DNS i DHCP u CentOS 7 - SMB mreže

Opšti indeks serije: Računarske mreže za mala i srednja preduzeća: Uvod

Pozdrav prijatelji! U ovom ćemo članku vidjeti kako možemo implementirati važan par usluga za mreže koje čini DNS i DHCP na CentOS-u - Linux, posebno u njegovoj verziji 7.2.

  • Neki članci o DNS-u pozivaju se na činjenicu da je implementacija ove usluge pomalo nejasna i teška. Ne slažem se baš s tom izjavom. Prije bih rekao da je pomalo konceptualan i da mnoge njegove konfiguracijske datoteke imaju mučnu sintaksu. Srećom, imamo alate za provjeru, korak po korak, sintakse svake konfiguracijske datoteke koju mijenjamo. Stoga ćemo se potruditi da čitanje ovog posta učini što ugodnijim i ugodnijim..

Za one koji traže osnove obje usluge, toplo preporučujemo započinjanje pretraživanja na Wikipediji, kako u španskoj tako i u engleskoj verziji. Nije manje tačno da su članci na engleskom gotovo uvijek cjelovitiji i koherentniji. Ipak, Wikipedia je vrlo dobro polazište.

Za one koji stvarno želite naučiti o DNS-u i BIND-u, preporučujemo čitanje knjige «OReilly - DNS i BIND 4ed" napisao Paul albitz y Cvrčak Liu, ili kasnije izdanje koje sigurno postoji.

Već smo na tu temu objavili članak pod naslovom «DNS i DHCP u openSUSE 13.2 Harlequin - MSP mreže»Za ljubitelje grafičkog okruženja. Međutim, od sada će se suočavati sa člancima na ovu temu - a ne o drugima - napisanim s puno upotrebe emulatora terminala ili konzole. Wow, u klasičnom stilu koji koriste UNIX® / Linux sistemski administratori.

Ako želite znati više o prezimenu naslova ovog članka «MSP mreže»Možete posjetiti stranicu na ovom blogu«MSP mreže: prvi virtualni rez«. U njemu ćete pronaći linkove do mnogih drugih objavljenih članaka.

  • Nakon završetka instalacije operativnog sistema CentOS 7 sa paketima koje preporučujemo, el imenik /usr/share/doc/bind-9.9.4/ sadrži dobru količinu dokumentacije koju preporučujemo da pogledate prije nego što se upustite u internetsku pretragu, a da prije toga ne znate da na dohvat ruke i u svom domu možete pronaći ono što tražite.

Instalacija osnovnog sistema

Opći podaci domene i DNS servera

Ime domena: desdelinux.fan
Ime DNS servera: dns.fromlinux.fan
IP adresa: 192.168.10.5
Maska podmreže: 255.255.255.0

Instalacija

Počinjemo s novom ili čistom instalacijom operativnog sistema CentOS 7 kao što je navedeno u prethodnom članku «CentOS 7 Hypervisor I - SMB mreže«. Moramo izvršiti samo sljedeće promjene:

  • u 22 Image «ODABIR SOFTVERA«, Preporučujemo odabir u lijevom stupcu«Osnovno okruženje»Opcija koja odgovara«Infrastrukturni server«, Dok je u desnoj koloni«Dodaci za izabrano okruženje»Označite potvrdni okvir«DNS poslužitelj imena«. DHCP server ćemo instalirati kasnije.
  • Sjetimo se deklaracije dodatnih spremišta kao što je prikazano u 23 Image, nakon postavljanja «NAZIV MREŽE I TIMA".
  • Slike koje se odnose na particije koje ćemo stvoriti na našem tvrdom disku date su samo kao vodiči. Slobodno odaberite particije prema vlastitom nahođenju, praksi i dobroj prosudbi.
  • Konačno, u Slika 13 «IME MREŽE I TIMA», moramo promijeniti vrijednosti prema općim parametrima deklarirane domene i DNS servera, ne zaboravljajući navesti ime hosta - u ovom slučaju «dns«- nakon završetka mrežne konfiguracije. Pozitivno je to učiniti ping -od drugog hosta- do navedene IP adrese nakon što je mreža aktivna:

DNS i DHCP na CentOS-u

Postoji zaista malo i vrlo očiglednih promjena koje moramo napraviti u odnosu na prethodni članak.

Početne provjere i prilagođavanja

Nakon što instaliramo operativni sistem, moramo pregledati najmanje sljedeće datoteke, a za to započinjemo sesiju putem SSH-a s našeg računara sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ ssh 192.168.10.5
lozinka buzz@192.168.10.5: Zadnja prijava: Sub Jan 28 09:48:05 2017 od 192.168.10.1
[buzz @ dns ~] $

Gore navedena operacija može potrajati duže nego što je uobičajeno, a uglavnom je to zbog činjenice da još uvijek nemamo DNS na LAN-u. Provjerite ponovo kasnije da li DNS radi.

[buzz @ dns ~] $ mačka / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[buzz @ dns ~] $ cat / etc / hostname
dns

[buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.10.5
PREFIX=24
GATEWAY=192.168.10.1
DNS1=127.0.0.1
DOMAIN=desdelinux.fan

[buzz @ dns ~] $ mačka /etc/resolv.conf 
# Generirano pretraživanjem NetworkManager-a sa linux.fan nameserver 127.0.0.1

Glavne konfiguracije odgovaraju našem odabiru. Imajte na umu da čak i na serveru Red Hat 7 - CentOS 7, je konfigurirano prema zadanim postavkama kada NetworkManager tako da ovaj upravlja mrežnim sučeljima, bilo žičanim ili bežičnim (WiFi), VPN vezama, PPPoE vezama i bilo kojom drugom mrežnom vezom.

[buzz @ dns ~] $ sudo systemctl status networkmanager
[sudo] lozinka za buzz: ● networkmanager.service Loaded: not-found (Razlog: Nema takve datoteke ili direktorija) Aktivan: neaktivan (mrtav)

[buzz @ dns ~] $ sudo systemctl status NetworkManager
● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; omogućeno; unaprijed postavljeno dobavljača: omogućeno) Aktivan: aktivan (radi) od Sub 2017-01-28 12:23:59 EST; Prije 12 minuta Glavni PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon

Red Hat - CentOS vam takođe omogućava povezivanje i odspajanje mrežnih interfejsa pomoću klasičnih naredbi ifup e ifdown. Pokrenimo na serverskoj konzoli:

[root @ dns ~] # ifdown eth0
Uređaj 'eth0' uspješno je prekinut.

[root @ dns ~] # ifup eth0
Veza je uspješno aktivirana (aktivna putanja D-sabirnice: / org / freedesktop / NetworkManager / ActiveConnection / 1)
  • Predlažemo ne mijenjajte zadane postavke koje nudi CentOS 7 u odnosu na njih NetworkManager.

