DNS i DHCP u Debianu 8 "Jessie" - SMB mreže

Opšti indeks serije: Računarske mreže za mala i srednja preduzeća: Uvod

Pozdrav prijatelji! Nakon prethodnih nekoliko članaka o Domain Name System y el Protokol dinamičkog konfigurisanja domaćina objavljeno u «DNS i DHCP u openSUSE 13.2 'Harlekin'"i"DNS i DHCP na CentOS 7«, Oboje iz serije MSP mreže, te usluge moramo konfigurirati u Debianu.

Ponavljamo da je Wikipedia dobra polazna osnova za učenje o teorijskim konceptima DNS-a i DHCP-a.

Instaliranje operativnog sistema

Krenut ćemo od osnovne instalacije poslužitelja s operativnim sustavom Debian 8 "Jessie" bez instaliranja bilo kakvog grafičkog okruženja ili drugog programa. Virtualna mašina sa 512 megabajta RAM-a i čvrstim diskom od 20 gigabajta više je nego dovoljna.

Tijekom postupka instalacije - u tekstualnom načinu, poželjno - i slijedeći redoslijed ekrana, odabrali smo sljedeće parametre:

  • Jezik: Španski - španski
  • Država, teritorija ili područje: USA
  • Mapa tipki za korištenje: Američki engleski
  • Konfigurirajte mrežu ručno:
    • IP adresa: 192.168.10.5
    • Mrežna maska: 255.255.255.0
    • Gateway: 192.168.10.1
    • Adrese poslužitelja imena: 127.0.0.1
    • Naziv mašine: dns
    • Ime domene: desdelinux.fan
  • Lozinka super korisnika: Vaša lozinka (zatim zatražite potvrdu)
  • Puno ime novog korisnika: Debian First OS Buzz
  • Korisničko ime za račun: zujanje
  • Odaberite lozinku za novog korisnika: Vaša lozinka (zatim zatražite potvrdu)
  • Odaberite svoju vremensku zonu: Istok
  • Metoda particioniranja: Vođeno - koristite cijeli disk
    • Odaberite disk za particiju: Virtualni disk 1 (vda) - 21.5 GB Virto Block Device
    • Shema particioniranja: Sve datoteke na jednoj particiji (preporučuje se za početnike).
    • Završite particioniranje i zapišite promjene na disk
    • Želite li zapisati promjene na diskove?
  • Želite li analizirati još jedan CD ili DVD?:
  • Želite li koristiti kopijud?:
  • Želite li položiti anketu o upotrebi paketa?:
  • Odaberite programe za instaliranje:
    [] Debian okruženje radne površine
    [*] Standardni uslužni programi sistema
  • Želite li instalirati GRUB pokretački program za pokretanje u glavni zapis o pokretanju?
    • / dev / vda
  • "Instalacija završena":

Po mom skromnom mišljenju, instalacija Debiana je jednostavna. Potrebno je samo odgovoriti na pitanja unaprijed definiranih opcija i neke druge informacije. Čak se usuđujem reći da je lakše slijediti prethodne korake nego na primjer putem videa. Kad čitam, ne gubim koncentraciju. Drugo je pitanje gledanja, čitanja, tumačenja i davanja videozapisa naprijed-nazad, kada izgubim ili ne razumijem dobro neko važno značenje. Rukopisni list ili obična tekstualna datoteka kopirana na mobitel savršeno će poslužiti kao efikasan vodič.

Početna podešavanja

Nakon završetka osnovne instalacije i prvog ponovnog pokretanja, nastavljamo s proglašenjem programskih spremišta.

Prilikom uređivanja datoteke izvori.list, prema zadanim postavkama komentiramo sve postojeće unose jer ćemo raditi samo s lokalnim spremištima. Konačni sadržaj datoteke - izuzev komentiranih redaka - bio bi:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie glavni doprinos deb http://192.168.10.1/repos/jessie/debian-security/ jessie / ažurira glavni doprinos

Ažuriramo sistem

root @ dns: ~ # ažuriranje sposobnosti
root @ dns: ~ # nadogradnja sposobnosti
root @ dns: ~ # ponovno pokretanje

Instaliramo SSH za daljinski pristup

root @ dns: ~ # aptitude instaliraj ssh

Omogućiti korisniku pokretanje udaljene sesije putem SSH-a korijen -Samo iz Enterprise LAN-a- mijenjamo njegovu konfiguracijsku datoteku:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin da ....

root @ dns: ~ # systemctl ponovo pokrenite ssh.service
root @ dns: ~ # systemctl status ssh.service

Pokrećemo udaljenu sesiju putem SSH-a u «dns» sa mašine «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... lozinka root@192.168.10.5: ... root @ dns: ~ #

Glavne konfiguracijske datoteke

Glavne datoteke konfiguracije sistema bit će prema našim odabirima tijekom instalacije:

root @ dns: ~ # mačka / etc / hosts
127.0.0.1 localhost 192.168.10.5 dns.desdelinux.fan dns # Sljedeći redovi su poželjni za hostove koji podržavaju IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
pretražite sa linux.fan nameserver 127.0.0.1

root @ dns: ~ # ime hosta
dns

root @ dns: ~ # ime hosta -f
dns.fromlinux.fan

root @ dns: ~ # cat / etc / network / sučelja
# Ova datoteka opisuje mrežna sučelja dostupna na vašem sistemu # i kako ih aktivirati. Za više informacija pogledajte sučelja (5). izvor /etc/network/interfaces.d/* # Mrežni interfejs povratne petlje automatski lo iface lo inet loopback # Primarni mrežni interfejs dopušta-hotplug eth0 iface eth0 inet statička adresa 192.168.10.5 netmask 255.255.255.0 mreža 192.168.10.0 emitiranje 192.168.10.255. 192.168.10.1 gateway 127.0.0.1 # dns- * opcije su implementirane paketom resolvconf, ako su instalirani dns-nameservers XNUMX dns-search from linux.fan

Instaliramo super iskustvene pakete

root @ dns: ~ # aptitude instaliraj htop mc deborphan

Čišćenje preuzetih paketa, ako ih ima

root @ dns: ~ # aptitude install -f root @ dns: ~ # aptitude purge ~ c root @ dns: ~ # aptitude clean root @ dns: ~ # aptitude autoclean

Instaliramo BIND9

  • PRIJE instaliranja BIND-a toplo preporučujemo posjetite stranicu DNS tipovi zapisa na Wikipediji, i u španskoj i u engleskoj verziji. Ove vrste registara ćemo koristiti u konfiguraciji datoteka Zones, i Direct i Reverse. Vrlo je edukativno znati s čim imamo posla.
  • Takođe predlažemo pročitajte sledeće Zahtjev za komentarom RFC - Zahtjevi za komentare, koji su usko povezani sa zdravim funkcionisanjem DNS usluge, posebno u pogledu povratka na korijenske servere:
    • RFC-ovi 1912, 5735, 6303 i BCP 32: koji se odnose na localhost
    • RFC 1912, 6303: Zona stila za IPv6 adresu lokalnog hosta
    • RFC-ovi 1912, 5735 i 6303: Odnos prema lokalnoj mreži - «Ova» mreža
    • RFC-ovi 1918, 5735 i 6303: Mreže za privatnu upotrebu
    • RFC 6598: Prostor zajedničke adrese
    • RFC-ovi 3927, 5735 i 6303: Link-local / APIPA
    • RFC 5735 i 5736: Zadaci protokola Radne grupe za internetski inženjering
    • RFC-ovi 5735, 5737 i 6303: TEST-NET- [1-3] za dokumentaciju
    • RFC 3849 i 6303: Primjer raspona za dokumentaciju IPv6
    • BCP 32: Imena domena za dokumentaciju i testiranje
    • RFC 2544 i 5735: Ispitivanje mjerila usmjerivača
    • RFC 5735: IANA rezervisana - Prostor stare klase E
    • RFC 4291: Neraspoređene adrese IPv6
    • RFC 4193 i 6303: IPv6 ULA
    • RFC-ovi 4291 i 6303: Lokalni IPv6 link
    • RFC-ovi 3879 i 6303: IPv6 zastarjele lokalne adrese
    • RFC 4159: IP6.INT je zastario

