Μήπως εννοείς CNAME στο DNS που σου δίνει η noip;"

 

Όχι, εννοώ ότι όταν κάποιος πατήσει την arkouda.gr, σε μεταφέρει στο arkouda.noip.biz, χωρίς αυτό να φαίνεται.Το domain δηλαδή είναι masked.Δεν θέλω να είναι έτσι, το έκανα επειδή δεν έβρισκα άλλη λύση.

 

"Επίσης τι ακριβώς εννοείς με public port και lan port; Που τα έχεις δηλωμένα αυτά και σε ενοχλούν;"

 

Αυτό αφορά τις ρυθμίσεις του port forwading του router μου.Η public πόρτα φαίνεται έξω, και προωθεί το αίτημα στην εσωτερική μου IP του server με μια lan πόρτα ,που μπορεί να είναι διαφορετική.Αυτή τη στιγμή έχω ίδιο νούμερο και στις δύο, 50000 για παράδειγμα.

 

"Επίσης, το σημείο που λες ότι καταχώρησες έναν nameserver στο papaki με το hostname του noip χωρίς πόρτα, δηλ την 80, μπορείς να το ξεκαθαρίσεις; Εννοείς NS record στο DNS; Ή μήπως εννοείς A record ή CNAME; Όπως και να'χει, στα zone records (του DNS) δε βάζεις port, παρά μόνο στα SRV records. Μήπως τελικά εννοείς SRV records; Αλλά αυτά είναι για άλλη δουλειά."

 

Σε αυτό το σημείο έδωσα το arkouda.noip.biz με IP που την βρήκε αυτόματα (την wan που είχα την συγκεκριμένη στιγμή).

Από παπάκι:

• "Οι συγκεκριμένοι nameservers απαιτούνται για την λειτουργία της υπηρεσίας διαχείρισης DNS. Εάν τροποποιηθούν θα απενεργοποιηθεί αυτή η υπηρεσία.
• Παρακαλώ συμπληρώστε τους nameservers που επιθυμείτε για τα επιλεγμένα ονόματα χώρου.
• Αν επιθυμείτε να δημιουργήσετε τους δικούς σας nameservers, πληκτρολογήστε τους στα παρακάτω πεδία και πατήστε 'Συνέχεια'. Στην επόμενη σελίδα θα σας ζητηθεί να πληκτρολογήσετε τις IP των nameservers.
• Εάν επιθυμείτε την διαγραφή κάποιων nameserver σβήστε την διεύθυνση και πατήστε συνέχεια."

Τώρα που έσβησα το record που είχα βάλει, μου έχει δύο προεπιλεγμένους: dns1.papaki.gr,dns2.papaki.gr.

Με τις πόρτες έχεις δίκιο, δεν μπαίνουν!

 

Το arkouda.noip.biz, αλλάζει με σωστή wan ip κάθε φορά, δεν έχω κανένα πρόβλημα με αυτό.Είχα και dyndns στο router, αλλά ειναι επι πληρωμή.Το noip client το έχω στο raspberry που ειναι μόνιμα ανοικτό, οποτε ειναι το ιδιο πραγμα.

 

Όπως σωστά λες είχα βάλει A record στο papaki , εννοώ δηλαδή το arkouda.noip.biz DNS Host A .Αυτό με το TTL δεν το ήξερα.

Εδώ θέλω να σε ρωτήσω σχετικά με το CNAME.Έχω επιλογή στο arkouda.noip.biz να το κανω  DNS Alias (CNAME), αλλά, δεν μου αντιστοιχίζεται η wan ip μου.

Αντί για την wan ip, υπάρχει ένα target "An CNAME target must be a valid hostname".

 

Η υπηρεσία αλλαγής IP πάντως μου λειτουργεί μια χαρά από το raspberry. Θα δοκιμάω και αύριο να κάνω διάφορες αλλαγες γιατί πήγε και αργά. Ευχαριστώ και πάλι!