Definitivno izjavljujemo spremišta koja ćemo koristiti i po potrebi ažurirati operativni sistem:

[buzz @ dns ~] $ su Lozinka: [root @ dns buzz] # cd /etc/yum.repos.d/
[root @ dns yum.repos.d] # ls -l
ukupno 28 -rw-r - r--. 1 root root 1664 9. decembra 2015. CentOS-Base.repo -rw-r - r--. 1 root root 1309 9. decembra 2015. CentOS-CR.repo -rw-r - r--. 1 root root 649 9. decembra 2015. CentOS-Debuginfo.repo -rw-r - r--. 1 root root 290 9. decembra 2015. CentOS-fasttrack.repo -rw-r - r--. 1 root root 630 9. decembra 2015. CentOS-Media.repo -rw-r - r--. 1 root root 1331 9. decembra 2015. CentOS-Sources.repo -rw-r - r--. 1 root root 1952 9. decembra 2015. CentOS-Vault.repo

Zdravo je čitati sadržaj originalnih datoteka deklaracije iz spremišta koje preporučuje CentOS. Promjene koje ovdje unosimo nastale su zbog činjenice da nemamo pristup Internetu, a radimo s lokalnim spremištima preuzetim sa WWW Villagea od strane kolega koji nam malo olakšavaju život. 😉

[root @ dns yum.repos.d] # mkdir original
[root @ dns yum.repos.d] # mv CentOS- * original /

[root @ dns yum.repos.d] # nano centos-repos.repo
[centos-base]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/base/
gpgcheck=0
enabled=1

[centos-updates]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ dns yum.repos.d] # yum očisti sve
Učitani dodaci: najbrže ogledalo, langpacks Čišćenje spremišta: centos-base centos-updates Čišćenje svega

[root @ dns yum.repos.d] # yum update
Učitani dodaci: najbrže ogledalo, centos-base langpacks | 3.4 kB 00:00 centos-ažuriranja | 3.4 kB 00:00 (1/2): centos-baza / primarni_db | 5.3 MB 00:00 (2/2): centos-updates / primary_db | 9.1 MB 00:00 Određivanje najbržih zrcala Nema paketa označenih za ažuriranje

Poruka «Ne (postoje) paketi označeni za ažuriranje» - «Nema paketa označenih za ažuriranje»Označava da su proglašavanjem najsuvremenijih spremišta koja su nam dostupna tokom instalacije instalirani upravo najnoviji paketi.

O kontekstu SELinux-a i vatrozidu

Ovaj ćemo članak - u osnovi - usmjeriti na implementaciju DNS i DHCP usluga, što je njegov glavni cilj.

Ako je bilo koji čitač tijekom postupka instalacije odabrao Sigurnosnu politiku, kao što je naznačeno u 06 Image referentnog članka «CentOS 7 Hypervisor I - SMB mreže»Koristi se za instalaciju ovog DNS - DHCP servera i utvrdite da ne znate kako pravilno konfigurirati SELinux i CentOS zaštitni zid, predlažemo da izvršite sljedeće:

Izmijenite datoteku / etc / sysconfig / selinux i promjena SELINUX = uvjeravanje por SELINUX = onemogući

[root @ dns ~] # nano / etc / sysconfig / selinux
# Ova datoteka kontrolira stanje SELinux-a na sistemu. # SELINUX = može uzeti jednu od ove tri vrijednosti: # prisiljavanje - SELinux sigurnosna politika se provodi. # dopušteno - SELinux ispisuje upozorenja umjesto da ih provodi. # onemogućeno - Nije učitana nijedna SELinux politika.
SELINUX = onemogućeno
# SELINUXTYPE = može uzeti jednu od tri dvije vrijednosti: # ciljano - ciljani procesi su zaštićeni, # minimalno - izmjena ciljane politike. Samo odabrani procesi su pr $ # mls - Višerazinska sigurnosna zaštita. SELINUXTYPE = ciljano

Zatim pokrenite sljedeće naredbe

[root @ dns ~] # setenforce 0
[root @ dns ~] # zaustavljanje zaštitnog zida usluge
Preusmjeravanje na / bin / systemctl zaustavlja firewalld.service

[root @ dns ~] # systemctl onemogući zaštitni zid
Uklonjena symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Uklonjena simbolična veza /etc/systemd/system/basic.target.wants/firewalld.service.

Ako implementirate DNS server okrenut ka Internetu, NE biste smjeli raditi gore navedeno, već ispravno konfigurirajte SELinux kontekst i zaštitni zid. Vidite "Konfiguracija servera sa GNU / Linuxom, autora Joela Barriosa Dueñasa" ili sama CentOS dokumentacija - Red Hat

Konfiguriramo BIND - named

  • El imenik /usr/share/doc/bind-9.9.4/ sadrži dobru količinu dokumentacije koju preporučujemo da pogledate prije nego što se upustite u internetsku pretragu, a da prije toga ne znate da na dohvat ruke i u svom domu možete pronaći ono što tražite

U mnogim distribucijama naziva se DNS usluga instalirana putem BIND paketa pod nazivom (Ime Daemon). U CentOS 7 instaliran je onemogućen prema zadanim postavkama, prema izlazu sljedeće naredbe, gdje stoji da je njegov status «onemogućeno«, I da je ovo stanje unaprijed definirano od strane njegovog» prodavača «- unaprijed postavljeno. Za zapisnik, BIND je besplatni softver.

Omogućavanje imenovane usluge

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; onemogućeno; unaprijed postavljeno: onemogućeno) Aktivan: neaktivan (mrtav)

[root @ dns ~] # systemctl enable named
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/named.service do /usr/lib/systemd/system/named.service.

[root @ dns ~] # systemctl početak imenovan

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućeno; unaprijed postavljeno: onemogućeno)
   Aktivno: aktivno (aktivno) od Sub 2017-01-28 13:22:38 EST; Prije 5 minuta Proces: 1990 ExecStart = / usr / sbin / named -u pod nazivom $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (code = exited, status = 0 / USPJEH) Glavni PID: 1993 (imenovan) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u named 28. januara 13:22:45 dns named [1993]: greška (mreža nedostupna) pri rješavanju './NS/IN': 2001: 500: 2f :: f # 53 28. januara 13:22:47 dns imenovana [1993]: rješavanje greške (mreža nedostupna) './ DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 28. januara 13:22:47 dns imenovan [1993]: greška (mreža nedostupna) rješavanje' ./NS/IN ': 2001: 500: 3 :: 42 # 53 28. januara 13:22:47 dns imenovan [1993]: greška (mreža nedostupna) rješava './DNSKEY/IN': 2001: 500: 2d :: d # 53 28. januara 13:22:47 dns imenovan [1993] ]: greška (mreža nedostupna) pri rješavanju './NS/IN': 2001: 500: 2d :: d # 53 28. januara 13:22:47 dns imenovana [1993]: greška (mreža nedostupna) rješavanje './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 28. januara 13:22:47 dns imenovan [1993]: greška (mreža nedostupna) rješavanje' ./NS/IN ': 2001: dc3 :: 35 # 53 28. januara 13: 22:47 dns imenovan [1993]: greška (mreža nedostupna) rješavanje './DNSKEY/IN': 2001: 7fe :: 53 # 53 28. januara 13:22:47 dns imenovana [1993]: greška (mreža nedostupna) res olving './NS/IN': 2001: 7fe :: 53 # 53 28. januara 13:22:48 dns imenovan [1993]: managed-keys-zone: Nije moguće preuzeti DNSKEY set '.': isteklo vrijeme

[root @ dns ~] # systemctl ponovno pokrenuto ime

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućena; unaprijed postavljena opcija dobavljača: onemogućena)
   Aktivno: aktivno (aktivno) od Sub 2017-01-28 13:29:41 EST; Pre 1s Proces: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kod = izašao, status = 0 / USPJEH) Proces: 1460 ExecStart = / usr / sbin / named -u pod nazivom $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1457 ExecStartPre = / bin / bash -c ako [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (kod = izašao, status = 0 / USPJEH) Glavni PID: 1463 (imenovan) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u imenovan 28. januara 13:29:41 dns imenovan [1463]: managed-keys-zone: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 28. januara 13:29:41 dns pod nazivom [1463]: managed-keys-zone: loaded serial 2. januara 28 13:29:41 dns imenovan [1463]: zona 0.in-addr.arpa/IN: učitana serijska linija 0. januara 28:13:29 dns imenovana [41]: zona localhost.localdomain / IN: učitana serijska linija 1463. januara 0:28:13 dns imenovan [29]: zona 41.in-addr.arpa/IN: učitan serijski 1463 1.0.0.127. januara 0:28:13 dns imenovan [29]: zona 41 .1463.ip1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.arpa / IN: učitan serijski 6 0. januara 28:13:29 dns pod nazivom [41]: zone localhost / IN: učitan serijski 1463 0. januara 28 : 13: 29 dns imenovan [41]: sve zone su učitane 1463. januara 28:13:29 dns imenovano [41]: pokrenuto 1463. januara 28:13:29 dns systemd [41]: Pokrenuto Berkeley Internet Name Domain (DNS).