Instalacija

root @ dns: ~ # aptitude search bind9
p bind9 - Poslužitelj imena internetske domene p bind9-doc - Dokumentacija za BIND i bind9-host - Verzija 'domaćina' u paketu s BIND 9.X p bind9utils - Uslužni programi za BIND p gforge-dns-bind9 - alat za zajednički razvoj - DNS upravljanje (pomoću Bind9) i A libbind9-90 - BIND9 zajednička biblioteka koju koristi BIND

Pokušajte i trčati traženje sposobnosti ~ dbind9

root @ dns: ~ # aptitude install bind9

root @ dns: ~ # systemctl ponovo pokrenite bind9.service

root @ dns: ~ # systemctl status bind9.service
● bind9.service - BIND poslužitelj imena domene učitan: učitan (/lib/systemd/system/bind9.service; omogućeno) Ubacivanje: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   Aktivno: aktivno (aktivno) od pet 2017-02-03 10:33:11 EST; Prije 1s Dokumenti: čovjek: imenovan (8) Proces: 1460 ExecStop = / usr / sbin / rndc stop (kod = izašao, status = 0 / USPJEH) Glavni PID: 1465 (imenovan) CGroup: /system.slice/bind9.service └─1465 / usr / sbin / named -f -u bind 03. februar 10:33:11 dns imenovan [1465]: automatski prazna zona: 8.BD0.1.0.0.2.IP6.ARPA 03. 10:33:11 dns named [1465]: preslušavanje naredbenog kanala na 127.0.0.1 # 953 03. 10:33:11 dns named [1465]: preslušavanje naredbenog kanala :: 1 # 953 03. 10:33:11 dns named [1465]: upravljano -keys-zone: učitana serijska 2. februara 03 10:33:11 dns imenovana [1465]: zona 0.in-addr.arpa/IN: učitana serijska 1. februara 03 10:33:11 dns imenovana [1465]: zona localhost / IN: učitan serijski 2. februara 03 10:33:11 dns imenovan [1465]: zona 127.in-addr.arpa/IN: učitan serijski 1. februara 03 10:33:11 dns imenovan [1465]: zona 255.in -addr.arpa/IN: učitan serijski 1. februara 03 10:33:11 dns imenovan [1465]: sve zone učitane 03. februara 10:33:11 dns imenovan [1465]: trčanje Savjet: Neke linije su elipsirane, koristite -l prikazati u cijelosti.

Datoteke za konfiguraciju koje je instalirao BIND9

Na malo drugačiji način od konfiguracije DNS usluge u CentOS-u i openSUSE-u, u Debianu se u direktoriju kreiraju sljedeće datoteke / etc / bind:

root @ dns: ~ # ls -l / etc / bind /
ukupno 52 -rw-r - r-- 1 root root 2389 30. juna 2015. bind.keys -rw-r - r-- 1 root root 237 30. juna 2015. db.0 -rw-r - r-- 1 root root 271 30. juna 2015. db.127 -rw-r - r-- 1 root root 237 30. juna 2015. db.255 -rw-r - r-- 1 root root 353 30. juna 2015. db.empty -rw- r - r-- 1 root root 270 30. juna 2015. db.local -rw-r - r-- 1 root root 3048 30. juna 2015. db.root -rw-r - r-- 1 root bind 463 30. jun 2015 named.conf -rw-r - r-- 1 root bind 490 30. juni 2015. named.conf.default-zone -rw-r - r-- 1 root bind 165 30. jun 2015 named.conf.local -rw -r - r-- 1 root bind 890 3. februara 10:32 named.conf.options -rw-r ----- 1 bind bind 77 3. februara 10:32 rndc.key -rw-r - r- - 1 root root 1317 30. lipnja 2015. zone.rfc1918

Sve gornje datoteke su u običnom tekstu. Ako želimo znati značenje i sadržaj svakog od njih, to možemo učiniti pomoću naredbi manje o mačka, što je dobra praksa.

Prateća dokumentacija

U adresaru / usr / share / doc / bind9 imat ćemo:

root @ dns: ~ # ls -l / usr / share / doc / bind9
ukupno 56 -rw-r - r-- 1 root root 5927 30. juna 2015. autorska prava -rw-r - r-- 1 root root 19428 30 2015. juna 1. changelog.Debian.gz -rw-r - r-- 11790 root root 27 2014. januara 1. FAQ.gz -rw-r - r-- 396 root root 30 2015. juna 1. NEWS.Debian.gz -rw-r - r-- 3362 root root 30 2015. juna 1. README.Debian. gz -rw-r - r-- 5840 root root 27 2014. januara XNUMX. README.gz

U prethodnoj dokumentaciji pronaći ćemo obilni materijal za proučavanje koji preporučujemo čitanje PRIJE konfiguriranja BIND-a, pa čak i PRIJE pretraživanja članaka povezanih s BIND-om i DNS-om na Internetu.. Pročitat ćemo sadržaj nekih od tih datoteka:

Pitanja i odgovori o Fčesto Asked Qpitanja o BIND-u 9

  1. Pitanja o kompilaciji i instalaciji - Pitanja o kompilaciji i instalaciji
  2. Pitanja o konfiguraciji i postavljanju - Pitanja o konfiguraciji i podešavanju
  3. Operativna pitanja - Pitanja o operaciji
  4. Opšta pitanja - Opšte upite
  5. Pitanja specifična za operativni sistem - Specifična pitanja o svakom operativnom sistemu
    1. HPUX
    2. Linux
    3. Windows
    4. FreeBSD
    5. Solaris
    6. Apple Mac OS X

VIJESTI.Debian.gz

VIJESTI.Debian ukratko nam govori da su parametri dozvoli-upit-cache y dopusti-rekurzija omogućene su prema zadanim postavkama za ACL ugrađene u BIND -ugrađen- 'localnets'Y'localhost'. Također nas obavještava da su zadane promjene izvršene kako bi poslužitelji predmemorije učinili manje privlačnim za napad od strane Spoofing sa vanjskih mreža.

Da biste provjerili šta je napisano u prethodnom pasusu, ako je riječ o računaru na samoj mreži 192.168.10.0 / 24 koji je jedan u našem primjeru, upućujemo DNS zahtjev na domenu s linux.net, a istovremeno i na samom serveru dns.fromlinux.fan izvršavamo tail -f / var / log / syslog dobit ćemo sljedeće:

buzz @ sysadmin: ~ $ dig localhost
.... ;; OPT PSEUDOSECTION :; EDNS: verzija: 0, zastavice:; udp: 4096 ;; ODJELJAK ZA PITANJA:; localhost. U ;; ODJELJAK ODGOVORA: localhost. 604800 U 127.0.0.1 ;; ODJELJAK VLASTI: localhost. 604800 U NS localhost. ;; DODATNI ODJELJAK: localhost. 604800 U AAAA :: 1

buzz @ sysadmin: ~ $ dig s linux.net
....
;; OPT PSEUDOSECTION :; EDNS: verzija: 0, zastavice:; udp: 4096 ;; ODJELJAK SA PITANJIMA ;; desdelinux.net. U
....
root @ dns: ~ # tail -f / var / log / syslog ....
4. februara 13:04:31 dns imenovan [1602]: greška (mreža nedostupna) pri rješavanju 'desdelinux.net/A/IN': 2001: 7fd :: 1 # 53 4. februara 13:04:31 dns imenovana [1602]: greška (mreža nedostupna) u rješavanju 'desdelinux.net/A/IN': 2001: 503: c27 :: 2: 30 # 53
....

Izlaz od syslog mnogo je duži zbog pretraživanja korijenskih poslužitelja od strane BIND-a. Naravno fajl /etc/resolv.conf u timu sysadmin.fromlinux.fan ukazuje na DNS 192.168.10.5.

Iz izvršavanja prethodnih naredbi možemo izvući nekoliko zaključaka apriorno:

  • BIND je prema zadanim postavkama konfiguriran kao funkcionalni poslužitelj predmemorije bez potrebe za naknadnim konfiguracijama i odgovara na DNS upite za localnets y el localhost
  • Rekurzija - Recursion je omogućen za localnets y el localhost
  • Još nije autoritarni server
  • Za razliku od CentOS-a, gdje smo morali deklarirati parametar «Slušani port 53 {127.0.0.1; 192.168.10.5; }; » izričito slušati DNS zahtjeve preko mrežnog sučelja 192.168.10.5 DNS sam po sebi, u Debianu to nije potrebno jer podržava DNS zahtjeve za localnets y el localhost default. Pregledajte sadržaj datoteke /etc/bind/named.conf.options i vidjet će da nema izjave slušajte.
  • Upiti IPv4 i IPv6 su omogućeni

Ako samo čitanjem i tumačenjem - kositra kako kažemo na Kubi - arhive VIJESTI.Debian.gz Došli smo do zanimljivih zaključaka koji nam omogućavaju da saznamo malo više o zadanoj filozofiji konfiguracije tima Debian s obzirom na BIND. Koje druge zanimljive aspekte možemo znati iz nastavka čitanja datoteka Prateće dokumentacije?.

