أولئك الذين اتبعوا الأول, 2da, الأول y على 4ta جزء من هذه المقالة والمشاورات التي تم إجراؤها على BIND الخاصة بهم أدت إلى نتائج مرضية ، فهم بالفعل خبراء في هذا الموضوع. :-) وبدون مزيد من اللغط ، دعنا ندخل في الجزء الأخير:
- إنشاء نوع "معكوس" ملف المنطقة الرئيسية الرئيسية 10.168.192.in-addr.arpa
- استكشاف الأخطاء وإصلاحها
- ملخص
إنشاء نوع "معكوس" ملف المنطقة الرئيسية الرئيسية 10.168.192.in-addr.arpa
اسم المنطقة يجلبهم إليك ، أليس كذلك؟ وهو أن المناطق العكسية إلزامية للحصول على دقة اسم صحيحة وفقًا لمعايير الإنترنت. ليس لدينا خيار سوى إنشاء واحد يتوافق مع مجالنا. لهذا نستخدم الملف كقالب /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
نقوم بتحرير الملف /var/cache/bind/192.168.10.rev ونتركه هكذا:
؛ /var/cache/bind/192.168.10.rev ؛ ؛ ملف بيانات عكسي BIND للمنطقة الرئيسية 10.168.192.in-addr.arpa ؛ ملفات بيانات BIND للمنطقة الرئيسية (عكسي) 10.168.192.in-addr.arpa ؛ TTL 604800 دولار @ في SOA ns.amigos.cu. root.amigos.cu. (2 ؛ المسلسل 604800 ؛ تحديث 86400 ؛ إعادة المحاولة 2419200 ؛ انتهاء الصلاحية 604800) ؛ سلبية ذاكرة التخزين المؤقت TTL ؛ @ IN NS NS. 10 في PTR ns.amigos.cu. 1 في PTR gandalf.amigos.cu. 9 في PTR mail.amigos.cu. 20 في PTR web.amigos.cu. 100 في PTR fedex.amigos.cu. ؛ يمكننا أيضًا كتابة عنوان IP الكامل. مثال: ؛ 192.168.10.1 في PTR gandalf.amigos.cu.
- لاحظ كيف في هذه الحالة تركنا الأوقات بالثواني حيث يتم إنشاؤها افتراضيًا عند ربط 9. إنه يعمل بنفس الطريقة. إنها نفس الأوقات المشار إليها في الملف friends.cu.host. في حالة الشك ، تحقق.
- لاحظ أيضًا أننا نعلن فقط عن السجلات العكسية للمضيفين الذين لديهم عنوان IP معين أو "حقيقي" على شبكة LAN الخاصة بنا ، وهذا يحدده بشكل فريد.
- تذكر تحديث ملف Reverse Zone بكل عناوين IP الصحيحة المعلنة في المنطقة المباشرة.
- تذكر أن تزيد الرقم التسلسلي للمنطقة في كل مرة يقومون بتعديل الملف وقبل إعادة تشغيل ملف BIND.
دعنا نتحقق من المنطقة المنشأة حديثًا:
مسمى checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
نتحقق من التكوين:
اسمه-checkconf -z named-checkconf -p
إذا سارت الأمور على ما يرام ، نعيد تشغيل الخدمة:
إعادة تشغيل bind9 الخدمة
من الآن فصاعدًا ، في كل مرة نقوم فيها بتعديل ملفات المنطقة ، علينا فقط تنفيذ:
إعادة تحميل rndc
لذلك نعلن المفتاح في /etc/bind/named.conf.options، لا؟
استكشاف الأخطاء وإصلاحها
مهم جدا هو المحتوى الصحيح للملف / الخ / resolv.conf كما رأينا في الفصل السابق. تذكر أن تشير فيه على الأقل إلى ما يلي:
البحث عن خادم أسماء friends.cu 192.168.10.20
قيادة حفر من الحزمة دنسوتيل. على وحدة التحكم ، اكتب الأوامر مسبوقة بـ #:
# حفر -x 127.0.0.1 ..... ؛؛ قسم الإجابة: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # حفر -x 192.168.10.9 .... ؛؛ قسم الإجابة: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu له عنوان 192.168.10.1 # host gandalf.amigos.cu يحتوي gandalf.amigos.cu على العنوان 192.168.10.1 # dig gandalf؛ << >> DiG 9.7.2-P3 << >> جاندالف ؛؛ الخيارات العالمية: + cmd ؛؛ انتهت مدة الاتصال؛ تعذر الوصول إلى أي خوادم # حفر gandalf.amigos.cu .... ؛؛ قسم الإجابة: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... إذا كان لديهم وصول إلى الإنترنت الكوبي أو العالمي ، وتم الإعلان عن وكلاء الشحن بشكل صحيح ، فحاول: # dig debian.org .... ؛؛ قسم السؤال: ؛ debian.org. في ؛؛ قسم الإجابة: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu لديه عنوان 190.6.81.130 # host yahoo.es yahoo.es لديه عنوان 77.238.178.122 yahoo.es لديه عنوان 87.248.120.148 تتم معالجة بريد yahoo.es بواسطة 10 mx-eu.mail.am0.yahoodns.net. # حفر -x 77.238.178.122 ؛؛ قسم الإجابة: 122.178.238.77.in-addr.arpa. 429 في PTR w2.rc.vip.ird.yahoo.com.
