DNS i DHCP a Debian 8 «Jessie» - Xarxes PIMES

Índex general de la sèrie: Xarxes de Ordinadors per a les PIMES: Introducció

Hola amics !. Després de l'parell d'articles anteriors sobre el Sistema de noms de domini i el Protocol de configuració dinàmica d'amfitrió publicats en «DNS i DHCP a openSUSE 13.2 'Harlequin' »I«DNS i DHCP a CentOS juliol«, Tots dos de la sèrie xarxes PIMES, Ens toca la configuració d'aquests serveis en Debian.

Repetim que un bon punt de partida per aprendre sobre els conceptes teòrics de l'DNS i el DHCP el constitueix Wikipedia.

Instal·lació de sistema operatiu

Partirem de la instal·lació bàsica d'un servidor amb el sistema operatiu Debian 8 «Jessie» sense instal·lar ambient gràfic algun o altre programa. Una màquina virtual amb 512 megues de RAM i un disc dur de 20 gigues és més que suficient.

Durant el procés d'instal·lació -en mode text preferentment- i seguint l'ordre de les pantalles vam escollir els següents paràmetres:

  • Idioma: Spanish - Español
  • País, territori o àrea: Estats Units
  • Mapa de teclat a utilitzar: Anglès nord-americà
  • Configura la xarxa manualment:
    • Adreça IP: 192.168.10.5
    • Màscara de xarxa: 255.255.255.0
    • Passarel·la: 192.168.10.1
    • Adreces dels servidors de noms: 127.0.0.1
    • Nom de la màquina: dns
    • Nom de l'domini: desdelinux.fan
  • Clau de l'súper usuari: SuClave (després demana confirmació)
  • Nom complet per al nou usuari: Debian First US Buzz
  • Nom d'usuari per al compte: buzz
  • Trieu una contrasenya pel nou usuari: SuClave (després demana confirmació)
  • Seleccioni la seva zona horària: Aquest
  • Mètode de partició: Guiat - utilitzar tot el disc
    • Trieu disc a particions: Disc virtual 1 (vda) - 21.5 GB Virto Block Device
    • Esquema de partició: Tots els fitxers en una partició (recomanat per a principiants).
    • Finalitza la partició i escriure canvis al disc
    • Voleu escriure els canvis en els discos?
  • Voleu analitzar un altre CD o DVD?:
  • Voleu utilitzar una rèplica de red?:
  • Voleu participar en l'enquesta sobre l'ús dels paquets?:
  • Elegir els programes a instal·lar:
    [] Entorn d'escriptori Debian
    [*] Utilitats estàndard de sistema
  • Voleu instal·lar el carregador d'arrencada GRUB al registre mestre d'arrencada?
    • / Dev / vda
  • «Instal·lació completada»:

En la meva modesta opinió, Instal·lar Debian és senzill. Només es requereix respondre a preguntes d'opcions predefinides i algun que altre dada. Fins i tot m'atreveixo a dir que és més fàcil seguir els passos anteriors que mitjançant un vídeo, per exemple. A l'llegir no perdo la concentració. Una altra qüestió és veure, llegir, interpretar, i donar cap enrere i endavant a el vídeo, quan em perdi o no entengui bé algun significat important. Un full escrit a mà, o un arxiu de text pla copiat al mòbil, serviran perfectament com una guia eficaç.

Paràmetres inicials

Després d'acabada la instal·lació bàsica i el primer reinici, procedim a declarar els Repositoris de Programes.

A l'editar el fitxer fonts.list, Vam comentar totes les entrades existents per defecte pel fet que treballarem amb dipòsits locals gens mes. El contingut final de l'arxiu -excloent les línies comentades seria:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ Jessie main contrib deb http://192.168.10.1/repos/jessie/debian-security/ Jessie / updates main contrib

Actualitzem el sistema

root @ dns: ~ # aptitude update
root @ dns: ~ # aptitude upgrade
root @ dns: ~ # reboot

Instal·lem SSH per accedir remotament

root @ dns: ~ # aptitude install ssh

Per permetre l'inici d'una sessió remota via SSH a l'usuari root -des de la LAN Empresarial només- modifiquem el seu arxiu de configuració:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin yes ....

root @ dns: ~ # systemctl restart ssh.service
root @ dns: ~ # systemctl estatus ssh.service

Vam iniciar sessió remota via SSH a «dns» des de la màquina «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_ hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... root@192.168.10.5's password: ... root @ dns: ~ #

Arxius principals de configuració

Els arxius principals de la configuració de sistema estaran d'acord a les nostres seleccions durant la instal·lació:

root @ dns: ~ # cat / etc / hosts
127.0.0.1   localhost
192.168.10.5    dns.desdelinux.fan  dns

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
cerca desdelinux.fan nameserver 127.0.0.1

root @ dns: ~ # hostname
dns

root @ dns: ~ # hostname -f
dns.desdelinux.fan

root @ dns: ~ # cat / etc / network / interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
    address 192.168.10.5
    netmask 255.255.255.0
    network 192.168.10.0
    broadcast 192.168.10.255
    gateway 192.168.10.1
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 127.0.0.1
    dns-search desdelinux.fan

Instal·lem paquets de súper vivència

root @ dns: ~ # aptitude install htop mc deborphan

Neteja de paquets descarregats si hi fossin

root @ dns: ~ # aptitude install -f root @ dns: ~ # aptitude purge ~ c root @ dns: ~ # aptitude clean root @ dns: ~ # aptitude autoclean

Instal·lem el bind9

  • ABANS d'instal·lar el BIND recomanem encaridament visitar aquesta pàgina Tipus de registres DNS en Wikipedia, tant en les seves versions en espanyol com en anglès. Aquests tipus de registres són els que utilitzarem en la configuració dels arxius Zones, tant Directa com Inversa. És molt educatiu conèixer amb què estem bregant.
  • També suggerim llegeixin les següents Request for Comments RFC - Sol·licituds per a Comentaris, les quals estan íntimament relacionades amb un saludable funcionament de l'servei DNS, sobretot pel que fa a la Recursivitat cap als servidors Arrels:
    • RFCs 1912, 5735, 6303, i BCP 32: relatives a l' localhost
    • RFCs 1912, 6303: Style zone for IPv6 localhost address
    • RFCs 1912, 5735 and 6303: Relatives a la Xarxa Local - This Network
    • RFCs 1918, 5735 and 6303: Private Utilitza Networks
    • RFC 6598: Shared Address Space
    • RFCs 3927, 5735 and 6303: Link-local / APIPA
    • RFCs 5735 and 5736: Internet Engineering Task Force protocol assignments
    • RFCs 5735, 5737 and 6303: TEST-net- [1-3] for documentació lliure
    • RFC 3849 and 6303: IPv6 Example Range for documentació lliure
    • BCP 32: Domain Names for documentació lliure and Testing
    • RFCs 2544 and 5735: Router Benchmark Testing
    • RFC 5735: IANA Reserved - Old Class I Space
    • RFC 4291: IPv6 Unassigned Addresses
    • RFCs 4193 and 6303: IPv6 ULA
    • RFC 4291 and 6303: IPv6 Link Local
    • RFCs 3879 and 6303: IPv6 Deprecated Site-Local Addresses
    • RFC 4159: IP6.INT is Deprecated