README.Debian.gz

README.Debian obavještava nas - među mnogim drugim aspektima - da su sigurnosna proširenja za sistem imena domena - Proširenja sigurnosti sistema imena domena o DNSSEC, su omogućeni; i potvrđuje da zadana konfiguracija radi za većinu servera (listopadni serveri - leaf serveri pozivajući se na lišće stabla domene) bez potrebe za intervencijom korisnika.

  • DNSSEC prema Wikipediji: Proširenja sigurnosti sistema imena domena (DNSSEC) skup je specifikacija Radne grupe za internetski inženjering (IETF) za osiguravanje određenih vrsta informacija koje pruža sistem imena ime domene (DNS) koje se koristi u Internet protokolu (IP). To je skup proširenja za DNS koji pružaju DNS klijentima (ili razrješivačima) autentifikaciju DNS izvora podataka, autentično poricanje postojanja i integriteta podataka, ali ne i dostupnost ili povjerljivost.

O tome Shema konfiguracije govori nam da su sve datoteke statičke konfiguracije, datoteke zona za korijenske poslužitelje te prosljeđena i obrnuta zona localhost oni su unutra / etc / bind.

Demon's Working Directory pod nazivom es / var / cache / bind tako da bilo koja privremena datoteka koju generira pod nazivom kao što su baze podataka za koje on djeluje kao slave server, zapisane su u sistem datoteka / var, kojem i pripadaju.

Za razliku od prethodnih verzija BIND paketa za Debian, datoteka named.conf i db. * isporučene, označene su kao konfiguracijske datoteke. Na takav način da, ako nam treba DNS poslužitelj koji djeluje uglavnom kao predmemorija i koji nije mjerodavan ni za koga drugog, možemo ga koristiti onako kako je instaliran i konfiguriran prema zadanim postavkama.

Ako trebate implementirati autoritativni DNS, oni predlažu da datoteke Glavnih zona stavite u isti direktorij / etc / bind. Ako je složenost područja za koja je pod nazivom bit će mjerodavan, preporuča se stvoriti strukturu poddirektorijuma, pozivajući se na zone datoteke apsolutno u datoteci named.conf.

Bilo koja datoteka zone za koju. pod nazivom ponašati se kao Slave Server mora biti smješten u / var / cache / bind.

Zonske datoteke koje podliježu dinamičkim ažuriranjima DHCP-om ili naredbom nsupdate, treba čuvati u / var / lib / bind.

Ako operativni sistem koristi apparmor, instalirani profil radi samo sa zadanim postavkama BIND. Naknadne promjene u konfiguraciji pod nazivom Možda će im trebati promjene u profilu aplikacije. Posjetio https://wiki.ubuntu.com/DebuggingApparmor pre popunjavanja obrasca koji optužuje a buba u toj službi.

Postoji nekoliko problema povezanih s pokretanjem Debiana BIND u Chroot kavezu - chroot zatvor. Posetite http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html za više informacija.

Ostale informacije

čovjek imenovan, čovjek imenovan.conf, čovjek imenovan-checkconf, čovjek imenovan-checkzone, čovjek rndc, i tako dalje

root @ dns: ~ # s imenom -v
BIND 9.9.5-9 + deb8u1-Debian (proširena verzija podrške)

root @ dns: ~ # s imenom -V
BIND 9.9.5-9 + deb8u1-Debian (proširena verzija podrške) sagradio make pomoću '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' --enable-niti '' --enable-largefile '\' --with-libtool '' --enable-shared '' --enable-static '\' --with-openssl = / usr '' --with-gssapi = / usr '' --with-gnu-ld '\' --with-geoip = / usr '' --with-atf = no '' --enable-ipv9 '' --enable-rrl '\' --enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'sastavio GCC 50 koristeći OpenSSL verziju : OpenSSL 6k, 2. januara 4.9.2. godine, koristeći libxml1.0.1 verziju: 8

root @ dns: ~ # ps -e | grep imenovan
  408? 00:00:00 imenovan

root @ dns: ~ # ps -e | grep bind
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
named.pid session.key  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-rw-r - r-- 1 bind bind 4. februar 4. 13:20 /var/run/named/named.pid

root @ dns: ~ # rndc status
verzija: 9.9.5-9 + deb8u1-Debian Pronađeni CPU: 9 radna nit: 8 UDP slušalac po interfejsu: 50 broj zona: 1 nivo otklanjanja grešaka: 1 xfers pokrenuti: 1 xfers odgođeni: 100 soa upita u toku: 0 prijavljivanje upita je ISKLJUČENO rekurzivni klijenti: 0/0/0 tcp klijenti: server 0/0 je pokrenut i pokrenut
  • Važnost pregleda dokumentacije instalirane s paketom BIND9 je neosporna. prije bilo koje druge.

bind9-doc

root @ dns: ~ # aptitude instaliraj bind9-doc links2
root @ dns: ~ # dpkg -L bind9-doc

Paket bind9-doc instalira, između ostalih korisnih informacija, referentni priručnik za administratore BIND 9. Za pristup priručniku na engleskom jeziku izvršavamo:

root @ dns: ~ # links2 file: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
Referentni priručnik za administratore BIND 9 Autorska prava (c) 2004-2013 Internet Systems Consortium, Inc. ("ISC") Autorska prava (c) 2000-2003 Internet Software Consortium.

Nadamo se da ćete uživati ​​u čitanju.

  • Ne napuštajući dom, pri ruci nam je obilna službena dokumentacija o BIND-u i o DNS usluzi uopšte.

Konfiguriramo BIND u Debian stilu

/etc/bind/named.conf "glavni"

root @ dns: ~ # nano /etc/bind/named.conf
// Ovo je primarna konfiguracijska datoteka za imenovani BIND DNS poslužitelj.
//
// Molimo pročitajte /usr/share/doc/bind9/README.Debian.gz za informacije o
// struktura BIND konfiguracijskih datoteka u Debianu, * PRIJE * što prilagodite
// ova konfiguracijska datoteka.
//
// Ako samo dodajete zone, učinite to u /etc/bind/named.conf.local

uključuju "/etc/bind/named.conf.options";
uključuju "/etc/bind/named.conf.local";
uključuju "/etc/bind/named.conf.default-zones";

Da li komentirani naslov zahtijeva prijevod?

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
opcije {direktorij "/ var / cache / bind"; // Ako postoji zaštitni zid između vas i poslužitelja imena s kojima želite // razgovarati, možda ćete trebati popraviti zaštitni zid da omogući više // portova da razgovaraju. Pogledajte http://www.kb.cert.org/vuls/id/800113 // Ako je vaš ISP pružio jednu ili više IP adresa za stabilne // servere imena, vjerojatno ih želite koristiti kao prosljeđivače. // Otkomentirajte sljedeći blok i umetnite adrese koje zamjenjuju // rezervirano mjesto all-0. // prosljeđivači {// 0.0.0.0; //}; // ================================================= ===================== $ $ Ako BIND evidentira poruke o greškama o matičnom ključu koji je istekao, // trebat ćete ažurirati svoje ključeve. Pogledajte https://www.isc.org/bind-keys // =================================== =================================== $

    // Ne želimo DNSSEC
        dnssec-enable no;
        //dnssec-validacija automatski;

        auth-nxdomain br; # u skladu s RFC1035

 // Ne trebamo slušati IPv6 adrese
        // preslušavanje na v6 {bilo; };
    Listen-on-v6 {none; };

 // Za provjere od localhost i sysadmin
    // kroz dig desdelinux.fan axfr // Nemamo slave DNS ... do sada
 allow-transfer {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

U komentarirano zaglavlje ove datoteke preporučuju uključivanje zona naznačenih u RFC-1918 opisano u datoteci /etc/bind/zones.rfc1918. Lokalno uključivanje ovih zona omogućava da bilo koji upit u vezi s njima ne ostavlja lokalnu mrežu prema korijenskim serverima, što ima dvije značajne prednosti:

  • Brža lokalna rezolucija za lokalne korisnike
  • Ne stvara nepotreban - ili lažan - promet na korijenskim serverima.

