Dnsmasq على CentOS 7.3 - شبكات SME

الفهرس العام للسلسلة: شبكات الحاسوب للشركات الصغيرة والمتوسطة: مقدمة

مرحبا اصدقاء !. نخصص هذه المقالة ل دنسماسك برنامج بسيط للغاية يقدم خدمات DNS - DHCP باستخدام برنامج واحد. أفضل الوثائق الموجودة حول هذا البرنامج هي تلك المثبتة مع الحزمة نفسها الموجودة في /usr/share/doc/dnsmasq-2.66/، ملف التكوين - كامل الأمثلة- /etc/dnsmasq.conf، والتي حصل عليها الأمر رجل dnsmasq. كما أنه من الصحي جدًا زيارة موقع رسمي.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
مجموع 136 rw-r - r--. 1 جذر جذر 18007 أبريل 17 2013 نسخ -rw-r-r-. 1 جذر جذر 59811 نوفمبر 11 13:20 CHANGELOG -rw-r - r--. 1 جذر الجذر 5164 أبريل 17 2013 واجهة DBus -rw-r - r--. 1 جذر جذر 5009 أبريل 17 2013 doc.html -rw-r - r--. 1 جذر جذر 25075 17 أبريل 2013 الأسئلة الشائعة -rw-r - r--. 1 جذر 12019 17 أبريل 2013 setup.html

• الإجراء الموضح في المنشور صالح أيضًا لـ Debian 8 "Jessie". ملف التكوين / etc / dnsmasq هو نفسه. في Jessie ، ربما تحتاج فقط إلى تثبيت حزمة dnsmasq الخاصة بك ولا شيء غير ذلك. أكتبه لأنني أعتبر أنه من غير الضروري عمل مقال منفصل لـ Dnsmasq في دبيان. لحسن الحظ ، الدلائل المتعلقة بالتوثيق والتكوين هي نفسها،

Dnsmaq هو من صنع سيمون كيلي.

ما هو دنسماسك؟

البرمجيات الحرة دنسماسك هو الخادم DNS وكيل شحن y DHCP لشبكات الكمبيوتر الصغيرة. مثال نموذجي هو الشبكات الموجودة في شركاتنا الصغيرة والمتوسطة. يتطلب القليل من موارد الأجهزة لتشغيله ويمكن تشغيله على منصات مختلفة مثل Linux و BSD و Android و OS X. وهو مدرج في جميع مستودعات توزيعات Linux و BSD تقريبًا.

الخادم DHCP من دنسماسك يمكنك استئجار عناوين IP بشكل ديناميكي وثابت لشبكات متعددة ذات نطاقات مختلفة من عناوين IP. يتكامل مع الخادم DNS ويسمح للأجهزة المحلية التي تحصل على عنوان IP بالظهور على أنها مسجلة في DNS مع سجلات DNS الصحيحة الخاصة بها ، سواء المباشرة أو العكسية.

الطريقة الأصلية للعمل دنسماسك لتخزين سجلات DNS التي تم الحصول عليها من خلال الاستعلامات المرسلة إلى الناقلون، يقلل العبء على هذه ويحسن الأداء العام لسرعة الاستجابة لاستعلامات DNS المختلفة.

يدعم المعايير الحديثة مثل IPv6 y DNSSEC، بداية - حذاء عبر الشبكة مع دعم البروتوكولات بوتب, المبسط، PXE.

في عالم Linux ، يُستخدم Dnsmasq على نطاق واسع في الخوادم للأجهزة التي لا تحتوي على قرص صلب وعملاء رفيع. في نظام التشغيل Microsoft® Windows ، مع البرنامج أردينس®، يتم استخدام مكافئ -to Dnsmasq- كخادم DHCP يسمى النامي.

في أي سيناريو يمكننا استخدام Dnsmasq؟

إذا ركضنا رجل dnsmasq في CentOS ، سنحصل على صفحة هذا الدليل باللغة الإنجليزية. في الملف dnsmasq.8.gz -اللغة الإسبانية- الذي تم تثبيته مع توزيع Debian 8 «Jessie» ، ينعكس بالضبط ما يلي:

حدود

• القيم الافتراضية لحدود الموارد متحفظة بشكل عام ومناسبة للاستخدام على أجهزة من نوع جهاز التوجيه. عالق مع المعالجات البطيئة والذاكرة المنخفضة. في الأجهزة أكثر  قادر ، من الممكن زيادة الحدود ودعم المزيد العملاء. ينطبق ما يلي على dnsmasq-2.37: الإصدارات السابقة لا تفعل ذلك لقد تسلقوا بشكل جيد.
  