[mamalacation]

Με πετυχαίνεις πριν φύγω για δουλειά, οπότε θα σου πω τα χοντρά: στο cname θα βάλεις το arkouda.noip.biz. και θα δουλέψει μια χαρά. Πρόσεξε! Μετά το biz"." έχει και τελεία που απαιτείται από το πρωτόκολλο DNS, άρα να την βάλεις. Nameservers αφήνεις τους defaults (του papaki). Λογικά θα παίξει μετά.

[mamalacation]

Αυτό που γράφεις με το domain masking με μπερδεύει λίγο. Το έχεις σετάρει στο papaki και μάλιστα στα settings του DNS; Αν ναι, και δεν υπονοούν CNAME, τότε δεν ξέρω τι εννοούν.

 

Όπως και να'χει, εσύ τη δουλειά σου μπορείς να την κάνεις με το CNAME που λέμε, και να φροντίσεις στο noip να έχεις μικρό TTL (που νομίζω από default το κάνει, γιατί αλλιώς δε θα'χε και πολύ νόημα). Δώσε βάση στην τελεία που σου αναφέρω πριν! (το θέλει κανονικά σε όποιο domain name εμφανίζεται στο zone record που σου δείχνει, όπως στο παράδειγμα που σου δείχνω παραπάνω που έχει τελεία και στα δύο). Δεν είμαι σίγουρος αν το noip τη βάζει μετά μόνο του (αν και δε θα έπρεπε), όμως έχε το νου σου.

 

Σε ό,τι αφορά την ασφάλεια, αυτό είναι ένα τεράστιο ζήτημα...το σημείο που αναφέρεις είναι το λιγότερο και δεν παίζει τελικά κανένα ρόλο. Αναγκαστικά από έξω πρέπει να αφήνεις το port 80 και το port 443, και εσωτερικά όποιο και να έχεις το ίδιο σου κάνει, γιατί αυτός που θα συνδεθεί σε εσένα θα συνδεθεί από τα εξωτερικά ports που είναι γνωστά.

 

Τώρα, το να έχεις ένα web server που να τρέχει ένα CMS (wordpress, joomla, κλπ) μέσα στο σπίτι σου, είναι λίγο ριψοκίνδυνο για το εσωτερικό σου δίκτυο, γιατί αν φαγωθεί το site σου (ακόμη και από κάποιο μποτάκι που τρώει συγκεκριμένα plugins του CMS σου...φτάνει), τότε ο "επιτηθέμενος" έχει πρόσβαση σε όλο το LAN που βλέπει το server-άκι σου. Το πρώτο, λοιπόν, που μπορείς να κάνεις για να είσαι πιο ασφαλής ως προς τους υπόλοιπους υπολογιστές και δικτυακούς κόμβους του σπιτιού σου (και όχι ως προς το server-άκι σου), είναι να βάλεις το server σε διαφορετικό δίκτυο, πίσω από ένα δεύτερο router, ή πίσω από τον ίδιο router, αν σου επιτρέπει κάτι τέτοιο...ή στην τελική να στήσεις ένα virtualisation μηχανισμό μέσα στο rasberry σου (τύπου KVM, virtualbox, LXC, αλλά δεν ξέρω τι χαρακτηριστικά έχει και αν το "σηκώνει" και επίσης απαιτεί ενδεχομένως additional skills από εσένα), και μέσα από εκεί να αποτρέψεις την πρόσβαση του VM που θα τρέχει το web server σου στο LAN σου.

 

Το πώς θα ασφαλίσεις το server σου είναι ένα γιγάντιο θέμα που απαιτεί πολλά skills σε σχέση με το ΛΣ που χρησιμοποιείς (Linux στην περίπτωσή σου), και αυτό γιατί πολλά από αυτά που πρέπει να κάνεις, πιθανώς να σου δυσχεραίνουν και την πρόσβαση προς το μηχάνημα ή το update του ή και διάφορα άλλα. Δεν μπαίνω σε λεπτομέρειες, αν θες στείλε μου pm να σου στείλω links με security tips για το web server σου. Όμως και πάλι, αν δεν είσαι sysadmin και έχεις στο σπίτι σου κάποιο web server που είναι publicly accessible, και ο web server τρέχει κάποιο γνωστό CMS και πατάει στο ίδιο δίκτυο με τις υπόλοιπες δικτυακές συσκευές του σπιτιού σου, τότε πας λίγο γυρεύοντας .