Lično nemam internetsku vezu za testiranje rekurzije ili prosljeđivanja. Međutim, i kako nismo poništili rekurziju u datoteci named.conf.options -rekurzijom ne; - možemo uključiti gore navedena područja i druga područja koja objašnjavam u nastavku.

Kada instalirate BIND 9.9.7 na operativni sistem FreeBSD 10.0, koji je ujedno i besplatni softver, konfiguracionu datoteku /usr/local/etc/namedb/named.conf.sample Sadrži čitav niz zona koje preporučuju lokalno služenje da bi se također stekle gore spomenute prednosti.

Da ne bismo promijenili izvornu BIND konfiguraciju u Debianu, predlažemo stvaranje datoteke /etc/bind/zones.rfcFreeBSD i uključite ga u /etc/bind/named.conf.local sa sadržajem naznačenim u nastavku i sa stazama - staze na datoteke koje su već prilagođene Debianu:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// Prostor zajedničke adrese (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 i 6303)
zona "254.169.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; };

// Zadaci IETF protokola (RFCs 5735 i 5736)
zona "0.0.192.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; };

// TEST-NET- [1-3] za dokumentaciju (RFCs 5735, 5737 i 6303)
zona "2.0.192.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "113.0.203.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; };

// Primjer raspona IPv6 za dokumentaciju (RFCs 3849 i 6303)
zona "8.bd0.1.0.0.2.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; };

// Imena domena za dokumentaciju i testiranje (BCP 32)
zona "test" {type master; datoteka "/etc/bind/db.empty"; }; zona "primjer" {tip master; datoteka "/etc/bind/db.empty"; }; zona "nevaljano" {master master; datoteka "/etc/bind/db.empty"; }; zona "example.com" {tip master; datoteka "/etc/bind/db.empty"; }; zona "example.net" {tip master; datoteka "/etc/bind/db.empty"; }; zona "example.org" {tip master; datoteka "/etc/bind/db.empty"; };

// Ispitivanje mjerila usmjerivača (RFCs 2544 i 5735)
zona "18.198.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; };

// IANA rezervirana - Prostor stare klase E (RFC 5735)
zona "240.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "242.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "243.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "244.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "245.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "246.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "247.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "248.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "249.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "250.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "251.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "252.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "253.in-addr.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "254.in-addr.arpa" {tip master; datoteka "/etc/bind/db.empty"; };

// Neraspoređene IPv6 adrese (RFC 4291)
zona "1.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "4.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "5.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "6.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "7.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "8.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "9.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "a.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "b.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "c.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "d.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "e.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "0.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "1.f.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "2.f.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "3.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "4.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "5.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "6.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "7.f.ip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "8.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "9.f.ip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "afip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "bfip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "0.efip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "1.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "2.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "3.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "4.efip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "5.efip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "6.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "7.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 i 6303)
zona "cfip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "dfip6.arpa" {master; datoteka "/etc/bind/db.empty"; };

// Lokalni IPv6 link (RFCs 4291 i 6303)
zona "8.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "aefip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "befip6.arpa" {master; datoteka "/etc/bind/db.empty"; };

// IPv6 zastarjele lokalne adrese (RFCs 3879 i 6303)
zona "cefip6.arpa" {tip master; datoteka "/etc/bind/db.empty"; }; zona "defip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "eefip6.arpa" {master; datoteka "/etc/bind/db.empty"; }; zona "fefip6.arpa" {master; datoteka "/etc/bind/db.empty"; };

// IP6.INT je zastario (RFC 4159)
zona "ip6.int" {tip master; datoteka "/etc/bind/db.empty"; };

Iako smo u našem primjeru eliminirali mogućnost preslušavanja IPv6 zahtjeva, vrijedi uključiti IPv6 zone u prethodnu datoteku onima koji ih trebaju.

Konačni sadržaj /etc/bind/named.conf.local je:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Napravite bilo koju lokalnu konfiguraciju // // Razmislite da ovdje dodate 1918 zona, ako se ne koriste u vašoj // organizaciji
uključuju "/etc/bind/zones.rfc1918"; uključuju "/etc/bind/zones.rfcFreeBSD";

// Izjava o imenu, tipu, lokaciji i dozvoli za ažuriranje
// zona DNS zapisa // Obje zone su GOSPODARSKE
zona "desdelinux.fan" {
 tip master;
 datoteka "/var/lib/bind/db.desdelinux.fan";
};

zona "10.168.192.in-addr.arpa" {
 tip master;
 datoteka "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

Datoteke kreiramo za svaku zonu

Sadržaj datoteka u svakom području može se doslovno kopirati iz članka «DNS i DHCP na CentOS 7«, Sve dok budemo pažljivi da promijenimo odredišni direktorij u / var / lib / bind:

[root @ dns ~] # nano /var/lib/bind/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, vaš blog posvećen besplatnom softveru"; sysadmin U A 192.168.10.1 ad-dc U A 192.168.10.3 poslužitelj datoteka U A 192.168.10.4 dns U A 192.168.10.5 proxyweb U A 192.168.10.6 blog U A 192.168.10.7 ftpserver U A 192.168.10.8 mail IN A 192.168.10.9

[root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. ; 1 U PTR sysadmin.fromlinux.fan. 3 U PTR ad-dc.fromlinux.fan. 4 U PTR fileserver.fromlinux.fan. 5 U PTR dns.fromlinux.fan. 6 U PTR proxyweb.desdelinux.fan. 7 U PTR blog.desdelinux.fan. 8 U PTR ftpserver.fromlinux.fan. 9 U PTR mail.fromlinux.fan.

Provjeravamo sintaksu svake zone

root @ dns: ~ # named-checkzone iz linux.fan / var / lib / bind / db. iz linux.fan 
zona iz linux.fan/IN: učitan serijski 1 OK

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
zona 10.168.192.in-addr.arpa/IN: učitan serijski 1 OK

Provjera općih postavki BIND-a

root @ dns: ~ # named-checkconf -zp
  • Slijedeći postupak izmjene named.conf Prema našim potrebama i provjeri, te stvaranju svake datoteke zone i provjeri, sumnjamo da ćemo se morati suočiti s velikim problemima u konfiguraciji. Na kraju shvatimo da je to dječačka igra s mnogo koncepata i nesretnom sintaksom, 😉

Provjere su dale zadovoljavajuće rezultate, stoga možemo ponovno pokrenuti BIND - pod nazivom.

Ponovo pokrećemo BIND i provjeravamo njegov status

[root @ dns ~] # systemctl ponovo pokrenite bind9.service
[root @ dns ~] # systemctl status bind9.service
● bind9.service - BIND poslužitelj imena domene učitan: učitan (/lib/systemd/system/bind9.service; omogućeno) Ubacivanje: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktivan: aktivan (pokrenut) od Ned 2017-02-05 07:45:03 EST; Prije 5s Dokumenti: čovjek: imenovan (8) Proces: 1345 ExecStop = / usr / sbin / rndc stop (kod = izašao, status = 0 / USPJEH) Glavni PID: 1350 (imenovan) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / named -f -u bind Feb 05 07:45:03 dns imenovan [1350]: zona 1.f.ip6.arpa/IN: učitan serijski 1. februar 05 07:45:03 dns imenovan [1350]: zona afip6.arpa/IN: učitan serijski 1. februar 05 07:45:03 dns imenovan [1350]: zona localhost / IN: učitan serijski 2. februar 05 07:45:03 dns imenovan [1350]: zon test / IN: učitana serijska 1. februara 05 07:45:03 dns imenovana [1350]: primjer zone / IN: učitana serijska 1. februara 05 07:45:03 dns imenovana [1350]: zona 5.efip6.arpa/IN: učitana serijski 1. februara 05 07:45:03 dns imenovan [1350]: zona bfip6.arpa/IN: učitan serijski 1. februara 05 07:45:03 dns imenovan [1350]: zona ip6.int/IN: učitan serijski 1. februara 05 07:45:03 dns imenovan [1350]: sve zone su učitane 05. februara 07:45:03 dns imenovan [1350]: trči

Ako dobijemo bilo kakvu grešku u izlazu posljednje naredbe, moramo ponovno pokrenuti imenovana.usluga i provjerite svoj status. Ako su greške nestale, usluga se uspješno pokrenula. U suprotnom, moramo izvršiti temeljit pregled svih izmijenjenih i kreiranih datoteka i ponoviti postupak.

