ius/dns-autoslave: comparison dns-autoslave

equal deleted inserted replaced

-:6f5ef6fb479d
+:8f7ba479860c
-#! /usr/bin/perl -w
+#! /usr/bin/perl
 # $Id$
-my $USAGE = <<'#';
+# $URL$
-Usage: $ME [options]
--l --logfile=s   Name of the logfile we've to read [$opt_logfile]
--z --zonesdir=s  Where the named.conf's are expected [$opt_zonesdir]
--u --[no]update  Update the \"masters\"-entries [$opt_update]
--f --[no]follow  Follow the end of the logfile [$opt_follow]
--d --[no]debug   extra debug output [$opt_debug]
--h --help        This text [$opt_help]
---daemon      go into background [$opt_daemon]
--p --pidfile=s   file to store the pid [$opt_pidfile]
--v --version     print version [$opt_version]
-#
-# Es wird ein Verzeichnis geben, in diesem Verzeichnis liegt f�r
-# *jede* Zone eine eigene Konfigurations-Datei.
-# Diese ganzen Konfigurationsdateien werden dann zusammengefa�t
-# und diese zusammengefa�te wird dem bind per "include" mitgeteilt.
-#
-# Wir durchsuchen den Syslog nach
-# NOTIFY von Master-Servern.
-#   o Wenn der Master nicht authorisiert ist -> ENDE GEL�NDE
-#   o Andernfalls merken wir uns diesen Master f�r diese Domain
-# Wenn dann mal zu lesen ist "not of our zones" und wir uns diesen
-# als einen unserer Master gemerkt haben, dann vermerken wir uns, da�
-# f�r diese Zone das Konfig-File fehlt.
-#
-# Sollte irgendwann mal ein "slave zone...loaded" auftauchen, ist das Konfig-File
-# inzwischen vorhanden und kein Grund zur Panik.  Wir entfernen es aus der Liste
-# der fehlenden Files.
-#
-# Sollte dieser Text ausbleiben, m�ssen wir ein File anlegen (wahrscheinlich).
-# -> Sollte trotzdem schon eins da sein, dann konnten wir aus irgendwelchen
-# Gr�nden nix laden (deshalb fehlt ja der "...loaded"-Text).  Das kann z.B. sein, weil ein
-# Master mal keinen Bock hat oder nicht authoritativ ist.
-#
-# Etwas anders sieht's im update-Modus aus.  Hier wird *jeder* Master f�r jede Domain gemerkt und
-# gepr�ft, ob der in dem entsprechenden Konfig-File enthalten ist.
-#
-# Im t�glichen Einsatz sollte es ohne Update-Modus ganz gut funktionieren.
 use strict;
+use warnings;
+use Unix::Syslog qw(:macros :subs);
 use File::Basename;
-use IO::Handle;
+use Net::Pcap;
-use Fcntl qw/:flock/;
+use Net::DNS::Packet;
-use File::Path;
+use AppConfig;
-use Getopt::Long;
-use Unix::Syslog qw/:macros :subs/;
-my $ME = basename $0;
+# Es kommen Zeilen
+# add slave domain.com
+use constant ME => basename $0;
+use constant CF_FILE => "/etc/".ME.".conf";
+use constant CONFIG => (
+{ CASE => 1 },
+dev =>	{ ARGS => "=s", DEFAULT => "eth0", ALIAS => "interface" },
+filter =>	{ ARGS => "=s", DEFAULT => "udp and src host (%accept) and dst port domain" },
+accept =>	{ ARGS => "=s" },
+cmd =>	{ ARGS => "=s", DEFAULT => "/usr/local/sbin/add-slave" },