Instal·lador

root @ dns: ~ # aptitude search bind9
p bind9 - Internet nom de camp Server p bind9-doc - documentació lliure for BIND i bind9-host - Version of 'host' bundled with BIND 9.x p bind9utils - Utilities for BIND p Gforge-dns-bind9 - collaborative development tool - DNS management (using bind9) i A libbind9-90 - bind9 Shared Library used by BIND

Proveu també a executar aptitude search ~ dbind9

root @ dns: ~ # aptitude install bind9

root @ dns: ~ # systemctl restart bind9.service

root @ dns: ~ # systemctl estatus bind9.service
● bind9.service - BIND nom de camp Server Loaded: loaded (/lib/systemd/system/bind9.service; habilitat) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   Actiu: actiu (executant) since div 2017 02:03:10 EST; 33s ago Docs: man: named (11) Process: 1 ExecStop = / usr / sbin / rndc stop (code = exited, status = 8 / SUCCESS) Main PID: 1460 (named) CGroup: /system.slice/bind0.service └─1465 / usr / sbin / named -f -o bind febrer 9 1465:03:10 dns named [33]: automatic empty zone: 11.BD1465.IP8.ARPA febrer 0.1.0.0.2 6:03:10 dns named [33]: command channel listening on 11 # 1465 127.0.0.1 feb 953:03:10 dns named [33]: command channel listening on :: 11 # 1465 1 feb 953:03:10 dns named [33]: managed -keys-zone: loaded serial 11 febrer 1465 2:03:10 dns named [33]: zone 11.in-addr.arpa/IN: loaded serial 1465 feb 0 1:03:10 dns named [33]: zone localhost / IN: loaded serial 11 febrer 1465 2:03:10 dns named [33]: zone 11.in-addr.arpa/IN: loaded serial 1465 feb 127 1:03:10 dns named [33]: zone 11.in -addr.arpa/IN: loaded serial 1465 feb 255 1:03:10 dns named [33]: all zones loaded febrer 11 1465:03:10 dns named [33]: running Hint: Some lines were ellipsized, utilitzeu -l to show in full.

Arxius de configuració instal·lats pel bind9

De forma una mica diferent a la configuració de l'servei DNS en CentOS i openSUSE, en Debian es creen els següents fitxers al directori / Etc / bind:

root @ dns: ~ # ls -l / etc / bind /
total 52 -RW-r - r-- 1 root root 2389 30 juny 2015 bind.keys -RW-r - r-- 1 root root 237 30 juny 2015 db.0 -RW-r - r-- 1 root root 271 30 juny 2015 db.127 -RW-r - r-- 1 root root 237 30 juny 2015 db.255 -RW-r - r-- 1 root root 353 30 juny 2015 db.empty -rw- r - r-- 1 root root 270 30 juny 2015 db.local -RW-r - r-- 1 root root 3048 30 juny 2015 db.root -RW-r - r-- 1 root bind 463 30 jun 2015 named.conf -RW-r - r-- 1 root bind 490 30 juny 2015 named.conf.default-zones -RW-r - r-- 1 root bind 165 30 juny 2015 named.conf.local -RW -r - r-- 1 root bind 890 3 feb 10:32 named.conf.options -RW-r ----- 1 bind bind 77 febrer 3 10:32 rndc.key -RW-r - r- - 1 root root 1317 30 juny 2015 zones.rfc1918

Tots els arxius anteriors estan en text pla. Si volem conèixer el significat i contingut de cada un d'ells, ho podem fer mitjançant les comandes menys o gat, La qual cosa és una bona pràctica.

documentació acompanyant

Al directori / Usr / share / doc / bind9 tindrem:

root @ dns: ~ # ls -l / usr / share / doc / bind9
total 56 -RW-r - r-- 1 root root 5927 30 juny 2015 copyright -RW-r - r-- 1 root root 19428 30 juny 2015 changelog.Debian.gz -RW-r - r-- 1 root root 11790 gen 27 2014 FAQ.gz -RW-r - r-- 1 root root 396 30 juny 2015 NEWS.Debian.gz -RW-r - r-- 1 root root 3362 30 juny 2015 README.Debian. gz -RW-r - r-- 1 root root 5840 gen 27 2014 README.gz

En la documentació anterior trobarem Abundant Material d'Estudi que recomanem llegir ABANS de configurar l'BIND, i fins i tot ABANS de cercar a Internet articles relatius el BIND i a l'DNS en general. Anem a llegir el contingut d'alguns d'aquests arxius:

Preguntes freqüents o Fnecessàriament ASked Questions about BIND 9

  1. Compilation and Installation Questions - Preguntes sobre la Compilació i Instal·lació
  2. Configuration and Setup Questions - Preguntes sobre la configuració i posada a punt
  3. operations Questions - Preguntes sobre l'Operació
  4. Preguntes generals - Preguntes Generals
  5. Operating-System Specific Questions - Preguntes Específiques sobre cada sistema operatiu
    1. HPUX
    2. Linux
    3. Windows
    4. FreeBSD
    5. Solaris
    6. Apple Mac US X

NEWS.Debian.gz

NEWS.Debian ens diu en resum que els paràmetres allow-query-cache y allow-recursion estan habilitats per defecte per a les ACL incorporades en el BIND -incorporat- "localnets'I'localhost'. També ens informa que els canvis per defecte es van dur a terme per fer menys atractiu als servidors cau a un atac per L’espoli des de xarxes externes.

Per comprovar l'escrit en el paràgraf anterior, si des d'una màquina de la mateixa xarxa 192.168.10.0/24 que es la de nuestro ejemplo, realizamos una petición DNS sobre el dominio desdelinux.net, y al mismo tiempo en el propio servidor dns.desdelinux.fan executem cua -f / var / log / syslog obtindrem el següent:

buzz @ sysadmin: ~ $ dig localhost
.... ;; OPT PSEUDOSECTION:; EDNS: versió: 0, flags :; udp: 4096 ;; QUESTION SECTION:; localhost. IN A ;; ANSWER SECTION: localhost. 604800 IN A 127.0.0.1 ;; AUTHORITY SECTION: localhost. 604800 IN NS localhost. ;; ADDITIONAL SECTION: localhost. 604800 IN AAAA :: 1

buzz@sysadmin:~$ dig desdelinux.net
....
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;desdelinux.net.            IN  A
....
root @ dns: ~ # tail -f / var / log / syslog ....
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:7fd::1#53
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:503:c27::2:30#53
....

La sortida de l' syslog és molt més llarga a causa de la recerca dels servidors arrels per part de l'BIND. Per descomptat que l'arxiu /etc/resolv.conf en l'equip sysadmin.desdelinux.fan apunta el DNS 192.168.10.5.

De l'execució de les ordres anteriors podem treure diverses conclusions a priori:

  • El BIND queda configurat per defecte com un Servidor Memòria cau funcional sense necessitat de configuracions posteriors, i respon consultes DNS per a les localnets i el localhost
  • La Recursivitat - La recursivitat està habilitada per a les localnets i el localhost
  • Encara no és un servidor Autoritari
  • A diferència de CentOS, on vam haver de declarar el paràmetre «Listen-on port 53 {127.0.0.1; 192.168.10.5; }; » de manera explícita perquè escoltés peticions DNS per la interfície de xarxa 192.168.10.5 de l'propi DNS, en Debian no és necessari perquè admet peticions DNS per a les localnets i el localhost per defecte. Revisin el contingut de l'arxiu /etc/bind/named.conf.options i veuran que no hi ha cap declaració llisten-on.
  • Estan habilitades les consultes IPv4 i IPv6

Si amb només llegir i interpretar -un tin com diem a Cuba- l'arxiu NEWS.Debian.gz hem arribat a interessants conclusions que ens permeten conèixer una mica més sobre la Filosofia de configuració per defecte de l'Team Debian respecte a l'BIND, quins altres aspectes interessants podem conèixer de seguir llegint els arxius de la Documentació Acompanyant?.

