Oni koji su slijedili 1st, Na 2-u, 3st y 4th dio ovog članka i konsultacije s njihovim BIND-om dali su zadovoljavajuće rezultate, oni su već stručnjaci za tu temu. :-) I bez daljnjeg razgovora, krenimo u posljednji dio:
- Stvaranje datoteke glavne glavne zone tipa „Inverzni“ 10.168.192.in-addr.arpa
- Rešavanje problema
- Resumen
Stvaranje datoteke glavne glavne zone tipa „Inverzni“ 10.168.192.in-addr.arpa
Ime područja vam ih donosi, zar ne? A to je da su obrnute zone obavezne da bi imale ispravnu razlučivost imena prema Internet standardima. Ne preostaje nam ništa drugo nego stvoriti onaj koji odgovara našoj domeni. Za ovo koristimo kao predložak datoteku /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Mi uređujemo datoteku /var/cache/bind/192.168.10.rev i ostavljamo ovako:
; /var/cache/bind/192.168.10.rev; ; BIND datoteka obrnutih podataka za glavnu zonu 10.168.192.in-addr.arpa; Datoteke podataka BIND za glavnu zonu (obrnuto) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Serijski 604800; Osvježi 86400; Pokušaj ponovo 2419200; Ističe 604800); Negativni predmemorijski TTL; @ IN NS ns. 10 U PTR ns.amigos.cu. 1 U PTR gandalf.amigos.cu. 9 U PTR mail.amigos.cu. 20 U PTR web.amigos.cu. 100 U PTR fedex.amigos.cu. ; takođe možemo napisati punu IP adresu. Npr :; 192.168.10.1 U PTR gandalf.amigos.cu.
- Uočite kako smo u ovom slučaju ostavili vremena u sekundama jer su ona kreirana prema zadanim postavkama kada bind9. Djeluje isto. Ista su vremena ona koja su navedena u dosijeu friends.cu.host. Ako sumnjate, provjerite.
- Također imajte na umu da deklariramo samo obrnute zapise hostova kojima je dodijeljena ili "stvarna" IP adresa na našem LAN-u i koja je jedinstveno identificira.
- Ne zaboravite ažurirati datoteku Reverse Zone sa SVIM ispravnim IP adresama deklariranim u Direct Zone.
- Ne zaboravite povećati Zonski serijski broj svaki put kada modificiraju datoteku i prije ponovnog pokretanja BIND-a.
Provjerimo novonastalu zonu:
named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Provjeravamo konfiguraciju:
named-checkconf -z named-checkconf -p
Ako je sve prošlo u redu, ponovo pokrećemo uslugu:
ponovno pokretanje usluge bind9
Od sada, svaki put kada modificiramo datoteke zona, samo moramo izvršiti:
rndc reload
Za to deklariramo ključ u /etc/bind/named.conf.optionsne?
Rešavanje problema
Vrlo je važan ispravan sadržaj datoteke /etc/resolv.conf kao što smo vidjeli u prethodnom poglavlju. Ne zaboravite u njemu naznačiti najmanje sljedeće:
traži friends.cu nameserver 192.168.10.20
Komanda dig paketa dnsutil. Na konzoli unesite naredbe kojima prethodi #:
# dig -x 127.0.0.1 ..... ;; ODJELJAK ODGOVORA: 1.0.0.127.in-addr.arpa. 604800 U PTR localhost. .... # dig -x 192.168.10.9 .... ;; ODJELJAK ODGOVORA: 9.10.168.192.in-addr.arpa. 604800 U PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu ima adresu 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu ima adresu 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; globalne opcije: + cmd ;; priključak istekao; nije moguće doći do servera # dig gandalf.amigos.cu .... ;; ODJELJAK ODGOVORA: gandalf.amigos.cu. 604800 U 192.168.10.1 .... Ako imaju pristup kubanskom ili globalnom Internetu, a špediteri su ispravno proglašeni, pokušajte: # dig debian.org .... ;; ODJELJAK ZA PITANJA :; debian.org. U ;; ODJELJAK ODGOVORA: debian.org. 3600 U 86.59.118.148 debian.org. 3600 U 128.31.0.51 .... # domaćin bohemia.cu bohemia.cu ima adresu 190.6.81.130 # domaćin yahoo.es yahoo.es ima adresu 77.238.178.122 yahoo.es ima adresu 87.248.120.148 yahoo.es pošta se obrađuje od 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; ODJELJAK ODGOVORA: 122.178.238.77.in-addr.arpa. 429 U PTR w2.rc.vip.ird.yahoo.com.