+);
+sub process($$$);
+sub createZone($$$);
+openlog(ME, LOG_PERROR | LOG_NDELAY | LOG_PID, LOG_DAEMON);
+$SIG{__DIE__} = sub { die @_ if $^S; syslog(LOG_ERR, shift, @_); exit 1; };
+$SIG{__WARN__} = sub { syslog(LOG_WARNING, shift, @_); };
+my $Cf = new AppConfig CONFIG or die;
+$Cf->file(CF_FILE) or die if -f CF_FILE;
+$Cf->args or die;
+my %Seen;
+MAIN: {
+$_ = $Cf->filter;
+s/%accept/join " or ", split " ", $Cf->accept/e;
+$Cf->filter($_);
+my $err;
+my ($net, $mask);
+my ($pcap, $filter);
+0 == Net::Pcap::lookupnet($Cf->dev, \($net, $mask, $err)) or die $err;
+$pcap = Net::Pcap::open_live($Cf->dev, 1500, 0, 10, \$err) or die $err;
+0 == Net::Pcap::compile($pcap, \$filter, $Cf->filter, 1, $mask) or die $@;
+Net::Pcap::setfilter($pcap, $filter);
+Net::Pcap::loop($pcap, -1, \&process, undef);
+}
-my %auth = (
+sub process($$$) {
-"212.80.235.130" => "pu.schlittermann.de",
+my (undef, $hdr, $data) = @_;
-"212.80.235.132" => "mango.compot.com",
-"145.253.160.50" => "bastion.actech.de",
-"62.144.175.34" => "ns.add-on.de",
-"195.145.19.34" => "ns.datom.de",
-"62.157.194.1" => "ns.mueritzcomp.de",
-"212.80.235.137" => "ns.flaemingnet.de omni.flaemingnet.de",
-"212.80.235.152" => "www.nestwerk.de",
-# "194.162.141.17" => "dalx1.nacamar.de",
-);
-$SIG{__DIE__} = sub { syslog(LOG_ERR, $_[0]); exit -1; };
+{
-$SIG{__WARN__} = sub { syslog(LOG_WARNING, $_[0]); };
+	# Link-Level:
-$SIG{TERM} = $SIG{INT} = sub { exit 0; };
+	# 	Dest	6 byte
+	# 	Src	6 byte
+	# 	type	2 byte
+	my $type = unpack("x12 n", $data);
+	if ($type != 0x800) {
+		warn "unexpected link layer type: ", sprintf("0x%x", $type), "\n";
+		return;
+	}
+	# Link layer abschneiden
+	$data = substr($data, 14);
+}
-my %seen;
+my $src;
+{
+	# IP-Header
+	# im ersten Byte stecken Version+Header-L�nge
+	@_ = unpack("C x11 C4", $data);
+	my $hlen = ($_[0] & 0xf) * 4;
+	$src = join ".",@_[1..4];
-my $opt_help = 0;
+	# IP-Header abschneiden
-my $opt_pidfile = "/var/run/$ME.pid";
+	$data = substr($data, $hlen);
-my $opt_logfile = "/var/log/syslog";
+}
-my $opt_zonesdir = "/etc/bind/zones.d";
-my $opt_follow = 0;
-my $opt_update = 0;
-my $opt_debug = 0;
-my $opt_daemon = 1;
-my $opt_version = 0;
-my $naptime = 60;
+my $dns;
+{
+	# UDP: SRC-Port	16 bit
+	#      DST-Port 16 bit
+	#      Len      16 bit
+	#      Chksum   16 bit  => 8 byte
+	$data = substr($data, 8);
+	$dns = new Net::DNS::Packet(\$data) or do {
+	    warn "Can't decode packet\n";
+	    return;
+	}
+}
+return unless $dns->header->opcode eq "NS_NOTIFY_OP";
-sub updateFile($$$);
+foreach my $q ($dns->question) {
-sub debug($;@) { syslog(LOG_DEBUG, "DEBUG " . shift @_, @_) if $opt_debug; }
+	next unless $q->qtype eq "SOA";
-END {
+	my $domain = $q->qname;