[arkouda_kafe]

Καλημέρα και σε ευχαριστώ για τις απαντήσεις!

Θα δοκιμάσω σε λίγο το CNAME που λες.

 

Αυτή την ασφάλεια του υπόλοιπου LAN ήθελα να αποφύγω! Ο server και το site δεν με ενδιαφέρουν πάρα πολύ, καθώς είναι για εκπαιδευτικούς σκοπούς.Router δεύτερο έχω, και θα δοκιμάσω ο,τι είναι καλύτερο.Όποιες πληροφορίες έχεις, είναι ευπρόσδεκτες με pm ή εδώ.

 

Οι λόγοι που δεν νοικιάζω χώρο για το site, είναι όχι μόνο οικονομικοί αλλά και εκπαιδευτικοί περισσότερο.

 

Τον server τον έκλεισα προς το παρόν, γιατί βλέπω ύποπτες κινήσεις από google analytics. Πολλές συνδέσεις από εξωτερικό και συγκεκριμένα από την Ρωσία.

Από το papaki:

 

 

 

Όπου διεύθυνση παραπομπής arkouda.noip.biz:port.

 

 

Επεξ/σία 22 Ιανουαρίου 2016 από arkouda_kafe

[mamalacation]

Καλά κάνεις και δε νοικιάζεις χώρο για site, και καλά κάνεις και πειραματίζεσαι. Απλά όταν το κάνεις, θα πρέπει να ξέρεις και τους κινδύνους που έχει αυτό που κάνεις και αυτοί είναι υπαρκτότατοι, και άρα θα χρειαστεί να υποστείς ό,τι συνέπειες χρειαστεί αν γίνει κάτι. Εμ τι νόμιζες; Ότι βάζεις ένα server και ένα WP και καθάρισες; Και οι sysadmins, να γίνουν κλέφτες δηλαδή; Μπααα... :)

 

Αρχικά, πάντως, για να προστατέψεις τουλάχιστο κάπως το υπόλοιπο δίκτυό σου (όχι τελείως, μη νομίζεις ότι καθάρισες πάλι), αυτό που μπορείς να κάνεις με τους δύο routers είναι να φτιάξεις άλλο ένα δίκτυο πίσω από το οποίο θα κάθεται ο server σου. Θεωρώ ότι το lan σου είναι στο network 192.168.1.0/24, και έστω 10.1.1.0/24 το δίκτυο, έστω 10.1.1.2 η ΙΡ του server, έστω 10.1.1.1 η lan IP του 2ου router σου, έστω 192.168.1.201 η wan IP του 2ου router σου, έστω 192.168.1.1 η lan ΙΡ του 1ου router σου και η wan του είναι με dhcp από τον πάροχό σου. Ο server έχει default gw το 10.1.1.1, ο 2ος router σου έχει default gw το 192.168.1.1. Εσύ κάνε τις προσαρμογές σου στο δίκτυό σου όπως νομίζεις. 

 

Στο παράδειγμα που σου γράφω, θα πρέπει να φροντίσεις από το firewall του 2ου router σου να επιτρέπεται traffic από το server σου προς όχι-το-lan σου, αν σου επιτρέπει τέτοιου τύπου δήλωση. Αν δε σου επιτρέπει τέτοιο syntax, τότε θες ένα rule που θα κάνει specifically reject την κίνηση από το 10.1.1.0/24 στο 192.168.1.0/24, ενώ θα επιτρέπει όλη την υπόλοιπη. Επίσης, αν δε θες να έχεις διπλό ΝΑΤ (ένα στον κάθε router σου), τότε θα πρέπει να βάλεις ένα static route στον πρώτο σου router που θα λέει ότι το 10.1.1.0/24 το βλέπει μέσω του 192.168.1.201. Αν στο επιτρέπει αυτό ο 1ος router σου, τότε είναι το "καλύτερο". Εφόσον το κάνεις αυτό, θα δώσεις στο port forward rule που έχεις (στον 1ο router σου) την καινούρια ΙΡ του server σου, δηλ 10.1.1.2, με τις κατάλληλες πόρτες. Έχω τύχει modem/router που δεν επιτρέπει port forward σε ΙΡ εκτός του subnet του (το οποίο είναι ανώμαλο, αλλά τι να κάνουμε; ), οπότε σε αυτήν την περίπτωση θα χρειαστείς double NAT. Φτάσε ως εκεί, και αν έχεις πρόβλημα, εδώ είμαστε.