... I uopšte sa drugim domenima izvan našeg LAN-a. Posavjetujte se i saznajte o zanimljivim stvarima na Internetu.
Jedan od najboljih načina za provjeru performansi servera bind9, i općenito o bilo kojoj drugoj instaliranoj usluzi, očitava izlazne podatke Poruke sistemskog dnevnika pomoću naredbe tail -f / var / log / syslog pokrenite kao korisnikkorijen.
Vrlo je zanimljivo vidjeti izlaz te naredbe kada pitamo naš lokalni BIND o domeni ili vanjskom hostu. U tom slučaju može se predstaviti nekoliko scenarija:
- Ako nemamo pristup Internetu, naš upit neće uspjeti.
- Ako imamo pristup Internetu, a NISMO proglasili otpremnike, najvjerojatnije nećemo dobiti odgovor.
- Ako imamo pristup Internetu i proglasimo prosljeđivače, dobit ćemo odgovor jer će oni biti zaduženi za savjetovanje s DNS serverima koji su neophodni.
Ako radimo na LAN zatvoren u kojima je nemoguće na bilo koji način izaći van i nemamo nikakve transportere, možemo eliminirati poruke pretraživanja Root serveri "Pražnjenje" datoteke /etc/bind/db.root. Da bismo to učinili, datoteku prvo spremimo s drugim imenom, a zatim izbrišemo sav njen sadržaj. Zatim provjeravamo konfiguraciju i ponovno pokrećemo uslugu:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart
Resumen
Zasad, narode, mali uvod u DNS uslugu. Ono što smo do sada učinili može nam savršeno poslužiti za naše malo poslovanje. Također za kuću ako stvaramo virtualne strojeve s različitim operativnim sistemima i različitim IP adresama, a ne želimo ih pozivati prema IP već po imenu. Uvijek instaliram BIND na svog domaćeg domaćina da bih instalirao, konfigurirao i testirao usluge koje uvelike ovise o DNS usluzi. Široko koristim radnu površinu i virtualne servere i ne volim da čuvam datoteku / etc / hosts na svakoj od mašina. Previše griješim.
Ako nikada niste instalirali i konfigurirali BIND, nemojte se obeshrabriti ako nešto krene po zlu iz prvog pokušaja i morate početi ispočetka. Uvijek preporučujemo da u tim slučajevima započnete s čistom instalacijom. Vredi probati!
Za one kojima je potrebna visoka dostupnost usluge razlučivanja imena, što se može postići konfiguriranjem sekundarnog glavnog servera, preporučujemo vam da nastavite s nama u sljedećoj avanturi: Sekundarni glavni DNS za LAN.
Čestitamo onima koji su pratili sve članke i postigli očekivane rezultate!
Napokon! .. završni post: D!
Hvala što ste podijelili mog prijatelja!
Pozdrav!
Vrlo zanimljivo, vaši članci, imam autoritativni DNS montiran na freeBSD za .edu.mx domenu, do sada mi je savršeno radio, ali u posljednjih mjesec dana otkrio sam nekoliko napada na server, koji bi bio obrambene metode izloženom DNS-u?, a ne znam može li to biti, neka master bude izložen Internetu i sekundarni koji služi malom lancu od oko 60 računara, oba međusobno povezana DNS-a, ili da bi mogao definirati dvije zone, jedna unutarnja i jedna vanjska, hvala u masteru
Paket squeeze bind9 ima problem u radu sa sambom, verzija 9.8.4 je već dostupna u pozadinskoj grani squeeze, verzija wheeze nema ovaj problem, za paket lenny venenux.net backport.