README.debian.gz

README.Debian ens informa -entre molts altres aspectes- que les Extensions de seguretat per al Sistema de Noms de Domini - Extensions de seguretat del sistema de noms de domini o DNSSEC, Estan habilitades; i reafirma que la configuració per defecte treballa per a la majoria dels servidors (servidors fulles - leaf servers Referint-se a les fulles de l'arbre de dominis) sense necessitat de la intervenció de l'usuari.

  • DNSSEC segons Wikipedia: Les Extensions de seguretat per al Sistema de Noms de Domini (de l'anglès nom de camp System Security Extensions, o DNSSEC) és un conjunt d'especificacions de la Internet Engineering Task Force (IETF) per assegurar cert tipus d'informació proporcionada pel sistema de nom de domini (DNS) que s'usa en el protocol d'Internet (IP). Es tracta d'un conjunt d'extensions a l'DNS que proporcionen als clients DNS (o resolvers) l'autenticació de l'origen de dades DNS, la negació autenticada de l'existència i integritat de dades, però no disponibilitat o confidencialitat.

Sobre el Esquema de configuració ens diu que tots els fitxers de configuració Estàtics, els Arxius de les Zones per als servidors Arrels, i les Zones Directa i Inversa de l' localhost estan en / Etc / bind.

El Directori de Treball de l'dimoni nomenat es / Var / cache / bind de manera que, qualsevol arxiu transitori que generi el nomenat com ara bases de dades per a la qual actua com a Servidor Esclau, siguin escrites en el Sistema d'Arxius / var, Que és on pertanyen.

A l'contrari que les versions anteriors de l'paquet BIND per a Debian, l'arxiu anomenat.conf i les db. * subministrades, estan etiquetades com arxius de configuració. De manera que si necessitem un Servidor DNS que actuï principalment com Servidor Memòria cau i que no sigui Autoritari per a ningú més, el puguem utilitzar tal qual s'instal·la i queda configurat per defecte.

Si es necessita implementar un DNS Autoritari, suggereixen posar els arxius de les Zones Mestres en el mateix directori / Etc / bind. Si la complexitat de les zones per les quals el nomenat serà Autoritari ho requereix, es recomana la creació d'una estructura de subdirectoris, fent referència als arxius de zones de forma absoluta a l'arxiu anomenat.conf.

Qualsevol Arxiu de la zona per la qual el nomenat actuï com a Servidor Esclau s'ha d'ubicar en / Var / cache / bind.

Els Arxius de Zones subjectes a Actualitzacions Dinàmiques per part d'un DHCP o de la comanda nactualitzar, S'han d'emmagatzemar en / Var / lib / bind.

Si el sistema operatiu utilitza Apparmor, El perfil instal·lat només funciona amb la configuració per defecte de l'BIND. Posteriors canvis en la configuració de l' nomenat pot ser que requereixin de canvis en el perfil de l'Apparmor. Visiteu https://wiki.ubuntu.com/DebuggingApparmor abans d'emplenar un formulari acusant un error en aquest servei.

Hi ha diverses qüestions associades a l'execució de l'Debian BIND en una Gàbia chroot - chroot jail. Visiteu http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html per més informació.

altres informacions

man named, man named.conf, man named-checkconf, man named-checkzone, man rndc, etcètera.

root @ dns: ~ # named -v
BIND 9.9.5-9 + deb8u1-Debian (Extended Support Version)

root @ dns: ~ # named -V
BIND 9.9.5-9 + deb8u1-Debian (Extended Support Version) built by make with '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' --enable-threads '' --enable-largefile '\' --with-libtool '' --enable-shared '' --enable-static '\' --with-openssl = / usr '' --with-GSSAPI = / usr '' --with-gnu-ld '\' --with-GeoIP = / usr '' --with-ATF = no '' --enable-ipv9 '' --enable-RRL '\' --enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'compiled by GCC 50 using OpenSSL versio : OpenSSL 6k 2 Jan 4.9.2 using libxml1.0.1 versió: 8

root @ dns: ~ # ps -e | grep named
  408? 00:00:00 named

root @ dns: ~ # ps -e | grep bind
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
named.pid session.key  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-RW-r - r-- 1 bind bind 4 febrer 4 13:20 /var/run/named/named.pid

root @ dns: ~ # rndc estatus
versió: 9.9.5-9 + deb8u1-Debian CPU found: 9 worker threads: 8 UDP listeners per interficie 50 number of zones: 1 debug level: 1 xfers running: 1 xfers deferred: 100 so al queries in progress: 0 query logging is OFF recursive clients: 0/0/0 tcp clients: 0/0 server is up and running
  • És innegable la importància de consultar la Documentació isntalada amb el paquet bind9 abans que qualsevol altra.

bind9-doc

root @ dns: ~ # aptitude install bind9-doc links2
root @ dns: ~ # dpkg -L bind9-doc

El paquete bind9-doc • la, entre altres informacions útils, el Manual de Referència de l'Administrador de l'BIND 9. Per accedir a l'manual -en anglès- executem:

root @ dns: ~ # links2 file: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
BIND 9 Administrator Reference Manual Copyright (c) 2004-2013 Internet Systems Consortium, Inc ( "ISC") Copyright (c) 2000-2003 Internet Software Consortium.

Esperem que gaudeixin la seva lectura.

  • Sense sortir de casa, tenim a mà Abundant documentació oficial sobre el BIND i sobre el servei DNS en general.

Configurem el BIND a l'estil Debian

/etc/bind/named.conf «el principal»

root @ dns: ~ # nano /etc/bind/named.conf
// Aquest és el primer fitxer de configuració per a BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, * BEFORE * you customize
// this configuration file.
//
// If que sigui just adding zones, si us plau that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

¿Requereix de traducció la capçalera comentat ?.

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
options {directory "/ var / cache / bind"; // If there is a tallafocs between you and nameservers you want // to talk to, you may need to fix the tallafocs to allow múltiple // ports to talk. Veure http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses Replacing // the all-0 s placeholder. // forwarders {// 0.0.0.0; //}; // ================================================ ===================== $ // If BIND logs error messages about the root key being Expired, // you will need to update your keys. Veure https://www.isc.org/bind-keys // ================================== =================================== $

    // No volem DNSSEC
        DNSSEC-enable no;
        //DNSSEC-validation acte;

        auth-NXDOMAIN no; # Conform to RFC1035

 // No necessitem escoltar per adreces IPv6
        // listen-on-v6 {any; };
    listen-on-v6 {none; };

 // Per comprovacions des del localhost i sysadmin
    // mediante dig desdelinux.fan axfr
    // No tenemos DNS Esclavos... hasta ahora
 allow-transfer {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

A l'encapçalament comentat d'aquest arxiu recomanen incloure les Zones indicades en les RFC-1918 descrites a l'arxiu /etc/bind/zones.rfc1918. La inclusió d'aquestes zones localment prevée que qualsevol consulta relativa a elles no surti de la xarxa local cap als servidors arrels, la qual cosa té dos avantatges significatius:

  • Resolució local més ràpida per als usuaris locals
  • No es crea un trànsit innecessari -o espurio- cap als servidors arrels.

