DNS الرئيسي الأساسي للشبكة المحلية على Debian 6.0 (II)

نستمر في سلسلة مقالاتنا وفي هذا المقال سنتعامل مع الجوانب التالية:

  • تركيب
  • الدلائل والملفات الرئيسية

قبل المتابعة ، نوصيك بعدم التوقف عن قراءة:

تركيب

في وحدة التحكم وكمستخدم جذر قمنا بتثبيت ربط 9:

تثبيت aptitude bind9

يجب علينا أيضًا تثبيت الحزمة دنسوتيل التي لديها الأدوات اللازمة لإجراء استعلامات DNS وتشخيص العملية:

الكفاءة تثبيت dnsutils

إذا كنت ترغب في الرجوع إلى الوثائق التي تأتي في المستودع:

الكفاءة تثبيت bind9-doc

سيتم تخزين الوثائق في الدليل / usr / share / doc / bind9-doc / arm وملف الفهرس أو جدول المحتويات هو bv9ARM.html. لفتحه قم بتشغيل:

Firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

عندما نقوم بتثبيت ربط 9 على دبيان ، وكذلك الحزمة ربط 9utils الذي يوفر لنا العديد من الأدوات المفيدة للغاية للحفاظ على تثبيت عملي لـ BIND. من بينها سنجد rndc و checkconf المسماة و checkzone. علاوة على ذلك ، الحزمة دنسوتيل يوفر سلسلة كاملة من برامج عملاء BIND ، بما في ذلك حفر و الأداة Nslookup. سنستخدم كل هذه الأدوات أو الأوامر في المقالات التالية.

لمعرفة جميع برامج كل حزمة يجب أن ننفذها كمستخدم جذر:

dpkg -L bind9utils dpkg -L dnsutils

او اذهب الى متشابكوابحث عن الحزمة وشاهد الملفات المثبتة. خاصة تلك التي يتم تثبيتها في المجلدات / البيرة / بن o / usr / sbin.

إذا أردنا معرفة المزيد حول كيفية استخدام كل أداة أو برنامج مثبت ، يجب علينا تنفيذ:

رجل

الدلائل والملفات الرئيسية

عندما نقوم بتثبيت دبيان ، يتم إنشاء الملف / الخ / resolv.conf. هذا الملف أو "ملف تكوين خدمة المحلل"، يحتوي على العديد من الخيارات التي تكون افتراضيًا اسم المجال وعنوان IP لخادم DNS المعلن عنه أثناء التثبيت. نظرًا لأن محتوى تعليمات الملف باللغة الإسبانية وهو واضح جدًا ، نوصي بقراءته باستخدام الأمر رجل يقرر الحكم.

بعد تثبيت ملف ربط 9 في Squeeze ، يتم إنشاء الدلائل التالية على الأقل:

/ etc / bind / var / cache / bind / var / lib / bind

في دفتر العناوين / الخ / ربط نجد ، من بين أمور أخرى ، ملفات التكوين التالية:

named.conf named.conf.options named.conf.default-zone named.conf.local rndc.key

في دفتر العناوين / var / cache / bind سننشئ ملفات المناطق المحلية التي سنتعامل معها لاحقًا. بدافع الفضول ، قم بتشغيل الأوامر التالية في وحدة التحكم كمستخدم جذر:

ls -l / etc / bind ls -l / var / cache / bind

بالطبع ، لن يحتوي الدليل الأخير على أي شيء ، نظرًا لأننا لم ننشئ منطقة محلية بعد.

يتم تقسيم إعدادات BIND إلى ملفات متعددة من أجل الراحة والوضوح. كل ملف له وظيفة محددة كما سنرى أدناه:

اسمه .conf: ملف التكوين الرئيسي. يتضمن الملفاتnamed.conf.optionsاسمه.conf.local y اسمه.conf.default- المناطق.

named.conf.options: خيارات خدمة DNS العامة. التوجيه: الدليل "/ var / cache / bind" سيخبر bind9 أين تبحث عن ملفات المناطق المحلية التي تم إنشاؤها. نعلن هنا أيضًا عن الخوادم "الناقلون"أو في ترجمة تقريبية ،" المتقدمون "بحد أقصى 3 ، وهي ليست أكثر من خوادم DNS خارجية يمكننا الرجوع إليها من شبكتنا (من خلال جدار حماية بالطبع) والتي سترد على الأسئلة أو الطلبات الخاصة بـ DNS المحلي غير قادر على الاستجابة.

على سبيل المثال ، إذا كنا نقوم بتكوين DNS للشبكة المحلية192.168.10.0/24، ونريد أن يكون أحد وكلاء الشحن لدينا خادم اسم UCI ، يجب أن نعلن عن وكلاء التوجيه {200.55.140.178 ؛ }؛ عنوان IP المطابق للخادم ns1.uci.cu.

بهذه الطريقة يمكننا استشارة خادم DNS المحلي الخاص بنا وهو عنوان IP لمضيف yahoo.es (والذي من الواضح أنه ليس على شبكة LAN الخاصة بنا) ، نظرًا لأن DNS الخاص بنا سوف يسأل UCI إذا كان يعرف عنوان IP الخاص بـ yahoo.es ، وبعد ذلك ستعطينا نتيجة مرضية أم لا. أيضا وفي الملف نفسه اسمه.conf.option سنعلن عن جوانب مهمة أخرى من التكوين كما سنرى لاحقًا.