Nakon što omogućimo uslugu pod nazivom i pokrećemo ga prvi put, izlaz naredbe systemctl status imenovan pokazuje greške. Kada ponovo pokrenemo uslugu u nastavku, pod nazivom kreira sve konfiguracijske datoteke koje su prema zadanim postavkama potrebne za njegov ispravan rad. Stoga, kada ponovo izvršimo naredbu systemctl status imenovan više se ne prikazuju greške.

  • Dragi, skupi i zahtjevni čitatelju: ako barem želite saznati koji put vodi do kraja zečje rupe, molimo vas, mirno pročitajte detaljne izlaze svake naredbe. The Svakako će se članak činiti pomalo dugim, ali ne poričite da dobiva na objašnjenju i jasnoći.

Izmjenjujemo datoteku /etc/named.conf

Mnogi komentari čitatelja izriču -Ne kažem to- manija koju imaju održavatelji različitih distribucija Linuxa, postavljanja sistemskih konfiguracijskih datoteka u mape s različitim imenima, ovisno o distro-u. U pravu su. Ali šta mi, jednostavni korisnici koji koriste ove distribucije, možemo učiniti? Prilagodite se! 😉

Inače, u FreeBSD-u, UNIX-ovom klonu «Poreklo», datoteka je u /usr/local/etc/namedb/named.conf; dok je bio u Debianu, osim što se podijelio na četiri datoteke named.conf, named.conf.options, named.conf.default-zone i named.conf.local, nalazi se u mapi / etc / bind /. Oni koji žele znati gdje ga openSUSE postavlja, pročitajte «DNS i DHCP u openSUSE 13.2 Harlequin - MSP mreže«. Čitatelji su u pravu! 😉

I kao što uvijek radimo: prije bilo čega mijenjanja, originalnu konfiguracijsku datoteku spremamo pod drugim imenom.

[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original

Da olakša život, umjesto da generira ključ TSIG za dinamička DNS ažuriranja putem DHCP-a kopiramo isti ključ rndc.key como dhcp.key.

[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key

[root @ dns ~] # nano /etc/dhcp.key
ključ "dhcp-ključ" {algoritam hmac-md5; tajna "OI7Vs + TO83L7ghUm2xNVKg =="; };

Tako da pod nazivom može pročitati upravo kopiranu datoteku, mijenjamo njezinu vlasničku grupu:

[root @ dns ~] # chown root: named /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 root imenom 77 28. januara 16:36 /etc/dhcp.key -rw-r -----. 1 root imenom 77 28. januara 13:22 /etc/rndc.key

Mali detalji poput prethodnog su ono što nas može izluditi pokušavajući shvatiti, sad ... gdje je problem ...? sa još nekih pridjeva, koje ne pišemo iz poštovanja prema Uglednom.

Sada ako - konačno! - izmijenimo datoteku /etc/ named.conf. Izmjene ili dopune koje smo napravili u odnosu na original su u podebljano. Pogledajte dobro koliko ih je malo.

[root @ dns ~] # nano /etc/named.conf
// // named.conf // // Osigurava Red Hat paket za povezivanje za konfiguriranje ISC BIND-a pod imenom (8) DNS // poslužitelj kao poslužitelj imena samo za predmemoriranje (samo kao lokalni DNS razrješivač). // // Pogledajte / usr / share / doc / bind * / sample / na primjer imenovane konfiguracijske datoteke. //

// Lista za kontrolu pristupa koja izjavljuje koje će mreže moći konsultovati
// moj server imenovan
acl mired {
 127.0.0.0/8;
 192.168.10.0/24;
};

opcije {
 // Izjavljujem da imenovani demon također osluškuje sučelje
 // eth0 koji ima IP: 192.168.10.5
    port za preslušavanje 53 {127.0.0.1; 192.168.10.5; };
    Listen-on-v6 port 53 {:: 1; }; direktorij "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; statistička datoteka "/var/named/data/named_stats.txt"; datoteka memstatistike "/var/named/data/named_mem_stats.txt";

 // Izjava o špediterima
 // špediteri {
 // 0.0.0.0;
 // 1.1.1.1;
 //};
    // prvo prosljeđivanje;

    // Dopuštam upite samo za moj zaglibljeni ACL
    allow-query {mired; }; // Da provjerimo naredbom dig desdelinux.fan axfr // samo sa radne stanice SysAdmin i localhost // Nemamo slave DNS poslužitelje. Ne treba nam ... do sada.
 allow-transfer {localhost; 192.168.10.1; };

    / * - Ako gradite AUTORITATIVNI DNS poslužitelj, NE omogućite rekurziju. - Ako gradite RECURZIVNI (predmemorirani) DNS poslužitelj, morate omogućiti rekurziju. - Ako vaš rekurzivni DNS poslužitelj ima javnu IP adresu, MORATE omogućiti kontrolu pristupa kako biste ograničili upite na vaše legitimne korisnike. Ako to ne učinite, vaš će server postati dijelom napada DNS pojačanja. Implementacija BCP38 unutar vaše mreže znatno bi smanjila takvu površinu napada * /
    // Želimo AUTHORITY server za naš LAN - SME
    rekurzija br;

    dnssec-enable yes; dnssec-validacija da; / * Put do ISC DLV ključa * / bindkeys-file "/etc/named.iscdlv.key"; direktorij upravljanih ključeva "/ var / named / dynamic"; pid-datoteka "/run/named/named.pid"; datoteka sesije ključeva "/run/named/session.key"; }; evidentiranje {channel default_debug {datoteka "data / named.run"; dinamika ozbiljnosti; }; }; zona "." IN {tip nagovještaja; datoteka "named.ca"; }; uključuju "/etc/named.rfc1912.zones"; uključuju "/etc/named.root.key";

// Uključujemo TSIG ključ za dinamička DNS ažuriranja // od DHCP-a
uključuju "/etc/dhcp.key";

// Izjava o imenu, tipu, lokaciji i dozvoli za ažuriranje
// zona DNS zapisa // Obje zone su GOSPODARSKE
zona "desdelinux.fan" {
 tip master;
 datoteka "dynamic / db.fromlinux.fan";
 allow-update {ključ dhcp-ključ; };
};

zona "10.168.192.in-addr.arpa" {
 tip master;
 datoteka "dynamic / db.10.168.192.in-addr.arpa";
 allow-update {ključ dhcp-ključ; };
};

Provjeravamo sintaksu

[root @ dns ~] # named-checkconf 
[root @ dns ~] #

Budući da gornja naredba ne vraća ništa, sintaksa je u redu. Međutim, ako izvršimo istu naredbu, ali s opcijom -z, izlaz će biti:

[root @ dns ~] # named-checkconf -z
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitavanje iz glavnog datoteka dynamic / db.fromlinux.fan nije uspjela: datoteka nije pronađena zona iz linux.fan/IN: nije učitana zbog grešaka. _default / desdelinux.fan / IN: datoteka nije pronađena zona 10.168.192.in-addr.arpa/IN: nije uspjelo učitavanje iz glavne datoteke dynamic / db.10.168.192.in-addr.arpa: datoteka nije pronađena zona 10.168.192 .in-addr.arpa / IN: nije učitan zbog grešaka. _default / 10.168.192.in-addr.arpa / IN: datoteka nije pronađena

Naravno da se radi o greškama koje još uvijek nisu stvorene za našu domenu DNS registracionim zonama.