Personalment no disposo de connexió amb Internet per provar la Recursivitat o el Forwarding. No obstant això, i com no hem invalidat la Recursivitat a l'arxiu named.conf.options -mitjançant recursion no; - podem incloure les esmentades zones i altres més que explico a continuació.

A l'instal·lar el BIND 9.9.7 en el Sistema Operatiu FreeBSD 10.0, que també -i de pas- és Programari Lliure, l'arxiu de configuració /usr/local/etc/namedb/named.conf.sample conté tot un seguit de zones que recomanen servir localment per -també- obtenir avantatges abans esmentades.

Per no alterar la configuració original de l'BIND en Debian, suggerim crear el fitxer /etc/bind/zones.rfcFreeBSD i incloure'l en el /etc/bind/named.conf.local amb el contingut indicat a baix, i amb els camins - camins als arxius ja adaptats a Debian:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// Shared Address Space (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 and 6303)
zone "254.169.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IETF protocol assignments (RFCs 5735 and 5736)
zone "0.0.192.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// TEST-net- [1-3] for documentació lliure (RFCs 5735, 5737 and 6303)
zone "2.0.192.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "100.51.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "113.0.203.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Example Range for documentació lliure (RFCs 3849 and 6303)
zone "8.bd0.1.0.0.2.ip6.arpa" {type master; file "/etc/bind/db.empty"; };

// Domain Names for documentació lliure and Testing (BCP 32)
zone "test" {type master; file "/etc/bind/db.empty"; }; zone "example" {type master; file "/etc/bind/db.empty"; }; zone "invalid" {type master; file "/etc/bind/db.empty"; }; zone "example.com" {type master; file "/etc/bind/db.empty"; }; zone "example.net" {type master; file "/etc/bind/db.empty"; }; zone "example.org" {type master; file "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 and 5735)
zone "18.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "19.198.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IANA Reserved - Old Class I Space (RFC 5735)
zone "240.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "241.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "242.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "243.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "244.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "245.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "246.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "247.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "248.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "249.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "250.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "251.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "252.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "253.in-addr.arpa" {type master; file "/etc/bind/db.empty"; }; zone "254.in-addr.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Unassigned Addresses (RFC 4291)
zone "1.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "8.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "a.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "b.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "c.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "d.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "e.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "0.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "1.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "2.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "8.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.f.ip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "afip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "bfip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "0.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "1.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "2.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "3.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "4.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "5.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "6.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "7.efip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 and 6303)
zone "cfip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "dfip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Link Local (RFCs 4291 and 6303)
zone "8.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "9.efip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "aefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "befip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IPv6 Deprecated Site-Local Addresses (RFCs 3879 and 6303)
zone "cefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "defip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "eefip6.arpa" {type master; file "/etc/bind/db.empty"; }; zone "fefip6.arpa" {type master; file "/etc/bind/db.empty"; };

// IP6.INT is Deprecated (RFC 4159)
zone "ip6.int" {type master; file "/etc/bind/db.empty"; };

Tot i que hem eliminat la possibilitat d'escoltar peticions IPv6 en el nostre exemple, no està de més la inclusió de les zones IPv6 al fitxer anterior per a qui les necessiti.

El contingut final de /etc/bind/named.conf.local és:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organització
include "/etc/bind/zones.rfc1918"; include "/etc/bind/zones.rfcFreeBSD";

// Declaració de el nom, tipus, ubicació, i permís d'actualització
// de les Zones de Registres DNS // Les dues Zones són MESTRES
zone "desdelinux.fan" {
 tipus mestre;
 file "/var/lib/bind/db.desdelinux.fan";
};

zone "10.168.192.in-addr.arpa" {
 tipus mestre;
 file "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

Creem els arxius de cada zona

El contingut dels arxius de cada zona ho podem copiar literalment des de l'article «DNS i DHCP a CentOS juliol«, Sempre quat posem cura en canviar el directori de destinació a / Var / lib / bind:

[root@dns ~]# nano /var/lib/bind/db.desdelinux.fan
$TTL 3H
@   IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN  NS  dns.desdelinux.fan.
@               IN  MX  10 mail.desdelinux.fan.
@       IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
;
sysadmin        IN  A   192.168.10.1
ad-dc           IN  A   192.168.10.3
fileserver  IN  A   192.168.10.4
dns             IN  A   192.168.10.5
proxyweb        IN  A   192.168.10.6
blog            IN  A   192.168.10.7
ftpserver   IN  A   192.168.10.8
mail            IN  A   192.168.10.9

[Root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$TTL 3H
@   IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                        1   ; serial
                                        1D  ; refresh
                                        1H  ; retry
                                        1W  ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@               IN  NS  dns.desdelinux.fan.
;
1   IN  PTR     sysadmin.desdelinux.fan.
3   IN  PTR     ad-dc.desdelinux.fan.
4   IN  PTR     fileserver.desdelinux.fan.
5   IN  PTR     dns.desdelinux.fan.
6   IN  PTR     proxyweb.desdelinux.fan.
7   IN  PTR     blog.desdelinux.fan.
8   IN  PTR     ftpserver.desdelinux.fan.
9   IN  PTR     mail.desdelinux.fan.

Vam comprovar la sintaxi de cada zona

root@dns:~# named-checkzone desdelinux.fan /var/lib/bind/db.desdelinux.fan 
zona desdelinux.fan/IN: loaded serial 1
OK

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
zone 10.168.192.in-addr.arpa/IN: loaded serial 1 OK

Comprovació de la configuració general de l'BIND

root @ dns: ~ # named-checkconf -zp
  • De seguir el procediment de modificar el anomenat.conf d'acord a les nostres necessitats i comprovar, i crear cada arxiu de zona i comprovar-la, dubtem que ens haguem d'enfrontar a problemes majors de configuració. A la fin ens adonem que és un joc de nois, amb molts conceptes i primmirada sintaxi,

Les comprovacions van tornar resultats satisfactoris, per tant podem reiniciar el BIND - nomenat.

Reiniciem el BIND i vam comprovar el seu status

[Root @ dns ~] # systemctl restart bind9.service
[Root @ dns ~] # systemctl estatus bind9.service
● bind9.service - BIND nom de camp Server Loaded: loaded (/lib/systemd/system/bind9.service; enabled) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Active: activi (running) since dg 2017 02:05:07 EST; 45s ago Docs: man: named (03) Process: 5 ExecStop = / usr / sbin / rndc stop (code = exited, status = 8 / SUCCESS) Main PID: 1345 (named) CGroup: /system.slice/bind0.service └─1350 / usr / sbin / named -f -o bind febrer 9 1350:05:07 dns named [45]: zone 03.f.ip1350.arpa/IN: loaded serial 1 feb 6 1:05:07 dns named [45]: zone afip03.arpa/IN: loaded serial 1350 feb 6 1:05:07 dns named [45]: zone localhost / IN: loaded serial 03 feb 1350 2:05:07 dns named [45]: zone test / IN: loaded serial 03 feb 1350 1:05:07 dns named [45]: zone example / IN: loaded serial 03 feb 1350 1:05:07 dns named [45]: zone 03.efip1350.arpa/IN: loaded serial 5 feb 6 1:05:07 dns named [45]: zone bfip03.arpa/IN: loaded serial 1350 feb 6 1:05:07 dns named [45]: zone ip03.int/IN: loaded serial 1350 feb 6 1:05:07 dns named [45]: all zones loaded febrer 03 1350:05:07 dns named [45]: running

