DNS الرئيسي الأساسي للشبكة المحلية على Debian 6.0 (V) والنهائي

أولئك الذين اتبعوا الأول2daالأول y على 4ta جزء من هذه المقالة والمشاورات التي تم إجراؤها على BIND الخاصة بهم أدت إلى نتائج مرضية ، فهم بالفعل خبراء في هذا الموضوع. :-) وبدون مزيد من اللغط ، دعنا ندخل في الجزء الأخير:

  • إنشاء نوع "معكوس" ملف المنطقة الرئيسية الرئيسية 10.168.192.in-addr.arpa
  • استكشاف الأخطاء وإصلاحها
  • ملخص

إنشاء نوع "معكوس" ملف المنطقة الرئيسية الرئيسية 10.168.192.in-addr.arpa

اسم المنطقة يجلبهم إليك ، أليس كذلك؟ وهو أن المناطق العكسية إلزامية للحصول على دقة اسم صحيحة وفقًا لمعايير الإنترنت. ليس لدينا خيار سوى إنشاء واحد يتوافق مع مجالنا. لهذا نستخدم الملف كقالب /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

نقوم بتحرير الملف /var/cache/bind/192.168.10.rev ونتركه هكذا:

؛ /var/cache/bind/192.168.10.rev ؛ ؛ ملف بيانات عكسي BIND للمنطقة الرئيسية 10.168.192.in-addr.arpa ؛ ملفات بيانات BIND للمنطقة الرئيسية (عكسي) 10.168.192.in-addr.arpa ؛ TTL 604800 دولار @ في SOA ns.amigos.cu. root.amigos.cu. (2 ؛ المسلسل 604800 ؛ تحديث 86400 ؛ إعادة المحاولة 2419200 ؛ انتهاء الصلاحية 604800) ؛ سلبية ذاكرة التخزين المؤقت TTL ؛ @ IN NS NS. 10 في PTR ns.amigos.cu. 1 في PTR gandalf.amigos.cu. 9 في PTR mail.amigos.cu. 20 في PTR web.amigos.cu. 100 في PTR fedex.amigos.cu. ؛ يمكننا أيضًا كتابة عنوان IP الكامل. مثال: ؛ 192.168.10.1 في PTR gandalf.amigos.cu.
  • لاحظ كيف في هذه الحالة تركنا الأوقات بالثواني حيث يتم إنشاؤها افتراضيًا عند ربط 9. إنه يعمل بنفس الطريقة. إنها نفس الأوقات المشار إليها في الملف friends.cu.host. في حالة الشك ، تحقق.
  • لاحظ أيضًا أننا نعلن فقط عن السجلات العكسية للمضيفين الذين لديهم عنوان IP معين أو "حقيقي" على شبكة LAN الخاصة بنا ، وهذا يحدده بشكل فريد.
  • تذكر تحديث ملف Reverse Zone بكل عناوين IP الصحيحة المعلنة في المنطقة المباشرة.
  • تذكر أن تزيد الرقم التسلسلي للمنطقة في كل مرة يقومون بتعديل الملف وقبل إعادة تشغيل ملف BIND.

دعنا نتحقق من المنطقة المنشأة حديثًا:

مسمى checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

نتحقق من التكوين:

اسمه-checkconf -z named-checkconf -p

إذا سارت الأمور على ما يرام ، نعيد تشغيل الخدمة:

إعادة تشغيل bind9 الخدمة

من الآن فصاعدًا ، في كل مرة نقوم فيها بتعديل ملفات المنطقة ، علينا فقط تنفيذ:

إعادة تحميل rndc

لذلك نعلن المفتاح في /etc/bind/named.conf.options، لا؟

استكشاف الأخطاء وإصلاحها

مهم جدا هو المحتوى الصحيح للملف / الخ / resolv.conf كما رأينا في الفصل السابق. تذكر أن تشير فيه على الأقل إلى ما يلي:

البحث عن خادم أسماء friends.cu 192.168.10.20

قيادة حفر من الحزمة دنسوتيل. على وحدة التحكم ، اكتب الأوامر مسبوقة بـ #:

# حفر -x 127.0.0.1 ..... ؛؛ قسم الإجابة: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # حفر -x 192.168.10.9 .... ؛؛ قسم الإجابة: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu له عنوان 192.168.10.1 # host gandalf.amigos.cu يحتوي gandalf.amigos.cu على العنوان 192.168.10.1 # dig gandalf؛ << >> DiG 9.7.2-P3 << >> جاندالف ؛؛ الخيارات العالمية: + cmd ؛؛ انتهت مدة الاتصال؛ تعذر الوصول إلى أي خوادم # حفر gandalf.amigos.cu .... ؛؛ قسم الإجابة: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... إذا كان لديهم وصول إلى الإنترنت الكوبي أو العالمي ، وتم الإعلان عن وكلاء الشحن بشكل صحيح ، فحاول: # dig debian.org .... ؛؛ قسم السؤال: ؛ debian.org. في ؛؛ قسم الإجابة: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu لديه عنوان 190.6.81.130 # host yahoo.es yahoo.es لديه عنوان 77.238.178.122 yahoo.es لديه عنوان 87.248.120.148 تتم معالجة بريد yahoo.es بواسطة 10 mx-eu.mail.am0.yahoodns.net. # حفر -x 77.238.178.122 ؛؛ قسم الإجابة: 122.178.238.77.in-addr.arpa. 429 في PTR w2.rc.vip.ird.yahoo.com.