-if (open(PID, $opt_pidfile)) {
+	print "NOTIFY from $src about $domain";
-	my $pid = <PID>;
-	close(PID);
+	print " OK\n" and next if exists $Seen{$domain};
-	unlink $opt_pidfile if $$ == $pid;
+	print " OK(new)\n" and next if -f $Cf->zones . "/$domain" and $Seen{$domain} = time;
+	print " Create....\n";
+	$ENV{ZONE} = $domain;
+	$ENV{SOURCE} = $src;
+	$ENV{DATE} = scalar localtime;
+	system $Cf->cmd;
 }
 }
-MAIN: {
-openlog($ME, LOG_PID | LOG_PERROR, LOG_DAEMON);
-syslog(LOG_NOTICE, "starting");
-GetOptions(
-	"help" => \$opt_help,
-	"logfile=s" => \$opt_logfile,
-	"follow!" => \$opt_follow,
-	"update!" => \$opt_update,
-	"debug!" => \$opt_debug,
-	"daemon!" => \$opt_daemon,
-	"pidfile=s" => \$opt_pidfile,
-	"version!" => \$opt_version,
-	"zonesdir=s" => \$opt_zonesdir)
-or die "$ME: Bad Usage\n";
-if ($opt_help) {
-	print eval "\"$USAGE\"";
-	exit 0;
-}
-if ($opt_version) {
-	print "$ME Version: ", '$Id$', "\n";
-	exit 0;
-}
-# Create the PID-File
-{
-	open(PID, $_ = ">$opt_pidfile.$$") or die "Can't open $opt_pidfile: $!\n";
-	print PID "$$\n";
-	close(PID);
-	if (!link($_ = "$opt_pidfile.$$", $opt_pidfile)) {
-	    unlink "$opt_pidfile.$$";
-	    die "There's another $ME running.  Bad. Stop.";
-	}
-	unlink "$opt_pidfile.$$";
-}
-if ($opt_daemon) {
-	my $pid = fork();
-	if ($pid < 0) {
-	    die "Can't fork: $!\n";
-	}
-	if ($pid) {
-	    open(PID, $_ = ">$opt_pidfile") or die "Can't open $_: $!\n";
-	    print PID "$pid\n";
-	    close(PID);
-	    exit 0;
-	}
-	close(STDIN); close(STDOUT); close(STDERR);
-}
-open (LOGFILE, $_ = "<$opt_logfile") or die "Can't open $_: $!\n";
-for (;;) {
-	my (%masters, %missing, %nomasters);
-	while (<LOGFILE>) {
-	    my ($domain, $ip);
-	    # NOTIFY-Zeilen
-	    ($domain, $ip) = /NOTIFY.*?\((\S+?),.*?\[([\d.]+)\]/ and do {
-		if (not exists $auth{$ip}) {
-		    warn "notify for $domain from unauthorized ip $ip\n";
-		    next;
-		};
-		# also in die Liste (hier als Key eines Hashes wegen der m�glichen
-		# Dopplungen) der Master f�r diese Domain aufnehmen.
-		debug("Master f�r $domain: $ip\n");
-		$masters{$domain}->{$ip} = 1;
-		next;
-	    };
-	    # Das m�ssen wir doch garnicht machen, da wir ja sowieso nach
-	    # dem Master-Files gucken...
-	    # NOTIFY for vergessene
-	    /NOTIFY for "(\S+?)".*not one of our zones/ and do {
-		my $domain = $1;
-		if (not exists $masters{$domain}) {
-		    debug "skipping $domain (not authorized)\n";
-		    next;
-		}
-		# Also in die Liste der vergessenen Domains (f�r die wir garkeine
-		# Konfigurations-Datei haben)
-		next if exists $missing{$domain};	# schon erledigt
-		debug("Missing file for $domain\n");
-		$missing{$domain} = 1;
-		next;
-	    };
-	    # Wenn wir ein "... loaded" finden, dann fehlt das File nicht g�nzlich!