D'obtenir qualsevol tipus d'error en la sortida de l'últim comando, hem de reiniciar el named.service i tornar a comprovar la seva estat. Si els errors van desaparèixer, el servei es va iniciar correctament. En cas contrari, hem de realitzar una minuciosa revisió de tots els fitxers modificats i creats, i repetir el procediment.

comprovacions

Les comprovacions es poden executar en el mateix servidor o en una màquina connectada a la LAN. Preferim realitzar-les des de l'equip sysadmin.desdelinux.fan a el qual vam donar permís exprés perquè pugui realitzar Transferències de Zones. l'arxiu /etc/resolv.conf d'aquest equip és el següent:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generated by NetworkManager search desdelinux.fan nameserver 192.168.10.5

buzz@sysadmin:~$ dig desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr
;; global options: +cmd
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.
desdelinux.fan.     10800   IN  MX  10 mail.desdelinux.fan.
desdelinux.fan.     10800   IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
ad-dc.desdelinux.fan.   10800   IN  A   192.168.10.3
blog.desdelinux.fan.    10800   IN  A   192.168.10.7
dns.desdelinux.fan. 10800   IN  A   192.168.10.5
fileserver.desdelinux.fan. 10800 IN A   192.168.10.4
ftpserver.desdelinux.fan. 10800 IN  A   192.168.10.8
mail.desdelinux.fan.    10800   IN  A   192.168.10.9
proxyweb.desdelinux.fan. 10800  IN  A   192.168.10.6
sysadmin.desdelinux.fan. 10800  IN  A   192.168.10.1
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun febrer 05 07:49:01 EST 2017
;;; XFR size: 13 records (messages 1, bytes 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa AXFR
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr
;; global options: +cmd
10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
10.168.192.in-addr.arpa. 10800  IN  NS  dns.desdelinux.fan.
1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.fan.
3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.fan.
4.10.168.192.in-addr.arpa. 10800 IN PTR fileserver.desdelinux.fan.
5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.fan.
6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.fan.
7.10.168.192.in-addr.arpa. 10800 IN PTR blog.desdelinux.fan.
8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.desdelinux.fan.
9.10.168.192.in-addr.arpa. 10800 IN PTR mail.desdelinux.fan.
10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun febrer 05 07:49:47 EST 2017
;;; XFR size: 11 records (messages 1, bytes 333)

buzz@sysadmin:~$ dig IN SOA desdelinux.fan
buzz@sysadmin:~$ dig IN MX desdelinux.fan
buzz@sysadmin:~$ dig IN TXT desdelinux.fan

buzz @ sysadmin: ~ $ host proxyweb
proxyweb.desdelinux.fan has address 192.168.10.6

buzz @ sysadmin: ~ $ host ftpserver
ftpserver.desdelinux.fan has address 192.168.10.8

buzz @ sysadmin: ~ $ host 192.168.10.9
9.10.168.192.in-addr.arpa domain name pointer mail.desdelinux.fan.

... I qualsevol altra comprovació que necessitem.

Instal·lem i configurem el DHCP

A Debian, el servei DHCP el brinda el paquet isc-dhcp-server:

root @ dns: ~ # aptitude search isc-dhcp
i isc-dhcp-client - DHCP client for automatically obtaining an IP address p isc-dhcp-client-dbg - ISC DHCP server for automatic IP address assignment (client debug) i isc-dhcp-common - common files used by all of the isc-dhcp packages p isc-dhcp-dbg - ISC DHCP server for automatic IP address assignment (debuging symbol p isc-dhcp-dev - API for accessing and modifying the DHCP server and client state p isc-dhcp-relay - ISC DHCP relay dimoni p isc-dhcp-relay-dbg - ISC DHCP server for automatic IP address assignment (relay debug) p isc-dhcp-server - ISC DHCP server for automatic IP address assignment p isc-dhcp-server-dbg - ISC DHCP server for automatic IP address assignment (server debug) p isc-dhcp-server-ldap - DHCP server that uses LDAP es its backend

root @ dns: ~ # aptitude install isc-dhcp-server

Acabada la instal·lació de el paquet, el -omnipresente- systemd es queixa que no va poder iniciar el servei. A Debian, hem de declarar explícitament per quina interfície de xarxa arrendarà adreces IP i respondrà a les sol·licituds, el isc-dhcp-server:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # On what interfícies should the DHCP server (dhcpd) serve DHCP requests? # Separate múltiple interfícies with spaces, ig "eth0 eth1".
INTERFÍCIES = "eth0"

documentació instal·lada

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
total 44 -RW-r - r-- 1 root root 1235 14 desembre 2014 copyright -RW-r - r-- 1 root root 26031 13 febrer 2015 changelog.Debian.gz drwxr-xr-x 2 root root 4096 febrer 5 08:10 examples -RW-r - r-- 1 root root 592 14 desembre 2014 NEWS.Debian.gz -RW-r - r-- 1 root root 1099 14 desembre 2014 README.Debian

Clau TSIG «dhcp-key»

És recomanable la generació de la clau TSIG o Signatura de Transacció - Trescat SIGnaturalesa, Per a l'autenticació de les actualitzacions dinàmiques de l'DNS pel DHCP. Com hem vist en l'article anterior «DNS i DHCP a CentOS juliol«, Considerem que no és tan imprescindible la generació d'aquesta clau, sobretot quan tots dos serveis estan instal·lats en un mateix servidor. No obstant això, oferim el procediment general per a la seva generació automàtica:

root @ dns: ~ # DNSSEC-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-key. + 157 + 11088

root @ dns: ~ # cat Kdhcp-key. + 157 + 11088.private 
Private-key-format: v1.3 Algorithm: 157 (HMAC_MD5) Key: TEqfcx2FUMYBQ1hA1ZGelA == Bits: AAA = Created: 20170205121618 Publish: 20170205121618 Activate: 20170205121618

root @ dns: ~ # nano dhcp.key
key dhcp-key {
        algorithm HMAC-md5;
        secret "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ dns: ~ # ls -l /etc/bind/*.key
-RW-r ----- 1 root bind 78 febrer 5 08:21 /etc/bind/dhcp.key -RW-r ----- 1 bind bind 77 febrer 4 11:47 / etc / bind / rndc .key
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-RW-r ----- 1 root root 78 febrer 5 08:21 /etc/dhcp/dhcp.key

Actualització de les Zones de l'BIND mitjançant la clau dhcp-key

root @ dns: ~ # nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";
include "/etc/bind/dhcp.key";

// Declaración del nombre, tipo, ubicación, y permiso de actualización
// de las Zonas de Registros DNS
// Ambas Zonas son MAESTRAS
zone "desdelinux.fan" {
    type master;
    file "/var/lib/bind/db.desdelinux.fan";
 allow-update {key dhcp-key; };
}; zone "10.168.192.in-addr.arpa" {type master; file "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update {key dhcp-key; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

Configurem el isc-dhcp-server

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim;
ddns-updates on;
ddns-domainname "desdelinux.fan.";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;

authoritative;

option ip-forwarding off;
option domain-name "desdelinux.fan";

include "/etc/dhcp/dhcp.key";

zone desdelinux.fan. {
        primary 127.0.0.1;
        key dhcp-key;
}
zone 10.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key dhcp-key;
}

shared-network redlocal {
        subnet 192.168.10.0 netmask 255.255.255.0 {
                option routers 192.168.10.1;
                option subnet-mask 255.255.255.0;
                option broadcast-address 192.168.10.255;
                option domain-name-servers 192.168.10.5;
                option netbios-name-servers 192.168.10.5;
                range 192.168.10.30 192.168.10.250;
        }
}
# FIN dhcpd.conf