• Dnsmasq قادر على دعم DNS و DHCP على الأقل ألف (1,000،XNUMX) العملاء. يجب ألا تكون أوقات الإيجار قصيرة جدًا (أقل من واحد زمن). يمكن زيادة قيمة –dns-forward-max: ابدأ بـ ما يعادل عدد العملاء وزيادته إذا كان DNS. لاحظ أن أداء DNS يعتمد أيضًا على الخوادم المنبع DNS. يمكن زيادة حجم ذاكرة التخزين المؤقت DNS: الحد مطلوب 10,000 اسم والاسم الافتراضي (150) منخفض جدًا. يؤدي إرسال SIGUSR1 إلى dnsmasq إلى إنشاء معلومات bitacore مفيد لضبط حجم ذاكرة التخزين المؤقت. راجع قسم الملاحظات للحصول على التفاصيل.

• خادم TFTP المدمج قادر على دعم عمليات نقل متعددة الملفات المتزامنة: الحد المطلق مرتبط بعدد معالجات الملفات المسموح بها لعملية ما وقدرة النظام ‐حدد استدعاء مؤقت () لدعم عدد كبير من مقابض الملفات. إذا تم تعيين الحد على قيمة عالية جدًا باستخدام –tftp-max ، فسيتم إلغاء مقياسه وسيتم تسجيل الحد الفعلي عند بدء التشغيل. لاحظ أن المزيد من التحويلات ممكن عندما يتم إرسال نفس الملف ماذا عند كل عبريرسل ferencia ملفًا مختلفًا. من الممكن استخدام dnsmasq لرفض الإعلان على الويب باستخدام قائمة خوادم البانر المعروفة ، جميعها تصل إلى 127.0.0.1 أو 0.0.0.0 في / etc / hosts أو في ملف hosts إضافي. يمكن للقائمة كن طويلا جدا. تم اختبار Dnsmasq بنجاح بملايين الأسماء. يحتاج حجم الملف هذا إلى وحدة معالجة مركزية 1 جيجا هرتز وتقريبي60 ميجا رام.

لم أكتب أو أعدل الفقرات أعلاه إطلاقا. تنعكس لأنها تأتي في رجل في الإسبانية من dnsmasq 2.72 تحديث من مستودع دبيان 8.6. من خلالهم ومن الممارسة في استخدام هذا البرنامج ، يمكننا أن نستنتج أنه من النادر - وليس من المستحيل - العثور على سيناريو في شبكات الشركات الصغيرة والمتوسطة لدينا يتجاوز مقدار عملاء 1000 أو أجهزة الكمبيوتر المتصلة بالشبكة المحلية.

• Dnsmasq قادر على دعم DNS و DHCP على الأقل ألف (1,000،XNUMX) الزبائن.

الاعتبارات جانبا

لطالما أذهلني أن البرنامج الحائز على جوائز برنامج ClearOS Enterprise 5.2 SP1 سوف تستخدم Dnsmasq - المرتبطة به NTP- كخادم بنية أساسية افتراضيًا ، والاستمرار في استخدامه على هذا النحو - على الأقل حتى الإصدار 7.xxx- في الإصدارات تدفع مقابل تثبيت Active Directory® استنادًا إلى Samba 4. وهذا أمر سيئ للغاية بالنسبة لنا ، عشاق البرمجيات الحرة ، تلك الشركة ClearFoundationسيتوقف عن توفير برامج بهذه الجودة في الإصدارات بعد 5.xxx من أجل تحقيق مكاسب مالية أفضل. أعتقد أنه يأتي بنتائج عكسية للشركة نفسها.

على الرغم من أنني أ مروحة دبيان -وأنا لا أريد أن أقوم بدعاية من اختياري الشخصي للغاية على الإطلاق- لطالما أعجبت بالشركة شركة Red Hat®، Inc نموذج عملها جعلها رائدة البرمجيات الحرة بلا منازع. بالإضافة إلى ذلك ، فهي الراعي للنسخة الثنائية CentOS - البرمجيات الحرة 100٪ - لنظام التشغيل النجمي Red Hat® Enterprise Linux - RHEL. لشيء يقال أن CentOS هو RHEL غير مدعوم ؟؟؟؟

• لدي تشغيل وحدة تحكم المجال الأساسية Samba Clasic NT 4.0 Style على أساس برنامج ClearOS Enterprise 5.2 SP1 لأكثر من 4 سنوات في شبكة شركة لديها عملاء Windows XP و 7 و 8 و Windows Server 2003 و Windows Server 2012. ما الذي يمكن دغدغة قيمتي التسجيل لكل عميل Windows من إصدار أعلى من XP؟ هذا صحيح. ما الذي يعمل بشكل أفضل؟ هذا صحيح أيضًا. أن عدد الفرق لا يصل إلى 100؟ صحيح أيضا.