اسمه.conf.default- المناطق: كما يوحي الاسم ، فهي "المناطق الافتراضية". هنا يتم تكوين اسم الملف الذي يحتوي على معلومات خوادم الجذر أو خوادم الجذر اللازمة لبدء ذاكرة التخزين المؤقت DNS ، وبشكل أكثر تحديدًا الملفdb.root. يُطلب من BIND أيضًا الحصول على السلطة الكاملة (لتكون سلطوية) في حل أسماء مؤسسة الكوثر، سواء في الاستعلامات المباشرة أو العكسية ، ونفس الشيء بالنسبة لمناطق "البث".

اسمه.conf.local: ملف حيث نعلن التكوين المحلي لخادم DNS الخاص بنا باسم كل ملف المناطق المحلية، والتي ستكون ملفات سجلات DNS التي ستحدد أسماء أجهزة الكمبيوتر المتصلة بشبكة LAN الخاصة بنا بعنوان IP الخاص بها والعكس صحيح.

rndc.key: ملف مُنشأ يحتوي على المفتاح للتحكم في BIND. استخدام أداة التحكم في خادم BIND rndc، سنكون قادرين على إعادة تحميل تكوين DNS دون الحاجة إلى إعادة تشغيله باستخدام الأمر إعادة تحميل rndc. مفيد جدًا عندما نجري تغييرات في ملفات المناطق المحلية.

في دبيان ، ملفات المناطق المحلية يمكن أن يكون موجودًا أيضًا في / var / lib / bind؛ بينما في التوزيعات الأخرى مثل Red Hat و CentOS ، فعادة ما يتواجدون فيها  / var / lib / الاسم أو أدلة أخرى حسب درجة الأمان المطبقة.

نختار الدليل / var / cache / bind هو الذي اقترحه دبيان افتراضيًا في الملف named.conf.options. يمكننا استخدام أي دليل آخر طالما أخبرنا بامتداد ربط 9 مكان البحث عن ملفات المناطق ، أو نعطي المسار المطلق لكل منها في الملف اسمه.conf.local. من الصحي جدًا استخدام الدلائل الموصى بها من قبل التوزيع الذي نستخدمه.

إنه خارج نطاق هذه المقالة لمناقشة الأمان الإضافي الذي ينطوي عليه إنشاء Cage أو "Chroot" لـ BIND. وكذلك مسألة الأمن من خلال سياق SELinux. أولئك الذين يحتاجون إلى تنفيذ مثل هذه الميزات يجب أن يلجأوا إلى الكتيبات أو الأدبيات المتخصصة. تذكر أن حزمة الوثائق bind9-doc مثبت في الدليل / usr / share / doc / bind9-doc.

حسنًا أيها السادة ، حتى الآن الجزء الثاني. لا نريد الخوض في مقال واحد بسبب التوصيات الجيدة لرئيسنا. أخيرا! سوف ندخل في التفاصيل الجوهرية لإعداد BIND والاختبار ... في الفصل التالي.


9 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   كارلوس اندريس قال

    مبروك مقال جيد جدا!

    1.    أحصل قال

      شكرا جزيلا لك ..

  2.   انريكي قال

    هذا أقل أهمية لأسباب أمنية: لا تترك DNS مفتوحًا (محلل مفتوح)

    المراجع:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    انا اقتبس:
    «... على سبيل المثال ، يقدر مشروع Open DNS Resolver (openresolverproject.org) ، وهو جهد مجموعة من خبراء الأمن لإصلاح ذلك ، أن هناك حاليًا 27 مليون" محلل تكراري مفتوح "، و 25 مليون منهم يمثلون تهديدًا كبيرًا. ، كامنة ، تنتظر إطلاق العنان لغضبها مرة أخرى ضد هدف جديد .. »
    تحياتي

  3.   أبدا قال

    من الجيد جدًا إشراك الأشخاص في خدمة مهمة مثل DNS اليوم.
    ما أفعله ، إذا كان بإمكاني الإشارة إلى شيء ما ، هو ترجمتك المروعة لـ "وكلاء الشحن" ، والتي تبدو كما لو تم سحبها من مترجم جوجل. الترجمة الصحيحة هي "خوادم إعادة التوجيه" أو "معيدي التوجيه".
    كل شيء آخر ، عظيم.
    تحياتي

    1.    فيديريكو قال

      مشكلة دلالات. إذا قمت بإعادة توجيه طلب إلى آخر للحصول على رد ، فأنت لا تقدم الطلب إلى مستوى آخر. اعتقدت أن أفضل معاملة باللغة الإسبانية الكوبية كانت Adelantadores لأنني كنت أشير إلى Pass أو Advance وهو سؤال لم أستطع (DNS المحلي) الإجابة عليه. بسيط. كان من الأسهل بالنسبة لي كتابة المقال باللغة الإنجليزية. ومع ذلك ، أنا دائما أوضح حول ترجماتي. شكرا لك على تعليقك في الوقت المناسب.

  4.   st0rmt4il قال

    فخم. ترف؛)!

    تحيات!

  5.   جيكل 47 قال

    ولبرنامج OpenSUSE؟

    1.    فيديريكو قال

      تعمل CREO لأي توزيعة. موقع ملف المناطق يختلف ، على ما أعتقد. لا؟

  6.   أحصل قال

    أشكركم جميعا على التعليق .. ويسرني أن أقبل اقتراحاتكم .. 😉