Čekovi

Provjere se mogu izvoditi na istom serveru ili na uređaju povezanom na LAN. Radije ih radimo iz tima sysadmin.fromlinux.fan kojoj smo dali izričito odobrenje za vršenje zonskih transfera. Fajl /etc/resolv.conf tog tima je sljedeći:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generirano pretraživanjem NetworkManager-a sa linux.fan nameserver 192.168.10.5

buzz @ sysadmin: ~ $ dig s linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 sa linux.fan. 10800 U NS dns.fromlinux.fan. from linux.fan. 10800 U MX 10 mail.fromlinux.fan. from linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 fileserver.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U 192.168.10.8 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 sysadmin.fromlinux.fan. 10800 U Do 192.168.10.1 sa linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Vrijeme upita: 1 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Feb 05 07:49:01 EST 2017
;; XFR veličina: 13 zapisa (poruke 1, bajtovi 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; globalne opcije: + cmd 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 U NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 U PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 U PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 U PTR fileserver.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 U PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 U PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 U PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 U PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 U PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Vrijeme upita: 1 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Feb 05 07:49:47 EST 2017
;; XFR veličina: 11 zapisa (poruke 1, bajtovi 333)

buzz @ sysadmin: ~ $ dig IN SOA sa linux.fan
buzz @ sysadmin: ~ $ dig IN MX sa linux.fan buzz @ sysadmin: ~ $ dig IN TXT sa linux.fan

buzz @ sysadmin: ~ $ host proxyweb
proxyweb.desdelinux.fan ima adresu 192.168.10.6

buzz @ sysadmin: ~ $ host ftpserver
ftpserver.desdelinux.fan ima adresu 192.168.10.8

buzz @ sysadmin: ~ $ host 192.168.10.9
9.10.168.192.in-addr.arpa pokazivač imena domene mail.fromlinux.fan.

... I bilo koje druge provjere koje su nam potrebne.

Instaliramo i konfigurišemo DHCP

Na Debianu paket pruža DHCP uslugu isc-dhcp-server:

root @ dns: ~ # traženje aptitude isc-dhcp
i isc-dhcp-client - DHCP klijent za automatsko dobivanje IP adrese p isc-dhcp-client-dbg - ISC DHCP server za automatsko dodjeljivanje IP adresa (otklanjanje pogrešaka klijenta) i isc-dhcp-common - zajedničke datoteke koje koriste svi isc-dhcp paketi p isc-dhcp-dbg - ISC DHCP server za automatsko dodjeljivanje IP adresa (simbol za uklanjanje pogrešaka p isc-dhcp-dev - API za pristup i izmjenu DHCP servera i stanja klijenta p isc-dhcp-relej - ISC DHCP relej daemon p isc-dhcp-relay-dbg - ISC DHCP server za automatsko dodjeljivanje IP adresa (otklanjanje pogrešaka releja) p isc-dhcp-server - ISC DHCP server za automatsko dodjeljivanje IP adrese p isc-dhcp-server-dbg - ISC DHCP server za automatsko dodjeljivanje IP adresa (otklanjanje pogrešaka na serveru) p isc-dhcp-server-ldap - DHCP poslužitelj koji koristi LDAP kao pozadinu

root @ dns: ~ # aptitude instaliraj isc-dhcp-server

Nakon instalacije paketa, -omnipresent- systemd žali se da nije mogao pokrenuti uslugu. U Debianu moramo izričito izjaviti preko kojeg mrežnog sučelja će iznajmiti IP adrese i odgovoriti na zahtjeve, isc-dhcp-server:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # Na kojim bi sučeljima DHCP poslužitelj (dhcpd) trebao služiti DHCP zahtjeve? # Odvojite više sučelja s razmacima, npr. "Eth0 eth1".
INTERFEJS = "eth0"

Instalirana dokumentacija

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
ukupno 44 -rw-r - r-- 1 root root 1235 14. decembra 2014. copyright -rw-r - r-- 1 root root 26031 13. februara 2015. changelog.Debian.gz drwxr-xr-x 2 root root 4096 Feb 5 08:10 primjeri -rw-r - r-- 1 root root 592 14. 2014. 1. NEWS.Debian.gz -rw-r - r-- 1099 root root 14 2014. XNUMX. XNUMX. README.Debian

TSIG ključ "dhcp-ključ"

Preporučuje se generiranje ključa TSIG o Potpis transakcije - Transaction SIGpriroda, za provjeru autentičnosti dinamičkih DNS ažuriranja putem DHCP-a. Kao što smo vidjeli u prethodnom članku «DNS i DHCP na CentOS 7«Smatramo da generacija ovog ključa nije toliko bitna, posebno kada su obje usluge instalirane na istom serveru. Međutim, nudimo opći postupak za njegovo automatsko generiranje:

root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KORISNIK dhcp-ključ
Kdhcp-ključ. +157 + 11088

root @ dns: ~ # cat Kdhcp-ključ. +157 + 11088.privatno 
Format privatnog ključa: v1.3 Algoritam: 157 (HMAC_MD5) Ključ: TEqfcx2FUMYBQ1hA1ZGelA == Bitovi: AAA = Stvoreno: 20170205121618 Objavite: 20170205121618 Aktivirajte: 20170205121618

root @ dns: ~ # nano dhcp.key
ključ dhcp-ključ {
        algoritam hmac-md5;
        tajna "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ dns: ~ # ls -l /etc/bind/*.key
-rw-r ----- 1 root bind 78 5. februara 08:21 /etc/bind/dhcp.key -rw-r ----- 1 bind bind 77 4. februara 11:47 / etc / bind / rndc .key
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-rw-r ----- 1 root root 78 5. februara 08:21 /etc/dhcp/dhcp.key

Ažuriranje BIND zona pomoću dhcp-ključa

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Napravite ovdje bilo kakvu lokalnu konfiguraciju // // Razmislite da ovdje dodate 1918 zona, ako se one ne koriste u vašoj // organizaciji uključuju "/etc/bind/zones.rfc1918"; uključuju "/etc/bind/zones.rfcFreeBSD"; uključuju "/etc/bind/dhcp.key"; // Izjava o imenu, tipu, lokaciji i dozvoli za ažuriranje // zona DNS registra // Obje zone su MASTER zona "desdelinux.fan" {master; datoteka "/var/lib/bind/db.desdelinux.fan";
 allow-update {ključ dhcp-ključ; };
}; zona "10.168.192.in-addr.arpa" {master; datoteka "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update {ključ dhcp-ključ; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

Konfiguriramo isc-dhcp-server

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style-privremeni; ddns-ažuriranja na; ddns-ime domene "desdelinux.fan."; ddns-rev-ime domene "in-addr.arpa."; ignorirati ažuriranja klijenta; autoritativni; opcija isključenja ip-prosljeđivanja; ime domene "desdelinux.fan"; uključuju "/etc/dhcp/dhcp.key"; zona sa linux.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } zona 10.168.192.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } zajednička mreža redlocal {podmreža 192.168.10.0 netmask 255.255.255.0 {usmjerivači opcija 192.168.10.1; opcija podmreža-maska ​​255.255.255.0; opcija za emitovanje adrese 192.168.10.255; opcija domain-name-servers 192.168.10.5; opcija netbios-name-serveri 192.168.10.5; raspon 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

Provjeravamo datoteku dhcpd.conf

root @ dns: ~ # dhcpd -t
Konzorcij internetskih sistema DHCP server 4.3.1 Copyright 2004-2014 Konzorcij internetskih sistema. Sva prava zadržana. Za informacije, posjetite https://www.isc.org/software/dhcp/ Datoteka konfiguracije: /etc/dhcp/dhcpd.conf Datoteka baze podataka: /var/lib/dhcp/dhcpd.leases PID datoteka: / var / run /dhcpd.pid

Ponovo pokrećemo BIND i pokrećemo isc-dhcp-server

root @ dns: ~ # systemctl ponovo pokrenite bind9.service 
root @ dns: ~ # systemctl status bind9.service 

root @ dns: ~ # systemctl start isc-dhcp-server.service
root @ dns: ~ # systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: DHCP server učitan: učitan (/etc/init.d/isc-dhcp-server) Aktivan: aktivan (pokrenut) od ned 2017-02-05 08:41:45 EST; Prije 6s Proces: 2039 ExecStop = / etc / init.d / isc-dhcp-stop stop (kod = izašao, status = 0 / USPJEH) Proces: 2049 ExecStart = / etc / init.d / isc-dhcp-start start ( kod = izašao, status = 0 / USPJEH) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 05. februara 08:41:43 dns dhcpd [2056]: Napisao 0 zakupa u datoteku zakupa. 05. februara 08:41:43 dns dhcpd [2057]: Usluga za pokretanje servera. 05. februara 08:41:45 dns isc-dhcp-server [2049]: Pokretanje ISC DHCP servera: dhcpd.