Comprovem l'arxiu dhcpd.conf

root @ dns: ~ # dhcpd -t
Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Database file: /var/lib/dhcp/dhcpd.leases PID file: / var / run /dhcpd.pid

Reiniciem el BIND i iniciem el isc-dhcp-server

root @ dns: ~ # systemctl restart bind9.service 
root @ dns: ~ # systemctl estatus bind9.service 

root @ dns: ~ # systemctl start isc-dhcp-server.service
root @ dns: ~ # systemctl per a l'estat isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: DHCP server Loaded: loaded (/etc/init.d/isc-dhcp-server) Active: activi (running) since dg 2017 02:05:08 EST; 41s ago procés: una 45 ExecStop = / etc / init.d / isc-dhcp-server stop (code = exited, status = 6 / SUCCESS) al procés: una 2039 ExecStart = / etc / init.d / isc-dhcp-server start ( code = exited, status = 0 / SUCCESS) CGroup: /system.slice/isc-dhcp-server.service └─2049 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 febrer 2057 0:05:08 dns dhcpd [41]: Wrote 43 leases to leases file. febrer 2056 0:05:08 dns dhcpd [41]: Server starting service. febrer 43 2057:05:08 dns isc-dhcp-server [41]: Starting ISC DHCP server: dhcpd.

Comprovacions amb clients

Iniciem un client amb el sistema operatiu Windows 7, amb el nom «LAGER».

buzz @ sysadmin: ~ $ host lager
LAGER.desdelinux.fan has address 192.168.10.30

buzz@sysadmin:~$ dig in txt lager.desdelinux.fan

Canviem el nom d'aquest client a «seven» i reiniciem a el client

buzz @ sysadmin: ~ $ host lager
;; connection timed out; no servers could be reached

brunzit@sysadmin: ~ $ host seven
set.desdelinux.fan has address 192.168.10.30
buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer seven.desdelinux.fan.

buzz@sysadmin:~$ dig in txt seven.desdelinux.fan

Vam tornar a canviar el nom de el client amb Windows 7 a «win7»

buzz @ sysadmin: ~ $ host seven
;; connection timed out; no servers could be reached

buzz @ sysadmin: ~ $ host win7
win7.desdelinux.fan has address 192.168.10.30
buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer win7.desdelinux.fan.

buzz@sysadmin:~$ dig in txt win7.desdelinux.fan
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> in txt win7.desdelinux.fan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11218
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;win7.desdelinux.fan.       IN  TXT

;; ANSWER SECTION:
win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

;; AUTHORITY SECTION:
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.

;; ADDITIONAL SECTION:
dns.desdelinux.fan. 10800   IN  A   192.168.10.5

;; Query time: 0 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:13:20 EST 2017
;; MSG SIZE  rcvd: 129

buzz@sysadmin:~$ dig desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr
;; global options: +cmd
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
desdelinux.fan.     10800   IN  NS  dns.desdelinux.fan.
desdelinux.fan.     10800   IN  MX  10 mail.desdelinux.fan.
desdelinux.fan.     10800   IN  TXT "DesdeLinux, su Blog dedicado al Software Libre"
ad-dc.desdelinux.fan.   10800   IN  A   192.168.10.3
blog.desdelinux.fan.    10800   IN  A   192.168.10.7
dns.desdelinux.fan. 10800   IN  A   192.168.10.5
fileserver.desdelinux.fan. 10800 IN A   192.168.10.4
ftpserver.desdelinux.fan. 10800 IN  A   192.168.10.8
mail.desdelinux.fan.    10800   IN  A   192.168.10.9
proxyweb.desdelinux.fan. 10800  IN  A   192.168.10.6
sysadmin.desdelinux.fan. 10800  IN  A   192.168.10.1
win7.desdelinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.desdelinux.fan. 3600    IN  A   192.168.10.30
desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
;; Query time: 2 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:15:13 EST 2017
;; XFR size: 15 records (messages 1, bytes 453)

A la sortida anterior, ressaltem en negretes tots els TTL -en segons- per als equips amb adreces IP atorgades pel servei DHCP els que posseeixen una declaració explícita de l'TTL 3600 donada pel DHCP. Les IP fixes es guien pel $ TTL de 3H -3 hores = 10800 segons- declarats en el registre SOA de cada arxiu de zona.

Poden comprovar de la mateixa manera la zona inversa.

[Root @ dns ~] # dig 10.168.192.in-addr.arpa AXFR

Altres comandaments summament interessants són:

[root@dns ~]# named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
del  desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
del desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
add desdelinux.fan.     10800   IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
add win7.desdelinux.fan.    3600    IN  A   192.168.10.30
add win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[Root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.fan. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR win7.desdelinux.fan.

[Root @ dns ~] # journalctl -f

Modificació manual d'arxius de Zones

Després que el DHCP entra en el joc d'actualitzar de forma dinàmica als arxius de zones de l'BIND, si necessitem en algun moment modificar manualment un arxiu de zona, hem d'efectuar el següent procediment, no sense abans conèixer una mica més el funcionament de la utilitat rndc -man rndc- per al control de l' nomenat.

  • rndc freeze [zone [class [view]]], Suspèn l'actualització dinàmica d'una zona. Sinó s'especifica una, totes es congelaran. La comanda permet l'edició manual de la zona congelada o de totes les zones. Es negarà qualsevol actualització dinàmica mentre estigui congelada.
  • rndc Thaw [Zone [class [view]]], Habilita les actualitzacions dinàmiques en una zona prèviament congelada. El servidor DNS recàrrega l'arxiu de zona des del disc i es tornen a habilitar les actualitzacions dinàmiques després que la recàrrega s'acabi.

¿Cures a tenir quan vam editar manualment un arxiu de zona ?. Els mateixos que si la estiguéssim creant, sense oblidar incrementar en 1 el número de sèrie o de sèrie abans de desar el fitxer amb els canvis definitius.

Congelem les zones

Com realitzarem canvis en les Zones Directa i Inversa mentre s'estan executant el DNS i el DHCP, el més saludable és congelar les Zones de el DNS:

[Root @ dns ~] # rndc freeze

La Zona desdelinux.fan conté els següents registres:

[root@dns ~]# cat /var/lib/bind/db.desdelinux.fan
$ORIGIN .
$TTL 10800      ; 3 hours
desdelinux.fan          IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                8; serial
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
                        MX      10 mail.desdelinux.fan.
                        TXT     "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc                   A       192.168.10.3
blog                    A       192.168.10.7
dns                     A       192.168.10.5
fileserver              A       192.168.10.4
ftpserver               A       192.168.10.8
mail                    A       192.168.10.9
proxyweb                A       192.168.10.6
sysadmin                A       192.168.10.1
$TTL 3600       ; 1 hour
win7                    A       192.168.10.30
                        TXT     "31b7228ddd3a3b73be2fda9e09e601f3e9"