الفطرة السليمة

• على الرغم من أن "الحس السليم هو أقل الحواس شيوعًا" بالنسبة لي ، ضع نفسك أولاً في "احتياجاتك" ثم حدد المشهد الفني وفقًا لما تحتاج إلى التعبير عنه وحلّه وفقًا لخطك الخاص.
• لا تستخدم صاروخًا عابرًا للقارات لقتل بعوضة. لا تعقد الحياة دون داع: ابدأ بأبسط الحلول. إذا لم تحل بهذه الطريقة ، فرفع درجة التعقيد نقطة واحدة ، وهكذا.
  

لنقم بتثبيت CentOS 7 و Dnsmasq

لتثبيت النظام الأساسي ، نسترشد بالمقال برنامج CentOS 7 Hypervisor I وفي اختيار الحزم ، نحدد فقط الخيار «خادم البنية التحتية«. المعلمات العامة التي سنستخدمها في إعداد هذه المقالة هي كما يلي:

اسم FQDN للجهاز الظاهري: DNS.desdelinux.معجب
عنوان IP: 10.10.10.5

يقوم CentOS 7 بتثبيت ملف dnsmasq الافتراضي

نعم أعزائي القراء ، في CentOS 7 الحزمة دنسماسك أثناء تثبيت خادم البنية التحتية و أفترض مقارنة بالخيارات الأخرى أيضًا.

[root @ dns ~] # yum info dnsmasq
الإضافات المحملة: الأسرع ، المرآة ، langpacks تحميل سرعات المرآة من الحزم المثبتة في ملف المضيف المخبأ الاسم: dnsmasq Architecture: x86_64 الإصدار: 2.66 الإصدار: 21.el7 الحجم: 464 k
المستودع: مثبت
من المستودع: ملخص centos-base: عنوان URL خفيف الوزن لخادم DNS / التخزين المؤقت لـ DHCP: http://www.thekelleys.org.uk/dnsmasq/ الترخيص: GPLv2 الوصف: Dnsmasq خفيف الوزن وسهل تكوين معيد توجيه DNS و DHCP: الخادم . وهو مصمم لتوفير DNS ، واختيارياً ، DHCP ، إلى: شبكة صغيرة. يمكن أن يخدم أسماء الأجهزة المحلية التي هي: ليست في DNS العالمي. يتكامل خادم DHCP مع DNS: server ويسمح للأجهزة ذات العناوين المخصصة لـ DHCP بالظهور: في DNS بأسماء تم تكوينها إما في كل مضيف أو في: ملف تكوين مركزي. يدعم Dnsmasq الثابت والديناميكي: عقود إيجار DHCP و BOOTP لتمهيد الشبكة للأجهزة الخالية من الأقراص.

الإصدار دنسماسك المثبت هو 2.66 ، ويتوافق مع إصدار CentOS:

[root @ dns ~] # cat / proc / version
إصدار Linux 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (إصدار مجلس التعاون الخليجي 4.8.5 20150623 (ريد هات 4.8.5-11) (دول مجلس التعاون الخليجي)) # 1 SMP الأربعاء 18 يناير 13:06:36 بالتوقيت العالمي المنسق 2017

دعونا نقوم بتمكين وتهيئة ملف dnsmasq

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5 نظام أسماء النطاقات.desdelinux.مروحة نظام أسماء النطاقات

[root @ dns ~] # اسم مضيف
DNS
[root @ dns ~] # hostname -f
نظام أسماء النطاقات.desdelinux.معجب


[root @ dns ~] # systemctl تمكين dnsmasq
[root @ DNS ~] # systemctl بدء dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. تم التحميل: تم تحميله (/usr/lib/systemd/system/dnsmasq.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ السبت 2017-02-18 11:47:19 EST ؛ قبل 4 ثوانٍ معرّف المنتج الرئيسي: 1179 (dnsmasq) مجموعة المجموعة: / system.slice/dnsmasq.service └─1179 / usr / sbin / dnsmasq -k 18 فبراير 11:47:19 نظام DNS systemd [1]: بدأ خادم التخزين المؤقت لنظام أسماء النطاقات .. فبراير 18 11:47:19 dns systemd [1]: بدء خادم التخزين المؤقت DNS .... 18 فبراير 11:47:19 dns dnsmasq [1179]: بدأ الإصدار 2.66 cachesize 150 Feb 18 11:47:19 dns dnsmasq [1179 ]: تجميع خيارات الوقت: IPv6 GNU-getopt DB ... 18 فبراير 11:47:19 dns dnsmasq [1179]: قراءة /etc/resolv.conf فبراير 18 11:47:19 dns dnsmasq [1179]: تجاهل خادم الأسماء 127.0.0.1 - محلي في ... فبراير 18 11:47:19 dns dnsmasq [1179]: قراءة / etc / hosts - 3 عناوين تلميح: تم حذف بعض الأسطر ، استخدم -l لتظهر بالكامل.