  • Za više informacija o naredbi named-checkconf, trči čovjek po imenu-checkconf, prije nego što potražite bilo kakve druge informacije na Internetu. Uvjeravam vas da ćete uštedjeti dosta vremena.

Datoteku Direct Zone kreiramo iz linux.fan

... ne bez malo teorije. 😉

Kao predložak za kreiranje datoteke podataka o zoni možemo uzeti /var/named/named.emptyili the /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. Oboje su identični.

[root @ dns ~] # cat /var/named/named.empty 
$ TTL 3H @ IN SOA @ rname.invalid. (0; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimalno ili negativno vrijeme predmemoriranja za život NS @ A 127.0.0.1 AAAA :: 1

Doba života - Vrijeme je za TTL SOA zapis

Uzmimo zagradu da objasnimo TTL - Vrijeme je za život iz registra SOA - Početak autoriteta Master Zone. Zanimljivo je znati njihova značenja kada želimo izmijeniti bilo koju od njihovih vrijednosti.

$ TTL: Vrijeme života - Vrijeme je za život za sve zapise u datoteci koji slijede deklaraciju (ali prethode bilo kojoj drugoj $ TTL deklaraciji) i nemaju eksplicitnu TTL deklaraciju.

serijski: Serijski broj podataka zone. Svaki put kada ručno modificiramo DNS zapis u zoni, moramo povećati taj broj za 1, posebno ako imamo pomoćne ili sekundarne servere. Svaki put kada sekundarni ili pomoćni DNS server kontaktira svoj glavni server, on traži serijski broj matičnih podataka. Ako je serijski broj podređenog računara manji, tada su podaci za tu zonu na podređenom poslužitelju zastarjeli, a podređeni uređaj vrši prijenos zone kako bi se ažurirao.

refresh: Službenom poslužitelju govori vremenski interval u kojem bi trebao provjeriti jesu li njegovi podaci ažurirani u odnosu na glavno računalo.

pokušaj ponovo: Ako glavni poslužitelj nije dostupan - zato što se razbolio, recimo - za slave nakon vremenskog intervala refresh, pokušaj ponovo Kaže robovu koliko treba čekati prije ponovnog pokušaja kontakta sa svojim gospodarom.

ističe: Ako slave ne može neko vrijeme kontaktirati svog gospodara ističeDakle, ako je odnos slave-master zone zajeban, a slave server nema drugog izbora nego da istekne dotična zona. Istek zone podređenim DNS poslužiteljem znači da će prestati odgovarati na DNS upite povezane s tom zonom, jer su dostupni podaci prestari da bi bili korisni.

  • Gore nas uči posredno i opterećeno velikim zdravim razumom - najmanje uobičajenim čulima - da ako nam za rad našeg MSP-a nisu potrebni poslužni DNS serveri, nećemo ga implementirati, osim ako nisu strogo neophodni. Pokušajmo uvijek ići od jednostavnog ka složenom.

minimun: U verzijama pre VEZA 8.2, posljednji zapis SOA Takođe ukazuje na zadani životni vijek - Zadano vrijeme za život, i negativni životni vijek predmemorije - Vrijeme negativnog predmemoriranja za život za zonu. Ovo se vrijeme odnosi na sve negativne odgovore dane od strane mjerodavnog servera za Zonu.

Zonska datoteka /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, vaš blog posvećen besplatnom softveru"; sysadmin U A 192.168.10.1 ad-dc U A 192.168.10.3 poslužitelj datoteka U A 192.168.10.4 dns U A 192.168.10.5 proxyweb U A 192.168.10.6 blog U A 192.168.10.7 ftpserver U A 192.168.10.8 mail IN A 192.168.10.9

Provjeravamo /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # named-checkzone iz linux.fan / var / named / dynamic / db. fromlinux.fan
zona iz linux.fan/IN: učitan serijski 1 OK

Kreiramo datoteku Reverse Zone 10.168.192.in-addr.arpa

  • SOA zapis ove zone je isti kao i zapis direktne zone bez razmatranja MX zapisa..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. ; 1 U PTR sysadmin.fromlinux.fan. 3 U PTR ad-dc.fromlinux.fan. 4 U PTR fileserver.fromlinux.fan. 5 U PTR dns.fromlinux.fan. 6 U PTR proxyweb.desdelinux.fan. 7 U PTR blog.desdelinux.fan. 8 U PTR ftpserver.fromlinux.fan. 9 U PTR mail.fromlinux.fan.

[root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa 
zona 10.168.192.in-addr.arpa/IN: učitan serijski 1 OK

Prije ponovnog pokretanja imenovanog provjeravamo njegovu konfiguraciju

  • Dok ne budemo sigurni da konfiguracijske datoteke imenovanog named.conf i njegove zonske datoteke nisu ispravno konfigurirane, predlažemo da ne pokrećemo imenovani demon. Ako to učinimo i kasnije izmijenimo datoteku zone, moramo povećati serijski broj modificirane zone za 1.
  • Pogledajmo "." na kraju imena domena i hosta.
[root @ dns ~] # named-checkconf 
[root @ dns ~] # named-checkconf -z
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitana serijska 1 zona 10.168.192.in-addr.arpa/IN: učitan serijski 1

Sve trenutne imenovane konfiguracije

Da bismo stekli jasnoću, i iako članak postaje dugačak, dajemo potpuni izlaz naredbe named -checkconf -zp:

[root @ dns ~] # named-checkconf -zp
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitana serijska 1 zona 10.168.192.in-addr.arpa/IN: učitane serijske 1 opcije {bindkeys-file "/etc/named.iscdlv.key"; datoteka sesije ključeva "/run/named/session.key"; direktorij "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; port za preslušavanje 53 {127.0.0.1/32; 192.168.10.5/32; }; Listen-on-v6 port 53 {:: 1/128; }; direktorij upravljanih ključeva "/ var / named / dynamic"; datoteka memstatistike "/var/named/data/named_mem_stats.txt"; pid-datoteka "/run/named/named.pid"; statistička datoteka "/var/named/data/named_stats.txt"; dnssec-enable yes; dnssec-validacija da; rekurzija br; allow-query {"mired"; }; dopusti prenos {192.168.10.1/32; }; }; acl "zaglibio" {127.0.0.0/8; 192.168.10.0/24; }; zapisivanje {channel "default_debug" {datoteka "data / named.run"; dinamika ozbiljnosti; }; }; ključ "dhcp-ključ" {algoritam "hmac-md5"; tajna "OI7Vs + TO83L7ghUm2xNVKg =="; }; zona "." IN {tip nagovještaja; datoteka "named.ca"; }; zona "localhost.localdomain" IN {glavni master; datoteka "named.localhost"; allow-update {"ništa"; }; }; zona "localhost" IN {master master; datoteka "named.localhost"; allow-update {"ništa"; }; }; zona "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {tip master; datoteka "named.loopback"; allow-update {"ništa"; }; }; zona "1.0.0.127.in-addr.arpa" IN {glavni master; datoteka "named.loopback"; allow-update {"ništa"; }; }; zona "0.in-addr.arpa" IN {glavni master; datoteka "named.empty"; allow-update {"ništa"; }; }; zona "desdelinux.fan" {tip master; datoteka "dynamic / db.fromlinux.fan"; allow-update {ključ "dhcp-ključ"; }; }; zona "10.168.192.in-addr.arpa" {master; datoteka "dynamic / db.10.168.192.in-addr.arpa"; allow-update {ključ "dhcp-ključ"; }; }; upravljani ključevi {"." ključni početni-257 avgust 3 "AwEAAagAIKlVZrpC8Ia6gEzahOR + 7W9euxhJhVVLOyQbSEW29O0gcCjF FVQUTf8v6fLjwBd58YI0EzrAcQqBGCzh / RStIoO0g8NfnfL0MTJRkxoX bfDaUeVPQuYEhg2NZWAJQ37VnMVDxP / VHL9M / QZxkjf496 / Efucp5gaD X2RS6CXpoY6LsvPVjR68ZSwzz0apAzvN1dlzEheX9ICJBBtuA7G6LQpz W3hOA5hzCTMjJPJ2LbqF8dsV6DoBQzgul6sGIcGOYl0OyQdXfZ7relS Qageu + ipAdTTJ57AsRTAoub25ONGcLmqrAmRLKBP8dfwhYB1N4knNnulq QXA + Uk7ihz1 ="; };
  • Slijedeći postupak izmjene named.conf Prema našim potrebama i provjeri, te stvaranju svake datoteke zone i provjeri, sumnjamo da ćemo se morati suočiti s velikim problemima u konfiguraciji. Na kraju shvatimo da je to dječačka igra s mnogo koncepata i nesretnom sintaksom, 😉

Provjere su dale zadovoljavajuće rezultate, stoga možemo ponovno pokrenuti BIND - pod nazivom.

Ponovo pokrećemo imenovani i provjeravamo njegov status

[root @ dns ~] # systemctl ponovno pokrenite named.service
[root @ dns ~] # systemctl status named.service

Ako dobijemo bilo kakvu grešku u izlazu posljednje naredbe, moramo ponovno pokrenuti named.service i provjerite svoj status. Ako su greške nestale, usluga se uspješno pokrenula. U suprotnom, moramo izvršiti temeljit pregled svih izmijenjenih i kreiranih datoteka i ponoviti postupak.

Ispravan izlaz statusa trebao bi biti:

[root @ dns ~] # systemctl status named.service
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivan: aktivan (trčanje) od ned 2017-01-29 10:05:32 EST; Prije 2 min i 57s Proces: 1777 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kod = izašao, status = 0 / USPJEH) Proces: 1788 ExecStart = / usr / sbin / named -u pod nazivom $ OPTIONS (code = exited, status = 0 / SUCCESS) = / bin / bash -c ako [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (kod = izašao, status = 1786 / USPJEH) Glavni PID: 0 (imenovan) CGroup: /system.slice/named.service └─1791 / usr / sbin / named -u named 1791. januara 29:10:05 dns named [32]: zona 1791.in-addr.arpa/IN: učitana serijska serija 1.0.0.127. januara 0:29:10 dns imenovana [05]: zona 32.in-addr.arpa/IN: učitana serijska 1791. januara 10.168.192 1:29:10 dns pod nazivom [05]: zone 32.ip1791.arpa/IN : učitana serijska 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 6. januara 0:29:10 dns imenovana [05]: zona desdelinux.fan/IN: učitana serijska 32. januara 1791 1:29:10 dns imenovana [05]: zona localhost.localdomain / IN: učitana serijska 32 1791. januara 0:29:10 dns imenovan [05]: zona localhost / IN: učitan serijski broj 32 1791. januara 0:29:10 dns imenovan [05]: sve zone su učitane
29. januara 10:05:32 dns imenovan [1791]: trčanje
29. januara 10:05:32 dns systemd [1]: Pokrenut je Berkeley Internet Name Domain (DNS). 29. januara 10:05:32 dns imenovan [1791]: zona 10.168.192.in-addr.arpa/IN: slanje obavještenja (serijski 1)

Čekovi

Provjere se mogu izvoditi na istom serveru ili na uređaju povezanom na LAN. Radije ih radimo iz tima sysadmin.fromlinux.fan kojoj smo dali izričito odobrenje za vršenje zonskih transfera. Fajl /etc/resolv.conf tog tima je sljedeći:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generirano pretraživanjem NetworkManager-a sa linux.fan nameserver 192.168.10.5

buzz @ sysadmin: ~ $ dig s linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 sa linux.fan. 10800 U NS dns.fromlinux.fan. from linux.fan. 10800 U MX 10 mail.fromlinux.fan. from linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 fileserver.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U 192.168.10.8 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 sysadmin.fromlinux.fan. 10800 U Do 192.168.10.1 sa linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Vrijeme upita: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Jan 29 11:44:18 EST 2017 ;; XFR veličina: 13 zapisa (poruke 1, bajtovi 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; globalne opcije: + cmd 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 U NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 U PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 U PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 U PTR fileserver.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 U PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 U PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 U PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 U PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 U PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; Vrijeme upita: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Jan 29 11:44:57 EST 2017 ;; XFR veličina: 11 zapisa (poruke 1, bajtovi 352)

buzz @ sysadmin: ~ $ dig IN SOA sa linux.fan
buzz @ sysadmin: ~ $ dig IN MX sa linux.fan buzz @ sysadmin: ~ $ dig IN TXT sa linux.fan
buzz @ sysadmin: ~ $ host dns
dns.fromlinux.fan ima adresu 192.168.10.5
buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan ima adresu 192.168.10.1 ... I sve ostale provjere koje su nam potrebne
  • Do sada imamo osnovu za DNS server u našoj MSP mreži. Nadamo se da vam se svidio čitav postupak, koji je bio prilično jednostavan, zar ne? 😉

Instaliramo i konfigurišemo DHCP

[root @ dns ~] # yum instalirati dhcp
Učitani dodaci: najbrže ogledalo, centos-base langpacks | 3.4 kB 00:00:00 centos-ažuriranja | 3.4 kB 00:00:00 Učitavanje brzina zrcala iz predmemorirane datoteke hosta Rješavanje ovisnosti -> Pokretanje testa transakcije ---> Paket dhcp.x86_64 12: 4.2.5-42.el7.centos mora biti instaliran -> Rješavanje ovisnosti raskinute riješene zavisnosti =============================================== =================================================== =================================== Arhitektura paketa Verzija spremišta Veličina =========== =================================================== ================================================== ====================== Instaliranje: dhcp x86_64 12: 4.2.5-42.el7.centos centos-base 511 k Sažetak transakcije ==== =================================================== =================================================== ============================ Instaliraj 1 paket Ukupna veličina preuzimanja: 511k Instalirana veličina: 1.4 M Je li ovo u redu [y / d / N]: y Preuzimanje paketa: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Pokretanje provjere transakcije Pokretanje testa transakcije Provjera transakcije uspjela Izvođenje transakcije Instaliranje: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Provjera: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Instalirano: dhcp.x86_64 12: 4.2.5-42.el7.centos Gotovo!