... وبشكل عام مع المجالات الأخرى خارج شبكة LAN الخاصة بنا. استشر واكتشف أشياء مثيرة للاهتمام على الإنترنت.
إحدى أفضل الطرق للتحقق من أداء الخادم ربط 9، وبشكل عام أي خدمة أخرى مثبتة ، تقرأ إخراج ملف رسائل سجل النظام باستخدام الأمر tail -f / var / log / syslog تشغيل كمستخدمجذر.
من المثير للاهتمام أن نرى ناتج هذا الأمر عندما نسأل BIND المحلي لدينا سؤالًا حول مجال أو مضيف خارجي. في هذه الحالة ، يمكن تقديم عدة سيناريوهات:
- إذا لم يكن لدينا وصول إلى الإنترنت ، فسيفشل استعلامنا.
- إذا كان لدينا وصول إلى الإنترنت ولم نعلن عن وكلاء الشحن ، فلن نحصل على أي رد على الأرجح.
- إذا كان لدينا وصول إلى الإنترنت وقد أعلنا عن وكلاء الشحن ، فسنحصل على إجابة لأنهم سيكونون مسؤولين عن استشارة خادم DNS أو الخوادم الضرورية.
إذا كنا نعمل على ملف LAN مغلق حيث يستحيل السفر إلى الخارج بأي شكل من الأشكال وليس لدينا وكلاء شحن من أي نوع ، يمكننا القضاء على رسائل البحث الخاصة بـ خوادم الجذر "إفراغ" الملف /etc/bind/db.root. للقيام بذلك ، نحفظ الملف أولاً باسم آخر ثم نحذف جميع محتوياته. ثم نتحقق من التكوين ونعيد تشغيل الخدمة:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 أعد تشغيل
ملخص
حتى الآن ، أيها الناس ، مقدمة صغيرة عن خدمة DNS. ما قمنا به حتى الآن يمكن أن يخدمنا بشكل مثالي لأعمالنا الصغيرة. أيضًا بالنسبة للمنزل إذا أنشأنا أجهزة افتراضية بأنظمة تشغيل مختلفة وعناوين IP مختلفة ، ولا نريد الإشارة إليها عبر IP ولكن بالاسم. أقوم دائمًا بتثبيت BIND على مضيف منزلي لتثبيت وتكوين واختبار الخدمات التي تعتمد بشكل كبير على خدمة DNS. أنا أستفيد بشكل مكثف من أجهزة سطح المكتب والخوادم الافتراضية ، ولا أحب الاحتفاظ بملف / الخ / المضيفين في كل آلة. أنا مخطئ كثيرا.
إذا لم تقم مطلقًا بتثبيت وتهيئة BIND ، فالرجاء عدم التأجيل إذا حدث خطأ ما في المحاولة الأولى وعليك البدء من جديد. نوصي دائمًا في هذه الحالات بالبدء بتثبيت نظيف. يستحق المحاولة!
بالنسبة لأولئك الذين يحتاجون إلى توفر عالي في خدمة تحليل الاسم ، والتي يمكن تحقيقها من خلال تكوين خادم ثانوي رئيسي ، نوصيك بمتابعة معنا في المغامرة التالية: DNS الرئيسي الثانوي لشبكة LAN.
مبروك لمن تابع كل المقالات وحصل على النتائج المتوقعة!
اخيرا .. آخر ما بعد: د!
شكرا لتقاسم صديقي!
تحيات!
مثيرة للاهتمام للغاية ، مقالاتك ، لدي DNS موثوق به تم إعداده في freeBSD لنطاق .edu.mx ، حتى الآن نجح بشكل مثالي بالنسبة لي ، لكن في الشهر الماضي اكتشفت عدة هجمات ، تجاه الخادم ، ماذا سيكون طرق الدفاع عن DNS المكشوف؟ ، ولا أعرف ما إذا كان يمكن أن يكون كذلك ، اجعل المعلم يتعرض للإنترنت وآخر ثانوي يخدم شبكة محلية صغيرة من حوالي 60 جهاز كمبيوتر ، كلاهما متصل بنظام DNS ، أو ليكون قادرًا على تحديد منطقتين ، واحدة داخلية والأخرى خارجية ، وذلك بفضل السيد
حزمة squeeze bind9 بها مشكلة في العمل مع samba ، الإصدار 9.8.4 متوفر بالفعل في فرع backports للضغط ، إصدار Wheeze لا يحتوي على هذه المشكلة ، بالنسبة لـ lenny venenux.net فإنه سيعمل backport الحزمة.