[arkouda_kafe]

Ευχαριστώ και πάλι, πολύ χρήσιμες πληροφορίες! Αρχίζω δοκιμές!

 

Υ.Γ. Όντως νόμιζα ότι είναι απλά τα πράγματα με ένα στήσιμο server, ένα WordPress και τέλος.. 

[mamalacation]

A, τώρα είδα και τι είναι το domain masking (στο godaddy). Αυτό είναι μόνο web (HTTP/HTTPs) και ουσιαστικά αρχικά συνδέεσαι στο papaki και απλά σου "κρύβει" από το address bar του browser σου ότι κοιτάς σε άλλο domain. Το CNAME record που σου λέω αφορά όλα τα ports (όχι μόνο HTTP/HTTPs) και δε βρίσκω λόγο να μη δουλέψει...

 

Καλές δοκιμές λοιπόν!

[arkouda_kafe]

Καλησπέρα.Τελικά μετά από ψάξιμο κατάλαβα ότι δεν υπάρχει λύση για .gr domain και dynamic ip.

Για το cname που μου πρότεινες λογικά θα πρέπει να καταχωρησω το domain στο noip, και να κάνω cname το arkouda.noip.biz. Το πρόβλημα είναι ότι δεν δέχεται .gr domains.

 

Αυτό που θέλω είναι σε όλο το site να φαίνεται το domain.gr και όχι το arkouda.noip biz.

Θα στείλω πάλι για τις εξελίξεις σχετικά με την ασφάλεια και το δεύτερο router!

[mamalacation]

Όχι, το ανάποδο. Δηλώνεις στο papaki ότι:

 

arkouda.gr. IN CNAME arkouda.noip.biz.

www.arkouda.gr. IN CNAME arkouda.noip.biz.

 

Αυτό κάνει resolve τα fqdn που θέλεις (τα οποία είναι .gr) στα αντίστοιχα της noip. Δεν έχει λόγο να μη σου παίξει. Το ανάποδο από αυτό που σου λέω, δηλαδή αυτό που λες εσύ, όντως δε γίνεται.

[arkouda_kafe]

Καλησπέρα.Βρήκα τις επιλογές για CNAME από το papaki.gr!

Έκανα μια εγγραφή τύπου:

www.arkouda.gr. IN CNAME arkouda.noip.biz.

 

Χωρίς "www" δυστυχώς δεν μπορώ να κάνω εγγραφή.

 

Στα προηγούμενα posts είχε γίνει μια σύγχυση με το CNAME.Αναφερόμουν στην υπηρεσία noip και όχι στο papaki.gr.

 

 

 

Στην παραπάνω ρύθμιση έκανα DNS Host (A) εγγραφή για να απευθύνεται το hostname με την wan ip μου.

Το CNAME από το papaki.gr πιστεύω ότι δεν με εξυπηρετεί τελικά, επειδή δεν μπορώ να κάνω εγγραφή χωρίς "www".

 

Πλήρωσα για ένα μήνα στο papaki ώστε να κάνω με τον χρόνο μου τις απαραίτητες αλλαγές για έναν ασφαλές web server.

 

Η μεγάλη μου απορία είναι αν στο WordPress καταχωρήσω το .gr domain μου στα πεδία URL WordPress και URL Site.

 

 

 

Και με Domain Forward ή ακόμα και με CNAME, οι σύνδεσμοι του site γίνουν όλοι με .gr domain.

Επεξ/σία 27 Ιανουαρίου 2016 από arkouda_kafe

[mamalacation]

Νομίζω τα έχεις κάνει ανάποδα, ρε συ. Κοίταξα τα fqdns που έχεις στα screenshots σου (τα οποία είναι πλέον γνωστά, θα σου πρότεινα να κάνεις τροποποίηση των εικόνων ώστε να μη φαίνονται, γιατί ο καθένας μπορεί να πάει να συνδεθεί πάνω τους) και έτρεξα κάποια DNS queries και βλέπω ότι τα έχεις έχεις βάλει το CNAME στο .ddns να δείχνει στο .gr, ενώ εσύ θέλεις το ανάποδο.