لا تنس الخطوة التالية:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

عناوين IP الثابتة

باستخدام Dnsmasq ، يتم الإعلان عن عناوين الخوادم أو أجهزة الكمبيوتر التي تتطلب IP ثابتًا - كلاهما IPv4 و IPv6 - في الملف / الخ / المضيفين:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 # Servers 10.10.10.1 sysadmin.desdelinux.fan مسؤول النظام 10.10.10.3 إعلان العاصمة.desdelinux.fan ad-dc 10.10.10.4 خادم الملفات.desdelinuxخادم ملفات المروحة 10.10.10.5 نظام أسماء النطاقات.desdelinux.fan DNS 10.10.10.6 proxyweb.desdelinuxمدونة .fan proxyweb 10.10.10.7.desdelinuxمدونة المعجبين 10.10.10.8 ftpserver.desdelinux.fan ftpserver 10.10.10.9 البريد.desdelinux.بريد المعجبين

لنقم بإنشاء ملف /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # خيارات عامة # ----------------------------- -------------------------------------- domain-needed # لا تمرر الأسماء بدون المجال جزء bogus-priv # لا تقم بتمرير العناوين في مساحة غير موجهة توسيع المضيفين # إضافة المجال تلقائيًا إلى المضيف واجهة = eth0 # Interface. كن حذرًا مع الواجهة # Except-interface=eth1 # لا تستمع إلى هذا الترتيب الصارم لبطاقة NIC # الترتيب الذي تستشير فيه الملف /etc/resolv.conf # يتضمن العديد من خيارات التكوين # من خلال ملف أو عن طريق تحديد موقع # ملفات التكوين الإضافية في الدليل # conf-file=/etc/dnsmasq.more.conf conf-dir=/etc/dnsmasq.d # المتعلقة باسم المجال domain=desdelinux.fan # اسم المجال # خادم الوقت هو 10.10.10.1 عنوان=/time.windows.com/10.10.10.1 # يرسل خيارًا فارغًا لقيمة WPAD. مطلوب لعملاء # Windows 7 والإصدارات الأحدث للعمل بشكل صحيح. ;-) dhcp-option=252,"\n" # الملف الذي سنعلن فيه عن المضيفين الذين سيتم "حظرهم" addn-hosts=/etc/banner_add_hosts # -------------- --- ---------------------------------------------- --- # RECORDSCNAMEMXTXT # -------------------------------------------- --- -------------------- # يتطلب هذا النوع من التسجيل إدخال # في ملف /etc/hosts # على سبيل المثال: مدونة 10.10.0.7.desdelinuxمدونة .fan # cname=ALIAS,REAL_NAME cname=www.desdelinux.مروحة، بلوق.desdelinux.fan # MX RECORDS # إرجاع سجل MX بالاسم "desdelinux.fan" موجه إلى فريق البريد.desdelinux.fan وأولوية 10 mx-host=desdelinux.بريد المعجبين.desdelinux.fan,10 # الوجهة الافتراضية لسجلات MX التي تم إنشاؤها # باستخدام خيار localmx ستكون: mx-target=mail.desdelinux.fan # يُرجع سجل MX يشير إلى mx-target لجميع سجلات localmx # TXT لجميع الأجهزة المحلية. يمكننا أيضًا الإعلان عن سجل SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.معجب،"DesdeLinux، مدونتك مخصصة للبرمجيات الحرة" # ----------------------------------------- -------------------------- # -------------------- --- ----------------------------------------- # RANGEANDYOUROPTIONS # --- --- ----------------------------------------------- --- ----------- # نطاق IPv4 ووقت الإيجار # 1 إلى 29 مخصصان للخوادم والاحتياجات الأخرى dhcp-range=10.10.10.30,10.10.10.250,8h