موي بوين ارتيكولو.
هذه هي المقالة الوحيدة التي توضح كل شيء بشكل جيد ..
وتجدر الإشارة إلى أن قائمة التحكم بالوصول (ACL) الخاصة بالانتحال لا تعمل لأنه بنفس الطريقة التي يتم بها حقنها من الشبكة الداخلية ، سيكون الحل هو رفض عمليات إعادة التوجيه للعملاء ، وإنشاء قائمة تحكم بالوصول معقدة تمنع إعادة تعيين الأسماء (شيء مشابه لـ نظام أسماء النطاقات الثابت)
نصيحة خاصة:
سيكون من الجيد تكوين إضافي حول كيفية جعل محتوى مرشح DNS بدلاً من جدار الحماية
شكرا للتعليق PICCORO !!!.
أعلن في بداية كل مقالاتي أنني لا أعتبر نفسي متخصصًا. ناهيك عن قضية DNS. هنا نتعلم جميعا. سأأخذ في الاعتبار توصياتك عند تثبيت DNS الذي يواجه الإنترنت وليس لشبكة LAN عادية وبسيطة.
برنامج تعليمي ممتاز !!! لقد كانت مساعدة كبيرة لي منذ أن بدأت للتو في هذا الخادم ، كل شيء سار على ما يرام. شكرًا لك واستمر في نشر مثل هذه الدروس الرائعة !!!
Fico ، أهنئك مرة أخرى على هذه المادة الرائعة.
أنا لست خبيرًا في BIND9 ، سامحني إذا كنت مخطئًا بشأن التعليق ، لكنني أعتقد أنك تفتقر إلى تحديد المنطقة لعمليات البحث العكسي في ملف اسمه .conf.local
إنه لأمر مخز أن Fico لا يستطيع الرد عليك الآن.
تحياتي وشكرًا ، إيلاف ، وها أنا أستجيب. كالعادة أنصح أن تقرأ ببطء ... 🙂
في المنشور: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
أكتب ما يلي:
تعديلات على الملف /etc/bind/itled.conf.local
في هذا الملف نعلن المناطق المحلية في مجالنا. يجب علينا تضمين المناطق الأمامية والخلفية كحد أدنى. تذكر أنه في ملف التكوين /etc/bind/itled.conf.options نعلن في أي دليل سنستضيف ملفات Zones باستخدام توجيه الدليل. في النهاية يكون الملف كالتالي:
// /etc/bind/itled.conf.local
//
// قم بأي تكوين محلي هنا
//
// ضع في اعتبارك إضافة مناطق 1918 هنا ، إذا لم يتم استخدامها في
// منظمة
// include "/etc/bind/zones.rfc1918" ؛
// أسماء الملفات في كل منطقة هي
// ذوق المستهلك. اخترنا friends.cu.hosts
// و 192.168.10.rev لأنهما يعطينا توضيحًا لملف
// محتويات. لا يوجد المزيد من الغموض
//
// أسماء المناطق ليست تعسفية
// وسوف يتوافق مع اسم المجال الخاص بنا
// والشبكة الفرعية LAN
// منطقة رئيسية رئيسية: نوع «مباشر»
المنطقة «amigos.cu» {
اكتب الرئيسي
ملف "amigos.cu.hosts" ؛
};
// منطقة رئيسية رئيسية: نوع "معكوس"
المنطقة "10.168.192.in-addr.arpa" {
اكتب الرئيسي
ملف "192.168.10.rev" ؛
};
// نهاية ملف named.conf.local
منشورك جيد وممتع للغاية حول نظام أسماء النطاقات ، لقد ساعدوني في البدء في هذا الموضوع ، شكرًا. أوضح أنني مبتدئ في هذا الصدد. لكن عند قراءة معلوماتك المنشورة ، لاحظت أنها تعمل مع عناوين ثابتة في مضيفي شبكة داخلية. سؤالي هو ، كيف ستفعل بشبكة داخلية ذات عناوين IP ديناميكية ، يتم تعيينها بواسطة خادم dhcp ، لإنشاء ملفات المنطقة الرئيسية الرئيسية من النوع "مباشر" و "عكسي"؟
سأكون ممتنا على الضوء الذي يمكنك إعطاءه بشأن هذه المسألة المطروحة. شكرا. Fv
شكرا للتعليق ، fabian. يمكنك الرجوع إلى المقالات التالية ، والتي آمل أن تساعدك في تنفيذ شبكة ذات عناوين ديناميكية:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
تحياتي