Provjere kod klijenata

Pokrenuli smo klijenta sa operativnim sistemom Windows 7, pod imenom «LAGER».

buzz @ sysadmin: ~ $ domaćin lager
LAGER.desdelinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ kopati u txt lager.fromlinux.fan

Mijenjamo ime tog klijenta u "sedam" i ponovno pokrećemo klijenta

buzz @ sysadmin: ~ $ domaćin lager
;; priključak istekao; nije bilo moguće doći do servera

buzz@sysadmin: ~ $ host sedam
seven.fromlinux.fan ima adresu 192.168.10.30
buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa pokazivač imena domene seven.fromlinux.fan.

buzz @ sysadmin: ~ $ kopati u txt seven.fromlinux.fan

Vratili smo naziv Windows 7 klijenta u "win7"

buzz @ sysadmin: ~ $ host sedam
;; priključak istekao; nije bilo moguće doći do servera

buzz @ sysadmin: ~ $ domaćin win7
win7.fromlinux.fan ima adresu 192.168.10.30
buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa pokazivač imena domene win7.fromlinux.fan.

buzz @ sysadmin: ~ $ iskopajte u txt win7.fromlinux.fan
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> u txt-u win7.fromlinux.fan ;; globalne opcije: + cmd ;; Dobio sam odgovor: ;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 11218 ;; zastave: qr aa rd ra; UPIT: 1, ODGOVOR: 1, ORGAN: 1, DODATNI: ​​2 ;; OPT PSEUDOSECTION :; EDNS: verzija: 0, zastavice:; udp: 4096 ;; ODJELJAK SA PITANJIMA:; win7.fromlinux.fan. IN TXT ;; ODJELJAK ODGOVORA: win7.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ;; ODJELJAK VLASTI: desdelinux.fan. 10800 U NS dns.fromlinux.fan. ;; DODATNI ODJELJAK: dns.fromlinux.fan. 10800 U 192.168.10.5 ;; Vrijeme upita: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Feb 05 09:13:20 EST 2017 ;; MSG VELIČINA rcvd: 129

buzz @ sysadmin: ~ $ dig s linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 sa linux.fan. 10800 U NS dns.fromlinux.fan. from linux.fan. 10800 U MX 10 mail.fromlinux.fan. from linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 fileserver.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U 192.168.10.8 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 sysadmin.fromlinux.fan. 10800 U 192.168.10.1
win7.fromlinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.fromlinux.fan. 3600 U 192.168.10.30
from linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 ;; Vrijeme upita: 2 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Feb 05 09:15:13 EST 2017 ;; XFR veličina: 15 zapisa (poruke 1, bajtovi 453)

U gornjem izlazu istaknuli smo dalje podebljano u TTL -u sekundama za računare s IP adresama koje dodjeljuje DHCP usluga oni koji imaju eksplicitnu deklaraciju TTL 3600 koju daje DHCP. Fiksne IP adrese vode se prema $ TTL od 3H -3 sata = 10800 sekundi - deklarisanom u SOA zapisu svake datoteke zone.

Oni mogu na isti način provjeriti zonu obrnutog.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

Ostale izuzetno zanimljive naredbe su:

[root @ dns ~] # named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
from desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 dodaj desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 dodaj LAGER.fromlinux.fan. 3600 U 192.168.10.30 dodati LAGER.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 od LAGER.fromlinux.fan. 3600 U 192.168.10.30 dodatak s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 od LAGER.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" dodajte desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 dodaj desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 dodaj seven.fromlinux.fan. 3600 U 192.168.10.30 dodati seven.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 od seven.fromlinux.fan. 3600 U 192.168.10.30 dodatak s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 od seven.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" dodajte desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 s desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 dodaj desdelinux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 dodaj win7.fromlinux.fan. 3600 U 192.168.10.30 dodati win7.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
od 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 dodaj 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 dodaj 30.10.168.192.in-addr.arpa. 3600 U PTR LAGERU.fromlinux.fan. od 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 od 30.10.168.192.in-addr.arpa. 3600 U PTR LAGERU.fromlinux.fan. dodaj 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 od 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 dodaj 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 dodati 30.10.168.192.in-addr.arpa. 3600 U PTR sedam.fromlinux.fan. od 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 od 30.10.168.192.in-addr.arpa. 3600 U PTR sedam.fromlinux.fan. dodaj 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 od 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 dodaj 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 dodati 30.10.168.192.in-addr.arpa. 3600 U PTR win7.fromlinux.fan.

[root @ dns ~] # journalctl -f

Ručna izmjena datoteka zona

Nakon što DHCP uđe u igru ​​dinamičkog ažuriranja datoteka BIND zone, ako ikad budemo trebali ručno modificirati datoteku zone, moramo provesti sljedeći postupak, ali ne prije nego što saznamo malo više o radu zone. korisnost rndc -čovjek rndc- za kontrolu nad pod nazivom.

  • rndc zamrzavanje [zona [klasa [pogled]]], obustavlja dinamičko ažuriranje zone. Ako jedan nije naveden, svi će se zamrznuti. Komanda omogućava ručno uređivanje smrznute zone ili svih zona. Svako dinamičko ažuriranje bit će odbijeno dok je zamrznuto.
  • rndc taljenje [zona [klasa [pogled]]], omogućava dinamičko ažuriranje prethodno zamrznute zone. DNS server ponovo učitava zonsku datoteku s diska, a dinamička ažuriranja su ponovo omogućena nakon završetka ponovnog učitavanja.

Da li treba voditi računa kada ručno uređujemo datoteku zone? Isto kao da smo ga kreirali, ne zaboravljajući povećati serijski broj za 1 ili serijski prije spremanja datoteke s konačnim promjenama.

Zamrzavamo zone

Kako ćemo napraviti promjene na prosljeđivanju i natrag zonama dok se izvode DNS i DHCP, najzdravije je zamrznuti DNS zone:

[root @ dns ~] # rndc zamrzavanje

Zona fromlinux.fan sadrži sljedeće zapise:

[root @ dns ~] # cat /var/lib/bind/db.fromlinux.fan
$ POREKLO. 10800 TTL; 3 sata od linux.fan IN SOA dns.od linux.fan. root.dns.fromlinux.fan. (
                                8; serijski
                                86400; osvježavanje (1 dan) 3600; ponoviti pokušaj (1 sat) 604800; ističe (1 sedmica) 10800; minimum (3 sata)) NS dns.fromlinux.fan. MX 10 mail.fromlinux.fan. TXT "FromLinux, vaš blog posvećen besplatnom softveru" $ ORIGIN fromlinux.fan. ad-dc Za 192.168.10.3 blog Za 192.168.10.7 dns Za 192.168.10.5 poslužitelj datoteka Za 192.168.10.4 ftpserver Za 192.168.10.8 pošta Za 192.168.10.9 proxyweb Za 192.168.10.6 sysadmin Za 192.168.10.1 $ TTL 3600; Jednosatna pobjeda1 A 7 TXT "192.168.10.30b31ddd7228a3b3be73fda2e9e09f601e3"

Dodajmo server «obalni zid»Sa IP-om 192.168.10.10:

root @ dns: ~ # nano /var/lib/bind/db.fromlinux.fan
$ POREKLO. 10800 TTL; 3 sata od linux.fan IN SOA dns.od linux.fan. root.dns.fromlinux.fan. (
                9; serijski
                86400; osvježavanje (1 dan) 3600; ponoviti pokušaj (1 sat) 604800; ističe (1 sedmica) 10800; minimum (3 sata)) NS dns.fromlinux.fan. MX 10 mail.fromlinux.fan. TXT "FromLinux, vaš blog posvećen besplatnom softveru" $ ORIGIN fromlinux.fan. ad-dc Za 192.168.10.3 blog Za 192.168.10.7 dns Za 192.168.10.5 poslužitelj datoteka Za 192.168.10.4 ftpserver Za 192.168.10.8 pošta Za 192.168.10.9 proxyweb Za 192.168.10.6
obalni zid A 192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; Jednosatna pobjeda1 A 7 TXT "192.168.10.30b31ddd7228a3b3be73fda2e9e09f601e3"

Trebali bismo izmijeniti i obrnutu zonu:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ POREKLO. 10800 TTL; 3 sata 10.168.192.in-addr.arpa IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (
                                7; serijski
                                86400; osvježavanje (1 dan) 3600; ponoviti pokušaj (1 sat) 604800; ističe (1 sedmica) 10800; minimalno (3 sata)) NS dns.fromlinux.fan. $ POREKLO 10.168.192.in-addr.arpa. 1 PTR sysadmin.fromlinux.fan. 3 PTR ad-dc.fromlinux.fan. 3600 TTL; 1 sat 30 PTR win7.fromlinux.fan. 10800 TTL; 3 sata 4 PTR fileserver.fromlinux.fan. 5 PTR dns.fromlinux.fan. 6 PTR proxyweb.desdelinux.fan. 7 PTR blog.desdelinux.fan. 8 PTR ftpserver.fromlinux.fan. 9 PTR mail.fromlinux.fan.
10 PTR shorewall.fromlinux.fan.