dhcp-lease-max = 222 # الحد الأقصى لعدد العناوين المراد تأجيرها
                        # افتراضيًا هو 150
# نطاق IPV6 # dhcp-range=1234::, ra-only # Options for RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,10.10.10.253 # ROUTER GATEWAY dhcp-option=6,10.10.10.5 . 15 # خوادم DNS dhcp-option=XNUMX,desdelinux.fan # اسم مجال DNS dhcp-option=19,1 # option ip-forwarding ON dhcp-option=28,10.10.10.255 # BROADCAST dhcp-option=42,10.10.10.1 # NTP # dhcp-option=40,DCH # NIS اسم المجال # dhcp-option=41,10.10.10.5 # NIS Server # EXTERNAL SAMBA4 WINS SERVER # # dhcp-option=44,10.10.10.5 # WINS # dhcp-option=45,10.10.10.5 # NetBIOS Datagrams # WINS SERVER SAMBA4 EXTERNAL # # dhcp-option=46,8 # عقدة NetBIOS # dhcp-option=73,10.10.10.3 # Finger Server dhcp-authoritative # DHCP Authoritative on subnet # ------------- - - ------------------------------------------------- - --- # --------------------------------------------- - --------------------- # تسجيل الدخول /var/log/messages # ------------------- - ----------------------------------------------- استعلامات السجل

# نهاية ملف /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

دعنا نتحقق من بناء الجملة ونعيد تشغيل الخدمة

[root @ DNS ~] # اختبار dnsmasq
dnsmasq: فحص بناء الجملة موافق.
[root @ dns ~] # إعادة تشغيل systemctl dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - خادم تخزين DNS المؤقت. تم التحميل: تم تحميله (/usr/lib/systemd/system/dnsmasq.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ السبت 2017-02-18 12:48:05 EST ؛ منذ 5 ثوانٍ Main PID: 1288 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1288 / usr / sbin / dnsmasq -k 18 فبراير 12:48:05 dns systemd [1]: بدأ خادم التخزين المؤقت DNS .. فبراير 18 12:48:05 dns systemd [1]: بدء خادم التخزين المؤقت DNS .... 18 فبراير 12:48:05 dns dnsmasq [1288]: بدأ ، الإصدار 2.66 cachesize 150 فبراير 18 12:48:05 dns dnsmasq [1288 ]: خيارات وقت التجميع: IPv6 GNU-getopt DB ... 18 فبراير 12:48:05 dns dnsmasq-dhcp [1288]: DHCP ، نطاق IP 10.10.10.30 - 10.10 .... h فبراير 18 12:48 : 05 dns dnsmasq [1288]: قراءة /etc/resolv.conf فبراير 18 12:48:05 dns dnsmasq [1288]: تجاهل خادم الأسماء 127.0.0.1 - محلي في ... فبراير 18 12:48:05 dns dnsmasq [ 1288]: قراءة / etc / hosts - 11 عنوانًا
18 فبراير 12:48:05 dns dnsmasq [1288]: فشل تحميل الأسماء من /etc/banner_ad...ry
تلميح: تم ellipsized بعض الأسطر ، استخدم -l لإظهار بالكامل.

لاحظ أنه في الإخراج السابق systemctl حالة dnsmasq إرجاع الخطأ:

18 فبراير 12:48:05 dns dnsmasq [1288]: فشل تحميل الأسماء من /etc/banner_ad...ry

يشكو من عدم العثور على الملف / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # إعادة تشغيل systemctl dnsmasq.service 
[root @ dns ~] # إعادة تشغيل systemctl dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service 
● dnsmasq.service - خادم تخزين DNS المؤقت. تم التحميل: تم تحميله (/usr/lib/systemd/system/dnsmasq.service ؛ مُمكّن ؛ الإعداد المسبق للمورد: معطل) نشط: نشط (قيد التشغيل) منذ السبت 2017-02-18 12:54:26 EST ؛ قبل 7 ثوانٍ معرّف المنتج الرئيسي: 1394 (dnsmasq) مجموعة المجموعة: / system.slice/dnsmasq.service └─1394 / usr / sbin / dnsmasq -k 18 فبراير 12:54:26 dns systemd [1]: بدأ خادم التخزين المؤقت DNS .. فبراير 18 12:54:26 نظام dns [1]: بدء خادم التخزين المؤقت لـ DNS .... 18 فبراير 12:54:26 dns dnsmasq [1394]: بدأ ، الإصدار 2.66 cachesize 150 فبراير 18 12:54:26 dns dnsmasq [1394 ]: خيارات وقت التجميع: IPv6 GNU-getopt DB ... 18 فبراير 12:54:26 dns dnsmasq-dhcp [1394]: DHCP ، نطاق IP 10.10.10.30 - 10.10 .... h فبراير 18 12:54 : 26 dns dnsmasq [1394]: قراءة /etc/resolv.conf 18 فبراير 12:54:26 dns dnsmasq [1394]: تجاهل خادم الأسماء 127.0.0.1 - محلي في ... فبراير 18 12:54:26 dns dnsmasq [ 1394]: read / etc / hosts - 11 عنوانًا 18 فبراير 12:54:26 dns dnsmasq [1394]: قراءة / etc / banner_add_hosts - 0 عنوان تلميح: تم تحديد بعض السطور بالحذف ، استخدم -l لتظهر بالكامل.