... وبشكل عام مع المجالات الأخرى خارج شبكة LAN الخاصة بنا. استشر واكتشف أشياء مثيرة للاهتمام على الإنترنت.

إحدى أفضل الطرق للتحقق من أداء الخادم ربط 9، وبشكل عام أي خدمة أخرى مثبتة ، تقرأ إخراج ملف رسائل سجل النظام باستخدام الأمر tail -f / var / log / syslog تشغيل كمستخدمجذر.

من المثير للاهتمام أن نرى ناتج هذا الأمر عندما نسأل BIND المحلي لدينا سؤالًا حول مجال أو مضيف خارجي. في هذه الحالة ، يمكن تقديم عدة سيناريوهات:

  • إذا لم يكن لدينا وصول إلى الإنترنت ، فسيفشل استعلامنا.
  • إذا كان لدينا وصول إلى الإنترنت ولم نعلن عن وكلاء الشحن ، فلن نحصل على أي رد على الأرجح.
  • إذا كان لدينا وصول إلى الإنترنت وقد أعلنا عن وكلاء الشحن ، فسنحصل على إجابة لأنهم سيكونون مسؤولين عن استشارة خادم DNS أو الخوادم الضرورية.

إذا كنا نعمل على ملف LAN مغلق حيث يستحيل السفر إلى الخارج بأي شكل من الأشكال وليس لدينا وكلاء شحن من أي نوع ، يمكننا القضاء على رسائل البحث الخاصة بـ خوادم الجذر "إفراغ" الملف /etc/bind/db.root. للقيام بذلك ، نحفظ الملف أولاً باسم آخر ثم نحذف جميع محتوياته. ثم نتحقق من التكوين ونعيد تشغيل الخدمة:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 أعد تشغيل

ملخص

حتى الآن ، أيها الناس ، مقدمة صغيرة عن خدمة DNS. ما قمنا به حتى الآن يمكن أن يخدمنا بشكل مثالي لأعمالنا الصغيرة. أيضًا بالنسبة للمنزل إذا أنشأنا أجهزة افتراضية بأنظمة تشغيل مختلفة وعناوين IP مختلفة ، ولا نريد الإشارة إليها عبر IP ولكن بالاسم. أقوم دائمًا بتثبيت BIND على مضيف منزلي لتثبيت وتكوين واختبار الخدمات التي تعتمد بشكل كبير على خدمة DNS. أنا أستفيد بشكل مكثف من أجهزة سطح المكتب والخوادم الافتراضية ، ولا أحب الاحتفاظ بملف / الخ / المضيفين في كل آلة. أنا مخطئ كثيرا.

إذا لم تقم مطلقًا بتثبيت وتهيئة BIND ، فالرجاء عدم التأجيل إذا حدث خطأ ما في المحاولة الأولى وعليك البدء من جديد. نوصي دائمًا في هذه الحالات بالبدء بتثبيت نظيف. يستحق المحاولة!

بالنسبة لأولئك الذين يحتاجون إلى توفر عالي في خدمة تحليل الاسم ، والتي يمكن تحقيقها من خلال تكوين خادم ثانوي رئيسي ، نوصيك بمتابعة معنا في المغامرة التالية: DNS الرئيسي الثانوي لشبكة LAN.

مبروك لمن تابع كل المقالات وحصل على النتائج المتوقعة!


11 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   st0rmt4il قال

    اخيرا .. آخر ما بعد: د!

    شكرا لتقاسم صديقي!

    تحيات!

  2.   رافائيل هيرنانديز قال

    مثيرة للاهتمام للغاية ، مقالاتك ، لدي DNS موثوق به تم إعداده في freeBSD لنطاق .edu.mx ، حتى الآن نجح بشكل مثالي بالنسبة لي ، لكن في الشهر الماضي اكتشفت عدة هجمات ، تجاه الخادم ، ماذا سيكون طرق الدفاع عن DNS المكشوف؟ ، ولا أعرف ما إذا كان يمكن أن يكون كذلك ، اجعل المعلم يتعرض للإنترنت وآخر ثانوي يخدم شبكة محلية صغيرة من حوالي 60 جهاز كمبيوتر ، كلاهما متصل بنظام DNS ، أو ليكون قادرًا على تحديد منطقتين ، واحدة داخلية والأخرى خارجية ، وذلك بفضل السيد

  3.   بيكورو قال

    حزمة squeeze bind9 بها مشكلة في العمل مع samba ، الإصدار 9.8.4 متوفر بالفعل في فرع backports للضغط ، إصدار Wheeze لا يحتوي على هذه المشكلة ، بالنسبة لـ lenny venenux.net فإنه سيعمل backport الحزمة.