Zone odmrzavamo i dopunjavamo

[root @ dns ~] # rndc odmrzavanje

root @ dns: ~ # journalctl -f
- Evidencije počinju u ned 2017-02-05 06:27:10 EST. - 05. februara 12:00:29 dns imenovan [1996]: primljena je naredba kontrolnog kanala 'odmrzavanje' 05. februara 12:00:29 dns imenovan [1996]: odmrzavanje svih zona: uspjeh 05. februara 12:00:29 dns imenovan [ 1996]: zona 10.168.192.in-addr.arpa/IN: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 05. februara 12:00:29 dns pod nazivom [1996]: zona 10.168.192.in-addr.arpa/ IN: učitana serijska verzija 7. februara 05 12:00:29 dns pod nazivom [1996]: zona desdelinux.fan/IN: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 05. februara 12:00:29 dns pod nazivom [1996]: zona desdelinux .fan / IN: učitan serijski 9

buzz @ sysadmin: ~ $ host shorewall
shorewall.fromlinux.fan ima adresu 192.168.10.10

buzz @ sysadmin: ~ $ host 192.168.10.10
10.10.168.192.in-addr.arpa pokazivač imena domene shorewall.fromlinux.fan.

buzz @ sysadmin: ~ $ dig s linux.fan axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr

root @ dns: ~ # journalctl -f
.... 05. februara 12:03:05 dns imenovan [1996]: klijent 192.168.10.1 # 37835 (desdelinux.fan): prenos 'desdelinux.fan/IN': AXFR je počeo 05. februara 12:03:05 dns imenovan [1996]: klijent 192.168.10.1 # 37835 (desdelinux.fan): prijenos 'desdelinux.fan/IN': AXFR završen 05. februara 12:03:20 dns pod nazivom [1996]: klijent 192.168.10.1 # 46905 (10.168.192. 10.168.192.in-addr.arpa): prenos '05 .12.in-addr.arpa / IN ': AXFR je započeo 03. februara 20:1996:192.168.10.1 dns pod nazivom [46905]: klijent 10.168.192 # 10.168.192 (XNUMX .in-addr.arpa): prenos 'XNUMX .XNUMX.in-addr.arpa / IN ': AXFR je završen

Resumen

Do sada imamo Caché DNS server koji radi, koji podržava rekurziju, koja je mjerodavna za zonu fromlinux.fan, a to omogućava DHCP-u da ažurira zone za naprijed i natrag s imenima računara i IP-om koje dodjeljuje.

Ovaj članak i prethodna dva «DNS i DHCP u openSUSE 13.2 'Harlekin'"i"DNS i DHCP na CentOS 7»Praktično su jedno. Pronaći ćete općenite koncepte o DNS-u i DHCP-u, te pojedinosti svake distribucije u svakom od njih. Oni su Ulazna tačka temi i osnova za složeniji razvoj.

Nećemo se ustručavati - još jednom - insistirati na važnosti čitanja tehničke dokumentacije koja je standardno instalirana uz svaki paket, PRIJE konfiguriranja bilo kojeg detalja. Kažemo to iz vlastitog iskustva.

Sledeća isporuka

To je vjerovatno "Microsoft® Active Directory + BIND"


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

23 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   gušter rekao je

    Kakav ste udžbenik poslali partneru, ne znam odakle toliki kapacitet za detalje i poredak u složenim temama.

    Najiskrenije čestitke, čast mi je što sam vas mogao pročitati

  2.   Bafo rekao je

    Moram vam reći da su tutorijali koje objavljujete HOSTIA, volim ih.
    Uvijek čekam vaše sljedeće poglavlje.
    Kada završite, hoćete li ga staviti u pdf? To je dokumentacija koja je po mom mišljenju vrlo vrijedna i zaslužuje da se dobro čuva.
    Puno vam hvala i veliki pozdrav.
    Bafo.

  3.   federico rekao je

    Bafo: Puno vam hvala na ocjeni i komentaru. Najbolja nagrada za vrijeme, rad i trud koji posvećujem svakom učitelju je komentar. Bilo pozitivno ili negativno, ali to je znak da to ne prolazi nezamijećeno. Pretpostavljam da mnogi čitatelji samo preuzimaju i spremaju ili ih označavaju. Ali to mogu samo pretpostaviti prema broju posjeta. Šteta što nema puno komentara, iako znam da su problemi kojima se bavim u osnovi Sysadmini. Pozdrav i tebi i čekat ću te u svojim sljedećim člancima.

  4.   federico rekao je

    Gušter: Hvala vam na iskrenoj procjeni koju ću uvijek imati na umu.

  5.   artus rekao je

    Kakva bi bila konfiguracija da imam dva mrežna sučelja u slučaju vezanja
    Hvala i čestitke na materijalu.

  6.   federico rekao je

    Artus: Hvala na komentaru i čestitkama.
    Odgovor na vaše pitanje zaslužuje poseban članak o upotrebi Views - Pogleda u VEZU.

    U slučaju da imate Delegiranu zonu pod svojom odgovornošću i želite da imate jedan BIND koji će prisustvovati internim upitima iz vašeg LAN-a i vanjskim upitima s Interneta - naravno s BIND-om zaštićenim vatrozidom - preporučuje se korištenje Pregledi.

    Na primjer, Views vam omogućavaju da predstavite konfiguraciju za svoju MSP mrežu i drugu za Internet. Kada eksplicitno ne konfiguriramo nijedan prikaz, BIND implicitno kreira jedan koji prikazuje sva računala koja ga koriste.

    Kao upotrebu Views smatram je naprednom temom može i napišite članak o tome, prije ili nakon obećane objave najavljene na kraju.

    Sada, ako imate dva mrežna sučelja okrenuta prema vašoj MSP mreži - koju čine dvije privatne mreže - iz bilo kojeg razloga dizajna, bilansa opterećenja, broja opreme ili drugog, a želite predstaviti sve svoje zone objema mrežama, riješiti izjavom:

    slušaj {
    127.0.0.1;
    IP-privatni-interfejs1;
    IP-sučelje-Private2;
    };

    Na taj način, BIND osluškuje zahtjeve na oba sučelja.

    Ako su svi vaši računari u privatnoj mreži klase C 192.168.10.0/255.255.240.0 - do 4094 hostova - na primjer, možete koristiti i izjavu:

    slušanje {127.0.0.1; 192.168.10.0/20; };

    I nastavljate prikazivati ​​jedan prikaz svih računara povezanih na vaš privatni LAN.

    Nadam se da će vam moj kratki odgovor pomoći. Pozdrav i uspjeh.

    1.    artus rekao je

      Hvala na odgovoru tako brzo. Vidite da montiram Debian server s verzijom 9 (Strech), on ima DNS, dhcp i squid kao proxy, za filtere sadržaja koristit ću e2guardian.

      Računar ima dva mrežna sučelja, koja će omogućiti računarima na LAN-u da izađu na Internet.
      usmjerivač: 192.168.1.1
      eth0: 192.168.1.55 (putem ovog sučelja ići će na Internet)
      eth1: 192.168.100.1 (LAN)

      Ideja je da računari mogu ići na Internet putem ovog proxy servera, koji će takođe pružiti ips i dns računarima u internoj mreži.