ولدينا بالفعل خدمات DNS و DHCP قيد التشغيل.

مهم

• إذا قمنا بتعديل ملف /etc/dnsmasq.conf ، فيجب علينا إعادة تشغيل الخدمة حتى تدخل التغييرات حيز التنفيذ.
• إذا قمنا بتعديل ملف / etc / hosts لإزالة أو تعديل أو إضافة عنوان IP ثابت مع اسم المضيف المقابل ، يجب علينا إعادة تشغيل الخدمة حتى تصبح التغييرات سارية المفعول..
• لا يمكن استخدام خدمة إعادة تحميل systemctl dnsmasq.service مع هذه الخدمة.

نفتح المنافذ الضرورية في جدار الحماية

في مقال صديقي وزميلي لويجيس تورو -الملقب سحلية- "كيفية فتح المنافذ في Centos 7 Firewall»الإجراء الذي يجب أن نتبعه لفتح المنافذ في جدار الحماية الذي يقوم CentOS بتثبيته افتراضيًا موضح جيدًا. ما زلت لا أعرف كيفية تطبيق قواعد سياق Selinux على خدمة dnsmasq في CentOS. إذا كان أحد يعرفه ، من فضلك أنورنا.

الملفات / الخ / البروتوكولات y / الخ / خدمات إنها دليل جيد جدًا لمعرفة المنافذ التي نحتاج إلى فتحها لخدمات DNS و DHCP التي يوفرها Dnsmasq للعمل بشكل جيد.

[root @ dns ~] # firewall-cmd --get-active-zone
واجهات عامة: eth0

خدمة نطاق o خادم اسم المجال (DNS). بروتوكول صفعة «IP مع التشفير»

[root @ dns ~] # firewall-cmd --zone = عام - منفذ إضافة = 53 / tcp - دائم
تحقيق النجاح 

[root @ dns ~] # firewall-cmd --zone = عام - منفذ إضافة = 53 / udp - دائم
تحقيق النجاح 

خدمة التمهيد o خادم BOOTP (DHCP). بروتوكول الاتفاقية «حزمة الإنترنت Pluribus الأساسية»

[root @ dns ~] # firewall-cmd --zone = عام - منفذ إضافة = 67 / tcp - دائم
تحقيق النجاح 

[root @ dns ~] # firewall-cmd --zone = عام - منفذ إضافة = 67 / udp - دائم
تحقيق النجاح 

[root @ dns ~] # firewall-cmd - تحميل
تحقيق النجاح 

[root @ dns ~] # firewall-cmd - list-all
الهدف العام (النشط): انعكاس كتلة icmp الافتراضي: بدون واجهات: مصادر eth0: الخدمات: dhcpv6-client ssh port: 53 / udp 67 / tcp 53 / tcp 67 / udp protocols: masquerade: no forward-port: sourceports: كتل icmp: قواعد غنية:

مهم

• إذا كنا سنقدم خدمات تأجير عناوين IPv6 ، فيجب علينا أيضًا فتح منافذ dhcpv6-server 547 / tcp و dhcpv6-server 547 / udp.

الفحوصات

دعنا نتحقق من العديد من استعلامات DNS حول كيفية عمل Dnsmasq الجديد المثبت حديثًا لدينا. لهذا نختار الفريق المعروف مسؤول النظام.desdelinux.معجب، ومن هذا الكمبيوتر المتصل بشبكة LAN ، سنقوم بتنفيذ العديد من الاستعلامات ، ولكن ليس قبل التحقق من تهيئة الملف بشكل صحيح / الخ / resolv.conf:

buzz @ sysadmin: ~ cat $ /etc/resolv.conf 
# تم إنشاؤها بواسطة بحث NetworkManager desdelinuxخادم أسماء المعجبين 10.10.10.5

إعدادات الملف / الخ / resolv.conf انه صحيح. لنبدأ المشاورات

buzz @ sysadmin: ~ $ host dns
نظام أسماء النطاقات.desdelinux.fan لديه عنوان 10.10.10.5 Host DNS.desdelinuxلم يتم العثور على .fan: 5 (مرفوض) نظام أسماء النطاقات.desdelinuxيتم التعامل مع بريد .fan بواسطة بريد واحد.desdelinux.معجب.