 

Ας θεωρήσουμε ότι τα domains που έχεις είναι example.gr και example.ddns.net. Αυτό που θα ήθελες (φαντάζομαι) είναι όταν κάποιος χτυπήσει www.example.gr (ή και σκέτο, χωρίς το www) να πάει τελικά στο example.ddns.net, το οποίο είναι πάντα επικαιροποιημένο με την τελευταία ΙΡ που έχει πάρει το modem σου, σωστά;

 

Ε, για να το κάνεις αυτό θέλεις ένα σωστό dyndns service στο modem σου που να ενημερώνει το example.ddns.net (που μου εξήγησες ότι το έχεις, οπότε όλα καλά ως εδώ) και ένα CNAME στο papaki.gr που να σου "συνδέει" το www.example.gr με το example.ddns.net, δηλ:

 

www.example.gr. IN CNAME example.ddns.net.

 

Αν σε αναγκάζει (το οποίο δε θα έπρεπε, αλλά δε θα έπρεπε να σε πειράζει) το papaki να βάζεις www για το CNAME, τότε βάλε το, δεν είναι κακό. Απλά μη βάλεις Α record, γιατί το Α record θέλει ΙΡ, η οποία στην περίπτωσή σου θα αλλάζει, και το papaki δε θα μπορεί να ενημερώνεται (εκτός αν υποστηρίζει dyndns, που δε νομίζω). 

 

Μετά από αυτό, μπορείς να βάλεις στο wordpress σου το www.example.gr στα settings του και να είσαι μία χαρά.

 

Ελπίζω να στα εξήγησα με κατανοητό τρόπο, και αν το δοκιμάσεις όπως στο περιγράφω, θα σου δουλέψει.

[arkouda_kafe]

Ευχαριστώ για άλλη μια φορά.

Η εγγραφή που κοίταξες πρέπει να ήταν παλιά, όταν τα δοκίμαζα.Τώρα δεν έχω καθόλου CNAME.Το CNAME μου λειτουργούσε, απλά νόμιζα ότι λειτουργεί μόνο με www.domain.gr και όχι domain.gr. Λογικά, επειδή έβλεπα διαφορά όταν τα χτυπούσα, θα έφταιγε ο browser ή δεν θα είχε αλλάξει ακόμα το CNAME.

 

Τώρα δημιούργησε αυτόματα A records στο DNS σε κάποιες IP, καθώς αντιστοίχισα το domain.gr. Λειτουργεί μια χαρά.

 

Ο κύριος σκοπός μου βέβαια είναι να έχω τον server στο σπίτι μου, οπότε κοιτάζω το σωστό και ασφαλές στήσιμο πρώτα. Από περιέργεια θα το δοκιμάσω πάλι το CNAME, απλά το αρνητικό σε αυτό είναι ότι δεν μπορώ να κάνω εύκολα δοκιμές, καθώς αλλάζουν οι nameservers. 

[mamalacation]

Τα αυτόματα Α records που έφτιαξε πώς είναι; Φαντάζομαι στα δείχνει, οπότε αν θες παράθεσέ τα με τροποποιημένα ονόματα και ΙΡs για να καταλάβω. Για την ακρίβεια, αν μπορείς, παράθεσε όλα τα dns records του papaki (ακόμη και τα MX), αλλά και όλα του noip, για να ξέρουμε τι ακριβώς λέμε.

 

Αν πάντως κατάλαβα καλά, το Α record που σου δημιούργησε στο δημιούργησε με την ΙΡ που είχε τότε το WAN interface του router σου. Όταν αυτό αλλάξει (που θα αλλάξει κάποια στιγμή), τότε δε θα παίζει το site σου. Γι αυτό σου μιλάω για το CNAME, το οποίο θα παίζει και αφού αλλάξει η ΙΡ σου. Είπαμε, μη σε ανησυχεί που σου "επιβάλουν" να βάλεις www μπροστά, βάλε το και κάνε το site σου να απαντάει στο www όχι στο χωρίς. Ούτως ή άλλως δικαίωμά σου είναι να το κάνεις έτσι και τα περισσότερα sites στον κόσμο με www είναι γιατί ο πολύς κόσμος νομίζει ότι είναι απαραίτητο και το βάζουν ακόμη και εκεί που δεν ισχύει .