    موي بوين ارتيكولو.

    هذه هي المقالة الوحيدة التي توضح كل شيء بشكل جيد ..

    وتجدر الإشارة إلى أن قائمة التحكم بالوصول (ACL) الخاصة بالانتحال لا تعمل لأنه بنفس الطريقة التي يتم بها حقنها من الشبكة الداخلية ، سيكون الحل هو رفض عمليات إعادة التوجيه للعملاء ، وإنشاء قائمة تحكم بالوصول معقدة تمنع إعادة تعيين الأسماء (شيء مشابه لـ نظام أسماء النطاقات الثابت)

    نصيحة خاصة:

    سيكون من الجيد تكوين إضافي حول كيفية جعل محتوى مرشح DNS بدلاً من جدار الحماية

    1.    فيديريكو أنطونيو فالديس توجاج قال

      شكرا للتعليق PICCORO !!!.
      أعلن في بداية كل مقالاتي أنني لا أعتبر نفسي متخصصًا. ناهيك عن قضية DNS. هنا نتعلم جميعا. سأأخذ في الاعتبار توصياتك عند تثبيت DNS الذي يواجه الإنترنت وليس لشبكة LAN عادية وبسيطة.

  4.   فرانك دافيلا قال

    برنامج تعليمي ممتاز !!! لقد كانت مساعدة كبيرة لي منذ أن بدأت للتو في هذا الخادم ، كل شيء سار على ما يرام. شكرًا لك واستمر في نشر مثل هذه الدروس الرائعة !!!

  5.   خيسوس فينانديز توليدو قال

    Fico ، أهنئك مرة أخرى على هذه المادة الرائعة.

    أنا لست خبيرًا في BIND9 ، سامحني إذا كنت مخطئًا بشأن التعليق ، لكنني أعتقد أنك تفتقر إلى تحديد المنطقة لعمليات البحث العكسي في ملف اسمه .conf.local

    1.    إيلاف قال

      إنه لأمر مخز أن Fico لا يستطيع الرد عليك الآن.

      1.    فيديريكو أنطونيو فالديس توجاج قال

        تحياتي وشكرًا ، إيلاف ، وها أنا أستجيب. كالعادة أنصح أن تقرأ ببطء ... 🙂

    2.    فيديريكو أنطونيو فالديس توجاج قال

      في المنشور: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      أكتب ما يلي:
      تعديلات على الملف /etc/bind/itled.conf.local

      في هذا الملف نعلن المناطق المحلية في مجالنا. يجب علينا تضمين المناطق الأمامية والخلفية كحد أدنى. تذكر أنه في ملف التكوين /etc/bind/itled.conf.options نعلن في أي دليل سنستضيف ملفات Zones باستخدام توجيه الدليل. في النهاية يكون الملف كالتالي:

      // /etc/bind/itled.conf.local
      //
      // قم بأي تكوين محلي هنا
      //
      // ضع في اعتبارك إضافة مناطق 1918 هنا ، إذا لم يتم استخدامها في
      // منظمة
      // include "/etc/bind/zones.rfc1918" ؛
      // أسماء الملفات في كل منطقة هي
      // ذوق المستهلك. اخترنا friends.cu.hosts
      // و 192.168.10.rev لأنهما يعطينا توضيحًا لملف
      // محتويات. لا يوجد المزيد من الغموض
      //
      // أسماء المناطق ليست تعسفية
      // وسوف يتوافق مع اسم المجال الخاص بنا
      // والشبكة الفرعية LAN
      // منطقة رئيسية رئيسية: نوع «مباشر»
      المنطقة «amigos.cu» {
      اكتب الرئيسي
      ملف "amigos.cu.hosts" ؛
      };
      // منطقة رئيسية رئيسية: نوع "معكوس"
      المنطقة "10.168.192.in-addr.arpa" {
      اكتب الرئيسي
      ملف "192.168.10.rev" ؛
      };
      // نهاية ملف named.conf.local

  6.   فابيان فاليري قال

    منشورك جيد وممتع للغاية حول نظام أسماء النطاقات ، لقد ساعدوني في البدء في هذا الموضوع ، شكرًا. أوضح أنني مبتدئ في هذا الصدد. لكن عند قراءة معلوماتك المنشورة ، لاحظت أنها تعمل مع عناوين ثابتة في مضيفي شبكة داخلية. سؤالي هو ، كيف ستفعل بشبكة داخلية ذات عناوين IP ديناميكية ، يتم تعيينها بواسطة خادم dhcp ، لإنشاء ملفات المنطقة الرئيسية الرئيسية من النوع "مباشر" و "عكسي"؟

    سأكون ممتنا على الضوء الذي يمكنك إعطاءه بشأن هذه المسألة المطروحة. شكرا. Fv

    1.    فيديريكو إيه فالديس توجاغ قال

      شكرا للتعليق ، fabian. يمكنك الرجوع إلى المقالات التالية ، والتي آمل أن تساعدك في تنفيذ شبكة ذات عناوين ديناميكية:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      تحياتي