[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # Datoteka za konfiguraciju DHCP servera. # vidi /usr/share/doc/dhcp*/dhcpd.conf.example # vidi dhcpd.conf (5) man stranicu # ddns-update-style interim; ddns-ažuriranja na; ddns-ime domene "desdelinux.fan."; ddns-rev-ime domene "in-addr.arpa."; ignorirati ažuriranja klijenta; autoritativni; opcija isključenja ip-prosljeđivanja; ime domene "desdelinux.fan"; # opcija ntp-serveri 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; uključuju "/etc/dhcp.key"; zona sa linux.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } zona 10.168.192.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } zajednička mreža redlocal {podmreža 192.168.10.0 mrežna maska ​​255.255.255.0 {usmjerivači opcija 192.168.10.1; opcija podmreža-maska ​​255.255.255.0; opcija za emitovanje adrese 192.168.10.255; opcija domain-name-servers 192.168.10.5; opcija netbios-name-serveri 192.168.10.5; raspon 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

[root @ dns ~] # dhcpd -t
Konzorcij Internet sistema DHCP Server 4.2.5 Copyright 2004-2013 Konzorcij Internet sistema. Sva prava zadržana. Za informacije, posjetite https://www.isc.org/software/dhcp/ Ne traži LDAP jer ldap-server, ldap-port i ldap-base-dn nisu navedeni u konfiguracijskoj datoteci

[root @ dns ~] # systemctl omogući dhcpd
Kreirana je simbolična veza od /etc/systemd/system/multi-user.target.wants/dhcpd.service do /usr/lib/systemd/system/dhcpd.service.

[root @ dns ~] # systemctl start dhcpd

[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - Učitani demon DHCPv4 poslužitelja: učitan (/usr/lib/systemd/system/dhcpd.service; omogućeno; unaprijed postavljeno: dobavljač onemogućen) Aktivan: aktivan (pokrenut) od doma 2017-01-29 12:04:59 ITS T; Prije 23s Dokumenti: man: dhcpd (8) man: dhcpd.conf (5) Glavni PID: 2381 (dhcpd) Status: "Otpremanje paketa ..." Grupa: /system.slice/dhcpd.service └─2381 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid 29. januara 12:04:59 dns dhcpd [2381]: Internet Systems Consortium DHCP Server 4.2.5 29. januara 12 : 04: 59 dns dhcpd [2381]: Copyright 2004-2013 Internet Systems Consortium. 29. januara 12:04:59 dns dhcpd [2381]: Sva prava pridržana. 29. januara 12:04:59 dns dhcpd [2381]: Za informacije, posjetite https://www.isc.org/software/dhcp/ 29. januara 12:04:59 dns dhcpd [2381]: Ne traži LDAP od ldap -server, ldap-port i ldap-base-dn nisu navedeni u konfiguracijskoj datoteci 29. januara 12:04:59 dns dhcpd [2381]: Napisao je 0 zakupa u datoteku zakupa. 29. januara 12:04:59 dns dhcpd [2381]: Slušanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. januara 12:04:59 dns dhcpd [2381]: Slanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. januara 12:04:59 dns dhcpd [2381]: Slanje na Socket-u / rezervni / rezervni-mreža 29. januara 12:04:59 dns systemd [1]: Pokrenuto DHCPv4 poslužitelj Daemon.

Šta treba učiniti?

Jednostavno. Pokrenite Windows 7 ili drugi klijent sa besplatnim softverom i započnite testiranje i provjeru. Učinili smo to sa dva klijenta: seven.fromlinux.fan y suse-desktop.fromlinux.fan. Provjere su bile sljedeće:

buzz @ sysadmin: ~ $ host sedam
seven.fromlinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ host seven.fromlinux.fan
seven.fromlinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT seven.fromlinux.fan
.... ;; ODJELJAK ZA PITANJA:; seven.fromlinux.fan. IN TXT ;; ODJELJAK ODGOVORA: seven.desdelinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Preimenujemo tim "sedam" u "LAGER" i ponovo pokrećemo sistem. Nakon ponovnog pokretanja novog LAGER-a, provjeravamo:

buzz @ sysadmin: ~ $ host sedam
Nije pronađen domaćin sedam: 5 (ODBIJENO)

buzz @ sysadmin: ~ $ host seven.fromlinux.fan
Domaćin seven.desdelinux.fan nije pronađen: 3 (NXDOMAIN)

buzz@sysadmin: ~ $ host lager
lager.desdelinux.fan ima adresu 192.168.10.30

buzz@sysadmin: ~ $ host lager.fromlinux.fan
lager.desdelinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT lager.fromlinux.fan
.... ;; ODJELJAK ZA PITANJA :; lager.fromlinux.fan. IN TXT ;; ODJELJAK ODGOVORA: lager.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Što se tiče klijenta suse-desktop:

buzz @ sysadmin: ~ $ host suse-dektop
Domaćin suse-dektop nije pronađen: 5 (ODBIJENO)

buzz @ sysadmin: ~ $ host suse-desktop
suse-desktop.desdelinux.fan ima adresu 192.168.10.33

buzz @ sysadmin: ~ $ host suse-desktop.fromlinux.fan
suse-desktop.desdelinux.fan ima adresu 192.168.10.33

buzz @ sysadmin: ~ $ host 192.168.10.33
33.10.168.192.in-addr.arpa pokazivač imena domene suse-desktop.desdelinux.fan.

buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa pokazivač imena domene LAGER.desdelinux.fan.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33
.... ;; ODJELJAK ZA PITANJA:; 33.10.168.192.in-addr.arpa. IN PTR ;; ODJELJAK ODGOVORA: 33.10.168.192.in-addr.arpa. 3600 U PTR suse-desktop.fromlinux.fan. ;; ODJELJAK VLASTI: 10.168.192.in-addr.arpa. 10800 U NS dns.fromlinux.fan. ;; DODATNI ODJELJAK: dns.fromlinux.fan. 10800 U 192.168.10.5 ....

buzz @ sysadmin: ~ $ dig IN TXT suse-desktop.fromlinux.fan ....
; suse-desktop.desdelinux.fan. IN TXT ;; ODJELJAK ODGOVORA: suse-desktop.desdelinux.fan. 3600 U TXT "31b78d287769160c93e6dca472e9b46d73"

;; ODJELJAK VLASTI: desdelinux.fan. 10800 U NS dns.fromlinux.fan. ;; DODATNI ODJELJAK: dns.fromlinux.fan. 10800 U 192.168.10.5
....

Izvršimo i sljedeće naredbe

[root @ dns ~] # kopati sa linux.fan axfr
; << >> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 sa linux.fan. 10800 U NS dns.fromlinux.fan. from linux.fan. 10800 U MX 10 mail.fromlinux.fan. from linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 fileserver.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U LAGERU 192.168.10.8 LAGER.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"LAGER.fromlinux.fan.   3600 U 192.168.10.30 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 suse-desktop.fromlinux.fan. 3600 U TXT "31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.fan. 3600 U 192.168.10.33 sysadmin.fromlinux.fan. 10800 U Do 192.168.10.1 sa linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800

U gornjem izlazu istaknuli smo dalje podebljano u TTL -u sekundama za računare s IP adresama koje dodjeljuje DHCP usluga oni koji imaju eksplicitnu deklaraciju TTL 3600 koju daje DHCP. Fiksne IP adrese vode se prema $ TTL od 3H -3 sata = 10800 sekundi - deklarisanom u SOA zapisu svake datoteke zone.