 

Ο ένας τρόπος για να μην έχεις πρόβλημα με το κασάρισμα των DNS records στις δοκιμές σου, είναι να αλλάζεις το DNS server του μηχανήματός σου (αυτό με το οποίο δοκιμάζεις, πχ το λάπτοπ σου) σε αυτόν του papaki (78.46.65.247 ή/και 88.198.245.36). Τότε θα παίρνεις αμέσως τις αλλαγές. Το noip φροντίζει, νομίζω, να έχει χαμηλά TLL οπότε δε θα έχεις πρόβλημα από εκεί. Προσοχή όμως: όσο έχεις αυτόν για DNS, δε θα μπορείς να βλέπεις άλλα sites εκτός από αυτά στα οποία είναι δηλωμένος σαν nameserver το papaki. Αυτό μπορείς κάπως να το "διορθώσεις" βάζοντας σαν secondary DNS server στο μηχάνημά σου αυτόν που είχες πριν. Όπως και να'χει, δες τα settings που είχες πριν κάνεις την αλλαγή μη δεν μπορείς να γυρίσεις εκεί που ήσουν πριν! Το πιθανότερο είναι ότι παίρνεις αυτόματα τους DNS (από το DHCP σου), αλλά καλού κακού πρόσεξε αυτό το σημείο πριν κάνεις την αλλαγή.

 

Ο δεύτερος τρόπος που μπορείς να τσεκάρεις με σιγουριά (όχι όμως και να δεις το αποτέλεσμα στο browser σου) είναι με το nslookup utility στα windows ή/και τα host και dig utilities στο Linux σου, τα οποί χρησιμοποιούνται για να σου απαντούν ποιο όνομα έχει ποια διεύθυνση (κάνουν δηλ. DNS name resolving). Σε αυτά τα utilities μπορείς να ρωτάς και έναν συγκεκριμένο name server για να σου πει την άποψή του, οπότε στην περίπτωσή σου θα ρωτάς πάντα το papaki, στο οποίο κάνεις και τις αλλαγές. Ο nameserver του papaki θα πρέπει να τις παίρνει αμέσως (δεν κάνει cache τα δικά του), οπότε θα είσαι μια χαρά.

 

Δε θα σου γράψω εκτενή αναφορά για το πώς λειτουργούν αυτά τα εργαλεία, μόνο τα δύο τρία που ερωτήματα που θα χρειαστείς.

 

Άρα, για να δεις το A record που έχει το papaki δίνεις:

C: \> nslookup arkouda.gr dns1.papaki.gr
$ host arkouda.gr dns1.papaki.gr
$ dig arkouda.gr @dns1.papaki.gr

Υπόψιν, το dig έχει το πιο "δυσανάγνωστο" output format, όμως θεωρείται το "καλύτερο" (δε θα έχεις κανένα πρόβλημα και με τα άλλα, πίστεψέ με).

 

Για να δεις το CNAME record θα δώσεις τα παρακάτω:

 

$ host -t mx www.arkouda.gr dns1.papaki.gr
$ dig mx www.arkouda.gr @dns1.papaki.gr
C: \> nslookup -querytype=cname www.arkouda.gr dns1.papaki.gr

Πρόσεξε το www που έχω βάλει μπροστά, διότι το CNAME θα το έχεις κάνει στο www. Αν θες να ρωτήσεις "τα πάντα", τότε στο όπου πάνω σου έβαλα mx, βάζεις any και απλά αλλάζεις το fqdn που ρωτάς (πχ. arkouda.gr ή www.arkouda.gr).

 

Σου ξαναλέω: τα Α records στο papaki με το setup που έχεις (δηλ. δυναμική ΙΡ) είναι ο εχθρός μας, άρα μην τα κυνηγάς!