باستخدام التكوين المقترح ، يمكننا تجاهل إخراج الأمر مضيف بدون خيارات عندما يتعلق الأمر بـ Dnsmasq ، عند إرجاع أسطر مثل التالية:

المضيف DNS.desdelinux.لم يتم العثور على المروحة: 5(مرفوض)

إذا كنا لا نريد هذا النوع من المخرجات ، فيجب علينا استخدام الأمر مضيف مع الخيارات -t A ، -t CNAME ، -t NS ، -t SOA ، -t SIG ، -t AXFR. نرى مضيف الرجل للمزيد من المعلومات:

Buzz@sysadmin:~$ host -t إلى DNS.desdelinux.معجب
نظام أسماء النطاقات.desdelinux.fan له عنوان 10.10.10.5

[root @ DNS ~] # مضيف -t إلى نظام أسماء النطاقات
نظام أسماء النطاقات.desdelinux.fan له عنوان 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ host 10.10.10.5
5.10.10.10.in-addr.arpa مؤشر اسم المجال DNS.desdelinux.معجب.

Dnsmasq غير مخصص لنظام رئيسي - تابع

Buzz@sysadmin:~$ المضيف -t AXFR desdelinux.معجب
"محاولة"desdelinux.مروحة" المضيف desdelinux.لم يتم العثور على المروحة: 5(مرفوض) ; فشل النقل.

ولا يُقصد أيضًا إعادة سجلات NS و SOA

Buzz@sysadmin:~$ host -t NS desdelinux.معجب
مضيف desdelinux.لم يتم العثور على المروحة: 5(مرفوض)

Buzz@sysadmin:~$ host -t SOA desdelinux.معجب
مضيف desdelinux.لم يتم العثور على المروحة: 5(مرفوض)

Buzz@sysadmin:~$ حفر في SOA desdelinux.معجب
Buzz@sysadmin:~$ حفر في NS desdelinux.معجب

إذا كان يدعم سجلات MX و CNAME و TXT

buzz @ sysadmin: ~ $ host -t إلى www
شبكة الاتصالات العالمية.desdelinux.fan هو اسم مستعار للمدونة.desdelinux.معجب. مدونة.desdelinux.fan له عنوان 10.10.10.7
Buzz@sysadmin:~$ host -t MX desdelinux.معجب
desdelinuxيتم التعامل مع بريد .fan بواسطة بريد واحد.desdelinux.معجب.

buzz @ sysadmin: ~ $ host -t CNAME www
شبكة الاتصالات العالمية.desdelinux.fan هو اسم مستعار للمدونة.desdelinux.معجب.

Buzz@sysadmin:~$ host -t للمدونة.desdelinux.معجب
بلوق.desdelinux.fan له عنوان 10.10.10.7

Buzz@sysadmin:~$ المضيف -t TXT desdelinux.معجب
desdelinux.نص وصفي للمعجبين "DesdeLinuxمدونتك المخصصة للبرمجيات الحرة"
desdelinux.نص وصفي للمروحة "v=spf1 a -all"

استفسارات سجلات PTR

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa مدونة مؤشر اسم المجال.desdelinux.معجب.

buzz @ sysadmin: ~ $ host 10.10.10.7
7.10.10.10.in-addr.arpa مدونة مؤشر اسم المجال.desdelinux.معجب.

عملاء Microsoft® Windows

صحي جدا هو أن تعمل على وحدة تحكم الخادم نظام أسماء النطاقات.desdelinux.معجب الأمر Journalctl -f قبل تشغيل جهاز يعمل بنظام تشغيل Microsoft® Windows ، لمعرفة الكمية الهائلة من استعلامات DNS التي يتم إجراؤها على مواقع مختلفة. انها حقا مسلية جدا. 😉

إذا أردنا منع الاستفسارات المتعلقة ببعض هذه المواقع من الانتقال إلى خوادم Roots - خوادم الجذر أو نحو الناقلون التي نعلنها في الملف / الخ / resolv.conf، يمكننا الاستفادة من الملف / etc / banner_add_host، وملئه بالعديد من المواقع التي نحتاج إلى الإعلان عنها. مثال:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ DNS ~] # اختبار dnsmasq
dnsmasq: فحص بناء الجملة موافق.