Afegim el servidor «shorewall»Amb la IP 192.168.10.10:

root@dns:~# nano /var/lib/bind/db.desdelinux.fan
$ORIGIN .
$TTL 10800  ; 3 hours
desdelinux.fan      IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                9; serial
                86400      ; refresh (1 day)
                3600       ; retry (1 hour)
                604800     ; expire (1 week)
                10800      ; minimum (3 hours)
                )
            NS  dns.desdelinux.fan.
            MX  10 mail.desdelinux.fan.
            TXT "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc           A   192.168.10.3
blog            A   192.168.10.7
dns         A   192.168.10.5
fileserver      A   192.168.10.4
ftpserver       A   192.168.10.8
mail            A   192.168.10.9
proxyweb        A   192.168.10.6
shorewall A 192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; 1 hour win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

Se suposa hem de modificar també la Zona inversa:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ORIGIN .
$TTL 10800      ; 3 hours
10.168.192.in-addr.arpa IN SOA  dns.desdelinux.fan. root.dns.desdelinux.fan. (
                                7; serial
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
$ORIGIN 10.168.192.in-addr.arpa.
1                       PTR     sysadmin.desdelinux.fan.
3                       PTR     ad-dc.desdelinux.fan.
$TTL 3600       ; 1 hour
30                      PTR     win7.desdelinux.fan.
$TTL 10800      ; 3 hours
4                       PTR     fileserver.desdelinux.fan.
5                       PTR     dns.desdelinux.fan.
6                       PTR     proxyweb.desdelinux.fan.
7                       PTR     blog.desdelinux.fan.
8                       PTR     ftpserver.desdelinux.fan.
9                       PTR     mail.desdelinux.fan.
10                      PTR     shorewall.desdelinux.fan.

Descongelem i recarreguem les zones

[Root @ dns ~] # rndc Thaw

root @ dns: ~ # journalctl -f
-- Logs begin at dom 2017-02-05 06:27:10 EST. --
feb 05 12:00:29 dns named[1996]: received control channel command 'thaw'
feb 05 12:00:29 dns named[1996]: thawing all zones: success
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: loaded serial 7
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: loaded serial 9

buzz @ sysadmin: ~ $ host shorewall
shorewall.desdelinux.fan has address 192.168.10.10

buzz @ sysadmin: ~ $ host 192.168.10.10
10.10.168.192.in-addr.arpa domain name pointer shorewall.desdelinux.fan.

buzz@sysadmin:~$ dig desdelinux.fan axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa AXFR

root @ dns: ~ # journalctl -f
....
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR started
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR ended
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR started
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR ended

Resum

Fins aquí tenim en funcionament un servidor DNS Memòria cau, que admet la Recursivitat, que és Autoritari per a la Zona desdelinux.fan, I que li permet a l'DHCP actualitzar les Zones Directa i Inversa amb els noms d'equips i IP que ell atorga.

Aquest article i els dos anteriors «DNS i DHCP a openSUSE 13.2 'Harlequin' »I«DNS i DHCP a CentOS juliol»Constitueixen pràcticament un de sol. Trobaran conceptes generals sobre el DNS i DHCP, i particularitats de cada distribució en cada un d'ells. són un Punt d'entrada a el tema, i una base per a desenvolupaments més complexos.

No dubtarem a insistir -un cop més- en la importància que té el llegir la documentació tècnica que s'instal·la per defecte amb cada paquet, ABANS de configurar qualsevol detall. Ho diem per pròpia experiència.

propera entrega

Probablement sigui «Microsoft Active Directory + BIND»


23 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   llangardaix va dir

    Que tros de tutorial que et fes manat company, no es d'on surt tanta capacitat de detall i ordre en temes tan complex com aquest.

    Els meus més sinceres felicitacions, tot un honor poder llegir-te

  2.   Nois va dir

    He de dir-te que és la HOSTIA els estatuts que publiques, m'encanten.
    Estic sempre a l'espera de la teva pròxim capítol.
    Quan acabis, el posaràs en un pdf? És una documentació que al meu entendre és molt valuosa, que mereix tenir-la ben guardada.
    Moltes gràcies i una gran salutació.
    Bafo.

  3.   federico va dir

    Bafo: Moltes Gràcies per la teva avaluació i comentari. El millor premi a el temps, treball, i esforç que dedico a cada tut, és el comentari. Sigui positiu o negatiu, però és el senyal que no passa inadvertit. Suposo que molts lectors només descarreguin i guardin, o el s'addicionin als seus marcadors. Però això només ho puc suposar d'acord amb el nombre de visites. Llàstima que no comentin molts, encara que es que els temes que tracto són per sysadmins en el fonamental. Una salutació per a tu també i t'esperaré en els meus propers articles.

  4.   federico va dir

    Llangardaix: Gràcies per la teva sincera avaluació que sempre tindré en compte.

  5.   artus va dir

    Com seria la configuració si tinc dues interfícies de xarxa en el cas de bind
    Gràcies i felicitacions pel material.

  6.   federico va dir

    Artus: Gràcies pel teu comentari i felicitacions.
    La resposta a la teva pregunta mereix un article a part sobre l'ús de les Vistes - vistes al BIND.

    En cas que tinguis una zona delegada sota la teva responsabilitat, i que vulguis tenir un sol BIND per atendre consultes internes des del teu LAN ia les consultes externes des d'Internet -amb el BIND protegit per un Firewall és clar- es recomana l'ús de les vistes.

    Les Vistes, per exemple, permeten presentar una configuració per la teva Xarxa PIME i una altra per a Internet. Quan no configurem cap Vista de forma explícita, el BIND crea implícitament una sola que mostra a tots els equips que el consulten.

    Com l'ús de les Vistes ho considero un tema avançat pot i escriviu un article a l'respecte, abans o després de l'promès post anunciat a la fin d'aquest.

    Ara bé, si tens dues interfícies de xarxa de cara a la teva Xarxa PIME -formada per dos Xarxes privades- per qualsevol raó de disseny, balanç de càrrega, quantitat d'equips o altra, i vols presentar totes les teves zones a ambdues xarxes, ho pots solucionar amb la declaració:

    listen-on {
    127.0.0.1;
    IP-Interfície-Privada1;
    IP-interfície-Privada2;
    };

    D'aquesta manera, el BIND escolta les peticions per ambdues interfícies.

    Si tots els teus equips són a la Xarxa Privada Classe C 192.168.10.0/255.255.240.0 -fins 4094 hosts- per exemple, també pots utilitzar la declaració:

    listen-on {127.0.0.1; 192.168.10.0/20; };

    I segueixes mostrant una sola vista a tots els equips connectats a la teva Xarxa Privada LAN.

    Espero la meva breu resposta t'ajudi. Salutacions i èxits.

    1.    artus va dir

      Gràcies per respondre tan aviat. Veureu estic muntant un Servidor Debian respecte la versió 9 (Strech), aquest posseeix DNS, dhcp i squid com a proxy, per als filtres de contingut faré servir e2guardian.

      L'equip té dues interfícies de xarxa, que permetrà als equips de la LAN sortir a Internet.
      router: 192.168.1.1
      eth0: 192.168.1.55 (per aquesta intefaz es sortirà a Internet)
      eth1: 192.168.100.1 (LAN)

      La idea és que els equips puguin sortir a Internet per aquest servidor intermediari, que també proveirà ips i dns als equips de la xarxa interna.

      En aquest cas no necessito que el servidor atengui peticions dns per la interfície eth0 (no vull presentar les meves zones a ambdues xarxes, només al meu LAN); llavors si trec la IP-interfície-privada1, seria suficient ?.

      Gràcies novament i salutacions.