Vrlo dobar članak.
Ovo je jedini članak koji sve dobro objašnjava ..
Treba imati na umu da acl za spofing ne radi, jer će na isti način biti ubrizgan iz interne mreže, rješenje bi bilo uskratiti preusmjeravanja za klijente i stvoriti složeni ACL koji sprečava ponovnu dodjelu imena (nešto slično statičnom dns-u)
POSEBNI SAVJET:
Bilo bi dobro dodatna konfiguracija o tome kako napraviti sadržaj dns filtera umjesto vatrozida
Hvala na komentaru @PICCORO !!!.
Na početku svih svojih članaka izjavljujem da se ne smatram specijalistom. Mnogo manje po pitanju DNS-a. Ovdje svi učimo. Uzet ću u obzir vaše preporuke prilikom instaliranja DNS-a okrenutog ka Internetu, a ne za uobičajeni i jednostavni LAN.
ODLIČAN VODIČ !!! Bila mi je od velike pomoći jer sam tek počeo s okretanjem na ovom serveru, sve je funkcioniralo u redu. Hvala vam i nastavite objavljivati ovako veličanstvene vodiče !!!
Fico, još jednom ti čestitam na ovom sjajnom materijalu.
Nisam stručnjak za BIND9, oprostite mi ako griješim u vezi sa komentarom, ali mislim da vam je nedostajalo definiranje zone za obrnute pretrage u datoteci named.conf.local
Šteta je što vam Fico trenutno ne može odgovoriti.
Pozdrav i hvala, Elav, i evo odgovaram. Kao i uvijek, preporučujem vam da polako čitate ... 🙂
U postu: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Pišem sljedeće:
Izmjene datoteke /etc/bind/named.conf.local
U ovoj datoteci deklariramo lokalne zone naše domene. Moramo uključiti zone za naprijed i natrag kao minimum. Zapamtite da u konfiguracijskoj datoteci /etc/bind/named.conf.options deklariramo u kojem ćemo direktoriju smjestiti datoteke Zones koristeći direktivu direktorija. Na kraju, datoteka bi trebala biti sljedeća:
// /etc/bind/named.conf.local
//
// Ovdje napravite bilo koju lokalnu konfiguraciju
//
// Razmislite o tome da ovdje dodate 1918 zona, ako se one ne koriste u vašem
// organizacija
// uključuje "/etc/bind/zones.rfc1918";
// Imena datoteka u svakoj zoni su a
// potrošački ukus. Odabrali smo friends.cu.hosts
// i 192.168.10.rev jer nam daju njihovu jasnoću
// sadržaj. Nema više misterije 😉
//
// Imena zona NISU ARBITARNA
// i oni će odgovarati imenu naše domene
// i na LAN podmrežu
// Glavna glavna zona: tip «Direct»
zona «amigos.cu» {
tip master;
datoteka "amigos.cu.hosts";
};
// Glavna glavna zona: tip «Inverzni»
zona "10.168.192.in-addr.arpa" {
tip master;
datoteka "192.168.10.rev";
};
// Kraj datoteke named.conf.local
Dobro, vrlo zanimljiv vaš post o dns-u, pomogli su mi da započnem s tom temom, hvala. Pojašnjavam da sam početnik u tom pogledu. Ali, čitajući vaše objavljene informacije, primijetio sam da to funkcionira s fiksnim adresama na hostovima interne mreže. Moje pitanje je, kako bi se to radilo sa internom mrežom sa dinamičkim ip adresama, dodijeljenim od strane dhcp servera, za stvaranje datoteka glavne glavne zone tipa "direct" i "inverse"?
Biću vam zahvalan na svjetlu koje možete dati po pitanju pitanja. Hvala ti. Fv
Hvala na komentaru, @fabian. Možete pogledati sljedeće članke, za koje se nadam da će vam pomoći da implementirate mrežu sa dinamičkim adresama:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
Saludos