-	    /slave zone "(\S+?)" .*loaded/ and do {
-		my $domain = $1;
-		next if not exists $missing{$domain};	# ist noch nicht vermi�t worden
-		debug("Missing file for $domain is not longer missing\n");
-		delete $missing{$domain};
-		next;
-	    };
-	    /\[([\d.]+)\] not authoritative for (\S+), SOA/ and do {
-		my ($master, $domain) = ($1, $2);
-		next if exists $nomasters{$domain}->{$master};
-		debug "$master isn't a auth. master for $domain\n";
-		$masters{$domain}->{$master} = 1;	# sieht bl�d aus, wird aber gebraucht,
-							# weil wir nur die bearbeiten, die einen
-							# master haben
-		$nomasters{$domain}->{$master} = 1;
-		next;
-	    };
-	}
-	# Jetzt sind wir erstmal durch und verarbeiten alles
-	my $changed = 0;
-	foreach my $domain (sort ($opt_update ? keys %masters : keys %missing)) {
-	    $changed += updateFile($domain, [keys %{$masters{$domain}}], [keys %{$nomasters{$domain}}]);
-	    delete $masters{$domain};
-	    delete $missing{$domain} if exists $missing{$domain};
-	    delete $nomasters{$domain} if exists $nomasters{$domain};
-	}
-	debug "$changed changes.";
-	if ($changed) {
-	    debug("bind reload required\n");
-	    open(ALL, $_ = ">/etc/bind/zones.all") or die "Can't open $_: $!\n";
-	    foreach (</etc/bind/zones.d/*>) {
-		open(IN, $_) or die "Can't open $_: $!\n";
-		print ALL <IN>;
-		close(IN);
-	    }
-	    system qw(ndc reload);
-	}
-	last if !$opt_follow;
-	syslog LOG_INFO, "Sleeping for $naptime seconds\n";
-	sleep $naptime;
-	if ((LOGFILE->stat())[1] != (stat($opt_logfile))[1]) {
-	    # new file to follow
-	    syslog(LOG_NOTICE, "Logfile changed, re-open it.\n");
-	    open(LOGFILE, $_ = "<$opt_logfile")
-		or die "Can't open $_: $!\n";
-	} else {
-	    LOGFILE->clearerr();
-	}
-}
-}
-sub updateFile($$$)
-{
-local $_;
-my $domain = $_[0];
-my @new_masters = @{$_[1]};
-my @no_masters = @{$_[2]};
-my %masters = ();
-my $masters;
-my $file = "$opt_zonesdir/$domain";
-debug "updateFile: $domain, @new_masters, @no_masters\n";
-if (-f $file) {
-	# Das File ist also schon da, wir m�ssen nur mal gucken, ob die Master,
-	# von denen wir ein NOTIFY erhalten haben, auch in unserer Datei stehen.
-	#
-	open (F, $_ = "+<$file") or die "Can't open $_: $!\n";
-	flock(F, LOCK_EX); seek(F, 0, 0);
-	$_ = join "", <F>;
-	# Liste der Master raussuchen, darus noch die l�schen, die uns
-	# die Mitarbeit verweigert haben..
-	/^(\s*masters\s*{\s*)(.*?);(\s*}\s*;)(\s*\/\/.*?\n)/ims;
-	%masters = map { $_, 1 } split/\s*;\s*/, $2;
-	$masters = %masters;	# f�r den sp�teren Vergleich
-	# noch unsere neuen hinzuf�gen...
-	@masters{@new_masters} = map { 1 } @new_masters;
-	# nun die weg, die sich nicht zust�ndig f�hlen
-	delete @masters{@no_masters};
-	# Wenn sich nach alldem nichts ver�ndert hat, haben wir fertig.
-	if ($masters eq %masters) {
-	    debug("File is up-to-date for $domain\n");
-	    syslog(LOG_NOTICE, "No changes made for $domain (no \"loaded\" seen, defective master?)\n")
-		unless $opt_update;
-	    close(F);
-	    return 0;
-	}
-	if (not %masters) {
-	    syslog LOG_NOTICE, "REMOVING $file (empty masters list)\n";
-	    close F;
-	    unlink $file;
-	    return 1;
-	}
-	$masters = join ";", keys %masters;
-	syslog(LOG_NOTICE, "Updated masters ($masters) list for $domain\n");
-	s/^(\s*masters\s*{\s*)(.*?);(\s*}\s*;)/$1$masters;$3/ims;
-	truncate(F, 0);
-	seek(F, 0, 0);
-	print F;
-	close F;
-	return 1;
-}
-my $date = localtime();
-my %new_masters = map { $_, 1 } @new_masters;
-delete @new_masters{@no_masters};
-if (not %new_masters) {
-	syslog LOG_INFO, "not creating $file (empty masters list)\n";
-	return 0;
-}
-$masters = join "; ", @new_masters;
--d $opt_zonesdir or mkpath($opt_zonesdir, 0, 0755);
-syslog(LOG_NOTICE, "Creating $file for $domain");
-open(OUT, $_ = ">$file") or die "Can't open $_: $!\n";
-	print OUT <<_EOF_;
-// Autogenerated by $ME: $date
-zone "$domain" {
-type slave;
-masters { $masters; };  // $date
-file "/etc/bind/slave/$domain";
-allow-query { any; };
-allow-transfer { none; };
-allow-update { none; };
-};
-_EOF_
-close OUT;
-return 1;
-}
 # vim:sts=4 sw=4 aw ai sm:

changeset 10	8f7ba479860c
parent 9	6f5ef6fb479d
child 11	d1dd256c037a