  7.   Eduardo Noel va dir

    Molt bon article meu amic
    Portes el BIND a les venes, encara que diguis i pensis el contrari 🙂
    Felicitats

  8.   federico va dir

    Artus: Elimina la interfície 192.168.1.55 de la declaració listen-on i ja. O declara només listen-on {127.0.0.1; 192.168.100.1; }; i ja està. El BIND només escoltarà per aquestes interfícies.

    1.    artus va dir

      Bé gràcies.

  9.   federico va dir

    Eduardo: amic meu, tot i així prefereixo a l'dnsmasq per a xarxes «petites», i caldrà veure quan «grans» puguin ser. 😉 Encara que reconec que el BIND + isc-dhcp-server és el BIND + isc-dhcp-server. 😉

  10.   federico va dir

    Eduardo: vaig oblidar dir-te que l'El Especialista en BIND, ets tu, Mestre.

  11.   caçador va dir

    Anys usant BIND i segueixo aprenent amb els teus escrits, moltes gràcies Frederic, amb aquesta sèrie de estatuts es fogea XNUMX sysadmin. Torno i et repeteixo, la idea d'englobar tot aquest coneixement en un format portable oficial no està gens malament, dóna-li cap que alguna cosa molt bo pot sortir. Una salutació.

  12.   federico va dir

    Amic Dhunter: Els teus comentaris sempre són ben rebuts. Englobar tot és tasca àrdua i gairebé impossible, perquè sempre sorgeix algun nou tema. Per capítols, va i és possible. Caldria reescriure algun article per guanyar en coherència de configuracions. No prometo res, però veurem.

  13.   Ismael Álvarez Wong va dir

    hola federico, heus aquí els meus comentaris:
    1) El èmfasi que fas a «... llegir abans de configurar l'BIND i fins i tot ABANS de cercar a Internet articles relatius el BIND i a l'DNS ...» buscant-los en el nostre propi equip i tot això «... sense sortir de casa ...» per utilitzar els teus pròpies paraules.
    2) En aquest post trobem més teoria sobre el DNS que complementa l'brindada en els dos posts anteriors i sempre s'agraeix; per exemple: el DNSSEC (Domain Name System Security Extensions) i perquè s'utilitza; així com l'Esquema de configuració de l'BIND amb els seus fitxers de configuració Estàtics, Arxius de Zones per als servidors Arrels, i les Zones Directa i Inversa de l'localhost en Debian.
    3) GENIAL el tip de al no desactivar la recursivitat (mitjançant la línia «recursion no;») llavors incloure a l'arxiu de configuració /etc/bind/named.conf.local, els arxius de zones / etc / bind / zones. RFC1918 i /etc/bind/zones.rfcFreeBSD per evitar que qualsevol consulta relativa a elles surti de la xarxa local cap als servidors arrels.
    4) A diferència de l'post anterior sobre CentOS 7, en aquest post si es genera la Clau TSIG "dhcp-key" per a les actualitzacions dinàmiques de l'DNS des del DHCP; per permetre-ho al fitxer /etc/bind/named.conf.local cal incloure «allow-update {key dhcp-key; }; » en la configuració de les Zones directa i inversa del nostre domini.
    5) El gran detall (igual a l'post ant en CentOS 7) de tot el relacionat amb les comprovacions de l'funcionament de l'DNS, DHCP i amb els clients.
    6) GENIAL el tip d'utilitzar la comanda «install» (si com s'escriu, no em refereixo a l'opció d'igual nom que s'utilitza en altres ordres), jo no el coneixia, per és un veritable «3 en 1» perquè agrupa còpia (cp), establiment de propietaris (chown) i de permisos (chmod).
    . Per últim molt bona la teva resposta a Artus sobre l'ús de les Vistes a BIND, una de cara a la LAN (xarxa privada) i l'altra per a Internet perquè només permetre que es consultin els serveis públics. Tant de bo més endavant tinguis temps per preparar un post ja que és un tema d'aplicació molt pràctica per a molts sysadmin.
    Res Federico que segueixo cada mes entusiasmat amb la sèrie PIMES i espero amb ànsies el següent post "Microsoft Active Directory + BIND"

  14.   federico va dir

    Wong: Col·lega i amic, els seus comentaris complementen els meus articles i demostren que són comprensibles. La comanda «install» té moltes més opcions. consulta man install. Gràcies Mil per comentar !!!

  15.   crespo88 va dir

    No he llegit els comentaris encara, ho faré després d'exposar el meu criteri.
    Fes fet i has aconseguit molt, ens has donat una llum però no la que és la que es veu a l' »final de túnel» quan ja no hi ha + esperances com acostumem a dir; no aquesta no per res, has donat la llum completa per poder dir »A la fi ens adonem que és un joc de nois, amb molts conceptes i primmirada sintaxi» com exposes en el post.
    TRONC DE POST i al costat dels anteriors per parell de famoses distros més. Vas complir amb l'ampliació de conceptes i teoria que en moltes ocasions ens passa factura. He llegit amb detalls, amb calma i és impossible no fer comentaris i sentir-COMPLETAMENT AGRAÏT per tal lliurament i dedicació.
    Sense més, et desitgem tots salut i que segueixis aportant; et donem les gràcies i que la sort, economia, salut (te la desitgem doble) i amor t'acompanyi (amb el de Sandra perquè més, jajaja).
    Sé que el comentari es va una mica més enllà de l'contingut de l'post, es va a la personal perquè som amics i admiro la teva lliurament desinteressada. Ningú NINGÚ fa el que fas pels que volem aprendre cada vegada més i tenim sobre les nostres espatlles la responsabilitat d'administrar xarxes PIME, tasca gens fàcil.
    Sl2 a tots.

  16.   federico va dir

    crespo88: Mil Gràcies per les teves valoracions sobre aquest i altres articles publicats. Alguns lectors poden pensar que ho dono tot, quan no és cert. Sempre em refereixo a un Punt d'Entrada, encara que els exemples siguin totalment funcionals. El BIND és La Indústria Electrònica i el DHCP no es queda enrere. Per conèixer-los per sobre de la mitjana, cal passar un postgrau a la Universitat d'Hèlsinki, 😉

  17.   Miguel Guaramato va dir

    em sembla aquest tema interessant i molt important. Estic interessat en aquest estudi del que és tot el referent a administració de xarxes linux i sobretot servidors: dns, dhcp dinàmic i estàtic i xarxes virtuals, bin9, samba, servidors d'impressió, ldap, supervicion de xarxa amb aplicacions, muntatges de bases de dades per aplicacions dels programadors i vlan, etc. Per això és important i està molt bé aquests tip i amb practiques i exemples.

  18.   federico va dir

    Hola Miguel !!!
    Gràcies per comentar i espero la sèrie t'ajudi en el que t'interessa. Salutacions.

  19.   jorge va dir

    Moltes gràcies per l'article Federico, es nota que saps de debian. Una abraçada.

  20.   federico va dir

    Moltes Gràcies Jordi, pel teu comentari. Espero que els meus articles t'ajudin.

  21.   Pau Raul Vargas Hall va dir

    Moltes gràcies pel post el qual aquesta ben documentat i ens insta a llegir, llegir i llegir una altra vegada. Ara amb el següent post que vas publicar voldria que tinguessis en compte els punts de convergència que tendria:
    Microsoft Active Directory amb Samba4 com Directori Actiu

    A part et volia consultar el següent:
    Com seria la implementació de Bind + Isc-dhcp al FW en una DMZ on el controlador de domini estaria en la DMZ amb un samba 4 AD