[root @ dns ~] # إعادة تشغيل systemctl dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

[root @ dns ~] # host -t إلى spynet4.microsoft.com
يحتوي spynet4.microsoft.com على عنوان 127.0.0.1

[root @ dns ~] # host -t إلى www.download.windowsupdate.com
www.download.windowsupdate.com له عنوان 127.0.0.1

• تنسيق الملف / etc / banner_add_hosts هو نفسه ملف etc / hosts / /. تذكر أن قائمة المجالات المراد "حظرها" يمكن أن تطول حسب حاجتنا ، وفقًا لما هو مذكور في القسم حدود في هذه المقالة.

للتحقق من العميل سبعة.desdelinux.معجب الذي أعطى عنوان IP:

buzz @ sysadmin: ~ $ host -t A سبعة
سبعة.desdelinux.المروحة لديها عنوان 10.10.10.115

نقوم بتنفيذ الأمر في عميل Windows نفسه كمد:

مايكروسوفت ويندوز [النسخة 6.1.7601]
حقوق النشر (c) 2009 شركة مايكروسوفت. كل الحقوق محفوظة.

C: \ Users \ buzz> n البحث
الخادم الافتراضي: DNS.desdelinux.عنوان المروحة: 10.10.10.5> خادم DNS: DNS.desdelinuxعنوان المروحة: 10.10.10.5 الاسم: DNS.desdelinuxعنوان المروحة: 10.10.10.5 > خادم ftpserver: DNS.desdelinuxعنوان المروحة: 10.10.10.5 الاسم: ftpserver.desdelinuxعنوان المعجبين: 10.10.10.8 > خادم www: DNS.desdelinuxعنوان المعجبين: 10.10.10.5 الاسم: المدونة.desdelinuxعنوان المعجبين: 10.10.10.7 الأسماء المستعارة: www.desdelinux.fan > خادم البريد: نظام أسماء النطاقات.desdelinuxعنوان المعجبين: 10.10.10.5 الاسم: البريد.desdelinuxعنوان المروحة: 10.10.10.9 > خادم مسؤول النظام: نظام أسماء النطاقات.desdelinuxعنوان المروحة: 10.10.10.5 الاسم: مسؤول النظام.desdelinuxعنوان المروحة: 10.10.10.1 > www.download.windowsupdate.com الخادم: DNS.desdelinuxعنوان .fan: 10.10.10.5 الاسم: www.download.windowsupdate.com العنوان: 127.0.0.1 > قم بإنهاء C:\Users\buzz>

ملخص

لقد رأينا حتى الآن بعض الميزات الرئيسية لـ Dnsmasq. أقترح اقرأ وادرس الملفات المذكورة في الفقرة الأولى من هذه المقالة ، إذا كنت تريد معرفة المزيد عن هذا البرنامج الرائع والمدهش. من خلال استخدامه يمكننا تسهيل حياتنا بشكل كبير.

حوالي عام 2014 قرأت المقال «الكيفية: Samba4 AD PDC + Windows XP و Vista و 7«. يصرح مبتكر المقال دون خجل: «أنا أكره الربط ، لذلك من dnsmasq للإنقاذ»(كذا) والتي تعني أكثر أو أقل«أنا أكره BIND ، لذلك يأتي Dnsmasq لإنقاذ«. للتسجيل ، هذه العبارة لم تقلها.

بشكل عابر ، سأعلق أنه في هذه المقالة لا يوضح المؤلف أصل بعض سجلات DNS وبصورة عامة ، فإنه ليس دليلًا جيدًا لتطبيق Active Directory® استنادًا إلى Samba 4. إذا أدهشني تفضيلك المتعصب لـ دنسماسك.

أنا لا أكره إلزام على الإطلاق. تم توضيح ذلك من خلال مقالاتي الأربعة - 4 السابقة:

• DNS و DHCP في openSUSE 13.2 "Harlequin"
• DNS و DHCP على CentOS 7
• DNS و DHCP في Debian 8 "Jessie"
• BIND و Active Directory®

كما كتبت في مناسبات سابقة ، لم يحدث أبدًا انصحلكن أقترح. في حالة Dnsmasq نعم انصح استخدامه في شبكات SME.

التسليم المقبل

الدفعة القادمة -أعتقد أنني أعتقد- سأخصصها لدمج Dnsmasq مع Microsoft® Active Directory®. ستكون نقطة دخول جيدة لمقال -جدا- سيتعامل لاحقًا مع كيفية عمل AD-DC مع Samba 4 و Dnsmasq.