Oni mogu na isti način provjeriti zonu obrnutog.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

Ostale izuzetno zanimljive naredbe su:

[root @ dns ~] # named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl
[root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl
[root @ dns ~] # journalctl -f

Ručna izmjena datoteka zona

Nakon što DHCP uđe u igru ​​dinamičkog ažuriranja datoteka zona na pod nazivomAko u bilo kojem trenutku trebamo ručno izmijeniti datoteku zone, moramo provesti sljedeći postupak, ali ne prije nego što saznamo malo više o radu uslužnog programa rndc za kontrolu poslužitelja imena.

[root @ dns ~] # man rndc
....
       zamrzavanje [zona [klasa [pogled]]]
           Obustavite ažuriranja u dinamičkoj zoni. Ako nije navedena zona, tada su sve zone suspendirane. To omogućava ručno uređivanje zone koja se obično ažurira dinamičkim ažuriranjem. Također uzrokuje da se promjene u datoteci dnevnika sinhroniziraju u glavnu datoteku. Svi pokušaji dinamičkog ažuriranja bit će odbijeni dok je zona zamrznuta.

       otapanje [zona [klasa [pogled]]]
           Omogućite ažuriranja zamrznute dinamičke zone. Ako nije navedena nijedna zona, tada su omogućene sve smrznute zone. To uzrokuje da server ponovo učita zonu s diska i ponovo omogućava dinamička ažuriranja nakon završetka učitavanja. Nakon odmrzavanja zone, dinamička ažuriranja više neće biti odbijena. Ako se zona promijenila i koristi se opcija ixfr-from-razlike, tada će se datoteka dnevnika ažurirati tako da odražava promjene u zoni. U suprotnom, ako se zona promijenila, uklonit će se sve postojeće datoteke dnevnika. ....

Šta, da li ste mislili da ću prepisati čitav priručnik? ... komad i oni idu automobilom. Ostalo ostavljam vama. 😉

U osnovi:

  • rndc zamrzavanje [zona [klasa [pogled]]], obustavlja dinamičko ažuriranje zone. Ako jedan nije naveden, svi će se zamrznuti. Komanda omogućava ručno uređivanje smrznute zone ili svih zona. Svako dinamičko ažuriranje bit će odbijeno dok je zamrznuto.
  • rndc taljenje [zona [klasa [pogled]]], omogućava dinamičko ažuriranje prethodno zamrznute zone. DNS server ponovo učitava zonsku datoteku s diska, a dinamička ažuriranja su ponovo omogućena nakon završetka ponovnog učitavanja.

Da li treba voditi računa kada ručno uređujemo datoteku zone? Isto kao da smo ga kreirali, ne zaboravljajući povećati serijski broj za 1 ili serijski prije spremanja datoteke s konačnim promjenama.

Primjer:

[root @ dns ~] # rndc zamrzavanje sa linux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
Datoteku zone modificiram iz bilo kojeg razloga, neophodnog ili ne. Sačuvam promjene

[root @ dns ~] # rndc odmrzavanje iz linux.fan
Započeto je ponovno učitavanje i otopljavanje zone. Provjerite zapisnike da biste vidjeli rezultat.

[root @ dns ~] # journalctl -f
29. januara 14:06:46 dns imenovan [2257]: zona odmrzavanja 'desdelinux.fan/IN': uspjeh
29. januara 14:06:46 dns imenovan [2257]: zona iz linux.fan/IN: zona serial (6) nepromijenjena. zona možda neće uspjeti prenijeti na robove.
29. januara 14:06:46 dns pod nazivom [2257]: zone desdelinux.fan/IN: učitan serijski 6

Greška u prethodnom izlazu, koja je na konzoli prikazana crvenom bojom, nastala je zbog činjenice da sam "zaboravio" povećati serijski broj za 1. Da sam pravilno slijedio postupak, izlaz bi bio:

[root @ dns ~] # journalctl -f
- Evidencije počinju u ned 2017-01-29 08:31:32 EST. - 29. januara 14:06:46 dns imenovan [2257]: zone desdelinux.fan/IN: učitan serijski 6. januara 29 14:10:01 dns systemd [1]: Započela sesija 43 korisničkog korijena. 29. januara 14:10:01 dns systemd [1]: Početak sesije 43 korisničkog korijena. 29. januara 14:10:01 dns CROND [2693]: (root) CMD (/ usr / lib64 / sa / sa1 1 1) 29. januara 14:10:45 dns imenovan [2257]: primljena je naredba kontrolnog kanala 'freeze from linux. fan '29. januara 14:10:45 dns imenovan [2257]: zona smrzavanja' desdelinux.fan/IN ': uspjeh 29. januara 14:10:58 dns imenovan [2257]: primljena je naredba kontrolnog kanala' thaw desdelinux.fan 'januar 29 14:10:58 dns imenom [2257]: zona odmrzavanja 'desdelinux.fan/IN': uspjeh 29. januara 14:10:58 dns imenom [2257]: zona desdelinux.fan/IN: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 29. januara 14:10:58 dns pod nazivom [2257]: zone desdelinux.fan/IN: učitan serijski 7
  • Čitatelji, ponavljam da morate pažljivo pročitati izlaze naredbi. Za nešto su njegovi programeri potrošili toliko rada programirajući svaku naredbu, bez obzira koliko je jednostavna.

Resumen

Do sada smo se bavili implementacijom para DNS - DHCP, važnim i ključnim uslugama za dobre performanse naše MSP mreže, pozivajući se na dodjeljivanje dinamičkih adresa putem DHCP-a i razlučivanje imena računara i domena putem DNS-a.

Ozbiljno se nadamo da ste uživali u cijelom postupku kao i mi. Iako se čini teže korištenjem konzole, puno je lakše i poučnije implementirati uslugu u UNIX® / Linux uz njenu pomoć.

Opraštaju mi ​​svako pogrešno tumačenje pojmova koji su mišljeni, stvoreni, napisani, revidirani, prepisani i objavljeni na jeziku Shakespearea, a ne Cervantesa. 😉

Sledeća isporuka

Mislim da je malo više isto - s teorijskim dodacima o DNS zapisima - ali u Debianu. Ne možemo zaboraviti tu distribuciju, zar ne?


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

15 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Cristian Merchan rekao je

    Hvala vam puno na vašem hvalevrijednom radu u pisanju ovako plodnih članaka. Bit će mi od velike koristi

  2.   federico rekao je

    I puno vam hvala, Cristian, što ste me pratili i na ocjeni ovog posta. Uspjesi!

  3.   Ismael Alvarez Wong rekao je

    Nakon što je Federico prvi put pogledao ovaj novi post, ponovo je primjetna velika profesionalnost viđena kroz seriju «PYMES»; pored sjajnih detalja koji ilustriraju vašu domenu na dvije najvažnije usluge (DNS i DHCP) bilo koje mreže. Ovom prilikom, za razliku od mojih prethodnih komentara, na čekanju mi ​​je drugi komentar nakon što sam primijenio u praksi ono što je navedeno u ovom postu.