      U ovom slučaju ne trebam poslužitelj za preslušavanje dns zahtjeva putem eth0 sučelja (ne želim svoje zone predstavljati objema mrežama, samo mojoj LAN mreži); pa ako uklonim private-interface-IP1, bi li to bilo dovoljno?

      Hvala još jednom i pozdrav.

  7.   Eduardo Noel rekao je

    Vrlo dobar članak prijatelju
    VEZ imate u venama, čak iako kažete i mislite drugačije 🙂
    Felicidade

  8.   federico rekao je

    Artus: Uklonite sučelje 192.168.1.55 iz izjave o preslušavanju i krenite. Ili proglasite samo preslušavanje {127.0.0.1; 192.168.100.1; }; i to je to. BIND će slušati samo na tim sučeljima.

    1.    artus rekao je

      Lepo hvala.

  9.   federico rekao je

    Eduardo: prijatelju, ja i dalje više volim dnsmasq za "male" mreže i morat ćemo vidjeti koliko one mogu biti "velike". 😉 Iako prepoznajem da je BIND + isc-dhcp-server BIND + isc-dhcp-server. 😉

  10.   federico rekao je

    Eduardo: Zaboravio sam da vam kažem da ste BIND specijalista vi, Učitelju.

  11.   dhunter rekao je

    Godinama koristim BIND i nastavljam učiti s vašim spisima, hvala vam puno Federico, s ovom serijom vodiča otpušta se sysadmin. Vraćam se i ponavljam, ideja da se sve to znanje obuhvati u službenom prenosivom formatu uopće nije loša, dajte mu glavu da može nešto vrlo dobro izaći. Pozdrav.

  12.   federico rekao je

    Prijatelj Dhunter: Vaši komentari su uvijek dobro prihvaćeni. Obuhvatiti sve je teško i gotovo nemoguće, jer se uvijek pojavi nova tema. Po poglavljima to ide i moguće je. Neki članak bi se morao prepisati da bi se postigla dosljednost u konfiguracijama. Ne obećavam ništa, ali vidjet ćemo.

  13.   Ismael Alvarez Wong rekao je

    zdravo federico, evo mojih komentara:
    1) Naglasak koji stavljate na «... pročitajte prije konfiguriranja BIND-a, pa čak i PRIJE pretraživanja članaka povezanih s BIND-om i DNS-om ...» tražeći ih na vlastitom računaru i sve to «... bez napuštanja kuće ...» da biste koristili svoje vlastite riječi.
    2) U ovom postu nalazimo više teorije o DNS-u koja nadopunjuje onu iz dva prethodna posta i koja se uvijek cijeni; na primjer: DNSSEC (Proširenja sigurnosti sistema imena domena) i za šta se koristi; kao i BIND konfiguracijska shema sa svojim statičkim konfiguracijskim datotekama, zonskim datotekama za korijenske poslužitelje te prosljeđivačkim i obrnutim zonama localhosta u Debianu.
    3) VELIKI savjet da ne onemogućite rekurziju (koristeći liniju "rekurzija br;"), a zatim u konfiguracijsku datoteku /etc/bind/named.conf.local dodajte datoteke zona / etc / bind / zone. rfc1918 i /etc/bind/zones.rfcFreeBSD kako bi spriječili bilo koji upit koji se odnosi na njih da lokalnu mrežu prepuštaju korijenskim poslužiteljima.
    4) Za razliku od prethodnog posta o CentOS 7, u ovom postu ako se TSIG ključ "dhcp-ključ" generira za dinamička DNS ažuriranja sa DHCP-a; da biste to omogućili u datoteci /etc/bind/named.conf.local, uključite "allow-update {key dhcp-key; }; » u konfiguraciji direktne i reversne zone naše domene.
    5) Veliki detalji (jednaki prethodnom postu u CentOS-u 7) svega što se odnosi na provjere rada DNS-a, DHCP-a i kod klijenata.
    6) ODLIČAN savjet korištenja naredbe "install" (ako kako je napisana, ne mislim na istoimenu opciju koja se koristi u drugim naredbama), nisam je znao, jer je to istinski "3 u 1", jer kopiranje grupa (cp), uspostavljanje vlasnika (chown) i dozvole (chmod).
    . Konačno, vaš odgovor Artusu o upotrebi Views-a u BIND-u je vrlo dobar, jedan za LAN (privatnu mrežu), a drugi za Internet, tako da se mogu konsultovati samo javni servisi. Nadam se da ćete kasnije imati vremena za pripremu posta, jer je to vrlo praktična tema za prijavu mnogih sysadmina.
    Ništa Federico da sam i dalje sve više oduševljen serijom PYMES i radujem se sljedećem postu "Microsoft Active Directory + BIND"

  14.   federico rekao je

    Wong: Kolega i prijatelju, vaši komentari dopunjuju moje članke i pokazuju da su razumljivi. Naredba "install" ima mnogo više opcija. Upit man install. Hvala hiljadu na komentaru !!!

  15.   crespo88 rekao je

    Još nisam pročitao komentare, učinit ću to nakon iznošenja svojih kriterija.
    Učinili ste i postigli ste puno, dali ste nam svjetlo, ali ne ono koje se vidi na »kraju tunela« kada više nema nade kao što obično kažemo; ni to uopće, vi ste dali puno svjetla da biste mogli reći "Na kraju shvaćamo da je to dječačka igra, s mnogo koncepata i nesretne sintakse" kako objašnjavate u postu.
    POST TRUNK i zajedno sa prethodnim za još nekoliko poznatih distroa. Udovoljili ste širenju koncepata i teorije koja nam u mnogim prilikama uzima danak. Pročitao sam detaljno, smireno i nemoguće je ne komentirati i osjećati SE PUNO HVALAN za takvu predanost i predanost.
    Bez daljnjeg, svi vam želimo zdravlje i da i dalje doprinosite; Zahvaljujemo vam i neka vas prate sreća, ekonomija, zdravlje (želimo vam duplo više) i ljubav (sa Sandrinom za još, hahaha).
    Znam da komentar ide malo dalje od sadržaja posta, ide na lični jer smo prijatelji i divim se vašoj nesebičnoj isporuci. Nitko NITKO ne radi ono što vi radite za nas koji želimo učiti sve više i više, a mi imamo odgovornost za upravljanje MSP mrežama na svojim ramenima, što nije lak zadatak.
    Sl2 svima.

  16.   federico rekao je

    crespo88: Puno vam hvala na ocjeni ovog i drugih objavljenih članaka. Neki čitatelji mogu pomisliti da dajem sve od sebe, kad to nije istina. Uvijek se pozivam na ulaznu točku, čak i ako su primjeri u potpunosti funkcionalni. BIND je elektronička industrija i DHCP ne zaostaje mnogo. Da biste ih poznavali iznad prosjeka, morate položiti postdiplomski studij na Univerzitetu u Helsinkiju, 😉

  17.   Slika rezerviranog mjesta Miguel Guaramato rekao je

    Smatram da je ova tema zanimljiva i vrlo važna. Zanima me ova studija o tome što je sve o upravljanju linux mrežom, a posebno serverima: dns, dinamički i statički dhcp i virtualne mreže, bin9, samba, serveri za štampu, ldap, nadzor mreže s aplikacijama, nosači baze podataka za programere i vlan itd. Zbog toga je važno i ovi savjeti su vrlo dobri i sadrže prakse i primjere.

  18.   federico rekao je

    Hi miguel !!!
    Hvala na komentaru i nadam se da će vam serija pomoći u onome što vas zanima. Pozdrav.

  19.   jorge rekao je

    Puno vam hvala na članku Federico, koji pokazuje da znate o debianu. Zagrljaj.

  20.   federico rekao je

    Hvala Jorge, na komentaru. Nadam se da će vam moji članci pomoći.

  21.   Dvorana Pabla Raula Vargasa rekao je

    Puno vam hvala na postu koji je dobro dokumentovan i poziva nas da čitamo, čitamo i ponovo čitamo. Sa sljedećim postom koji ćete objaviti, želio bih da uzmete u obzir točke konvergencije koje bi on imao:
    Microsoft Active Directory sa Samba4 kao Active Directory

    Osim toga, želio sam konsultovati sljedeće:
    Kako bi implementacija Bind + Isc-dhcp bila u FW u dmz-u gdje bi kontroler domene bio u dmz-u sa sambom 4 AD