  4.   crespo88 rekao je

    Nema komentara, pa '400 !!! Fico hvala ti jer dobro znaš da čitam tvoje postove i ne možemo tražiti više. Počinjete s vrlo dobrom organizacijom, od toga kako instalirati i postaviti osobnu radnu površinu korisnika, radna stanica je osnova, a to je smisao pripadnosti tim mrežnim uslugama koje vrlo dobro objašnjavate. Penjali ste se i iako je istina da se nivo povećava, istina je da ste pisali i objavljivali za one koji su manje od onih koji počinju, za one koji su već neko vrijeme poput mene i za najnaprednije.
    Vremenom sam došao do zaključka da znam da su mnogi već stigli, teorija, koja nas toliko košta stjecanja zbog jednostavne činjenice da ne želimo čitati, jer je izvršavanje već mnogo lakše kad znamo što radimo, zašto ???, pitanja, gdje pronaći i kako se izvući iz greške koja zadaje toliko glavobolje kad ni sami ne znamo odakle dolaze, vrijedne viška.
    Iz tog razloga ne bih želio da iza sebe ostavite teoretske elemente koje ćete o DNS zapisima uključiti u sljedeću publikaciju kao što ste najavili, a još manje kada je riječ o dragom i voljenom DEBIJANU.
    PUNO HVALA i čekamo.

  5.   dhunter rekao je

    Odličan kao i uvijek Fico! Čekam verziju Debiana, godinama se igram svega s tim distroom.

  6.   federico rekao je

    Wong: Vaše mišljenje nakon čitanja vrijedi mnogo. Čekam vaše komentare kada testirate sadržaj, jer znam da to volite raditi. 😉

  7.   federico rekao je

    Crespo: Kao i uvijek, vaši komentari su vrlo dobro primljeni. Vidim da ste shvatili opštu crtu koju sam naveo u sastavu ove serije. Nadam se da su, kao i vi, mnogi to već primijetili. Hvala na komentaru.

  8.   federico rekao je

    Dhunter: Drago mi je da vas ponovo čitam! Nećete morati dugo čekati. Najkasnije do ponedjeljka, ili prije toga, bit će gotov za objavljivanje. Nemojte misliti da mi je lako pokriti tri različita distro-a, ali Respectable Reader to traži. Ne samo Debian i Ubuntu, već i tri orijentirana na mala i srednja preduzeća.

  9.   crespo88 rekao je

    Ako ste objavili, to je zato što možete, podržavamo vas i znamo da ćete slijediti tu liniju.
    Kao lovac čekam na izdanje Debiana oštrih zuba. Bilo bi lijepo kada biste se malo pozabavili NTP-om. Sl2 i veliki zagrljaj. Da su me moji učitelji naučili svemu tome, HAHAJJA, platinasti stepen, HAHAJJA.

  10.   federico rekao je

    Razina detalja u izlazima naredbi je neophodna da bi se pokazala njegova važnost. Mnogo govore. Istina je da se malo članaka bavi ovom razinom detalja, jer misle da bi to bili dugački i teški članci za čitanje. Pa, dio SysAdminovog posla je čitati te teške i detaljne izlaze, ne samo pred problemom, već i pred provjerama.

  11.   Ismael Alvarez Wong rekao je

    Pozdrav Federico, već sam ranije obećao da ću napisati neke komentare nakon što sam pažljivo proučio dotični post; Pa, evo idu dalje:
    - Sjajna tehnika umjesto da umjesto generiranja TSIG ključa za dinamičko ažuriranje DNS-a DHCP-om, kopiranjem istog ključa rndc.key kao i dhcp.key, ovo naizgled "tako jednostavno" pokazuje da cilj nije samo tehnička specifičnost HOWTO-INSTALL-DNS - & - DHCP-a, ali nas uči da razmišljamo, 5 ZVIJEZDA ZA AUTORA.
    - Vrlo zanimljivo u DNS konfiguracijskoj datoteci, named.conf, prisustvo linije «allow-transfer {localhost; 192.168.10.1; }; » za testiranje domene «desdelinux.fan» samo s radne stanice SysAdmin i lokalnog hosta (samog DNS poslužitelja), a također umetnite TSIG ključ za ažuriranje DNS-a s DHCP-a.
    - Vrlo dobro stvaranje direktne i inverzne zone DNS-a zajedno s "detaljnim" objašnjenjem njihovih vrsta zapisa, uz izvršavanje naredbe "# named-checkconf -zp" za provjeru sve sintakse imenovanog prije njenog hard reset, kao i primjeri izvođenja naredbe "dig" za provjeru različitih vrsta DNS zapisa.
    . U DHCP konfiguraciji (pomoću datoteke /etc/dhcp/dhcpd.conf):
    - Kako dodati našu lokalnu mrežu sa njenim opsegom za dodjeljivanje dinamičkih IP adresa, definicijom poslužitelja imena itd .; kao i kako reći DHCP-u da ažurira DNS zapise koristeći linije "ddns- ..." u njegovoj konfiguraciji.
    . Kada je sve već operativno, 5 ZVIJEZDA ZA AUTORA, u izvršavanju naredbe "# dig desdelinux.fan axfr" za provjeru TTL-a računara u LAN-u koji imaju statički IP od onih kojima je dodijeljena dinamička IP.
    . Konačno, SJAJNO, ručna izmjena datoteka zona tako što ih je prvo zamrznula sa "# rndc freeze desdelinux.fan", zatim izvršila izmjenu i konačno odmrznula s "# rndc thaw desdelinux.fan"
    . I NAJBOLJE, SVE JE RADJENO SA TERMINALA.
    Nastavi tako, Fico.

    1.    radost rekao je

      Zdravo,
      Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het can dat alles gedeeld en verwijderd wordt op myjn computer zelfs myjn foto's. Ik heb totaal geen control meer over myjn eigen computer na mobiel.
      Het zit m dus ook in het dns in dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien je tražio da mi pomogne? Dit is namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.

  12.   federico rekao je

    Wong: vaš komentar dopunjuje članak. Ozbiljno, pokazuje da ste ga temeljito proučili. U suprotnom, ne biste mogli komentirati s razinom detalja koje radite. Samo dodaj to dopusti-transfer Koristi se uglavnom za one kada imamo DNS slave i dozvoljavamo prijenos zona s glavnog na njega. Koristim ga na taj način jer je to jednostavan mehanizam za vršenje neopasnih provjera s jednog računara. Puno vam hvala na ocjeni 5. Pozdravi! i nastavit ću vas čekati u svojim sljedećim člancima.

  13.   IgnacioM rekao je

    Pozdrav Federico. Znam da malo kasnim, ali volio bih vas pitati nešto.
    Hoće li mi ovaj postupak pomoći ako želim usmjeriti domenu na svoj vps server?

    Svakih 15 minuta primam ove sistemske poruke:

    DHCPREQUEST na eth0 do porta 67 (xid =…)
    DHCPACK od (xid =…)
    vezano za - obnavljanje za 970 sekundi.

    I prema onome što razumijem, trebao bih stvoriti zapis A sa svojom domenom i ip-om svog namjenskog servera.

    * Čestitam i zahvaljujem vam na ovom članku, ne znam je li to ono što sam tražio, ali smatrao sam ga vrlo zanimljivim i dobro objašnjenim. Uz to, prihvaćam preporuku "DNS i BIND" da sam već pomalo ogovarao i čini mi se vrlo zanimljivom.

    Pozdrav iz Argentine!

    1.    antonio valdes toujague rekao je

      molim vas kontaktirajte me putem valdestoujague@yandex.com