Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod
Dobrý den, přátelé!. Uvidíme v tomto článku, jak můžeme implementovat důležitou dvojici služeb pro sítě tvořené DNS a DHCP na CentOS - Linux, konkrétně ve verzi 7.2.
- Některé články o DNS odkazují na skutečnost, že implementace této služby je trochu nejasná a obtížná. S tímto tvrzením moc nesouhlasím. Raději bych řekl, že je to trochu koncepční a že mnoho jeho konfiguračních souborů má složitou syntaxi. Naštěstí máme nástroje, které krok za krokem kontrolují syntaxi každého konfiguračního souboru, který upravujeme. Proto se pokusíme čtení tohoto příspěvku zpříjemnit a zpříjemnit..
Pro ty, kteří hledají základní pojmy o obou službách, důrazně doporučujeme zahájit vyhledávání na Wikipedii ve španělské i anglické verzi. Není méně pravdou, že články v angličtině jsou téměř vždy úplnější a ucelenější. Wikipedia je přesto velmi dobrým výchozím bodem.
Pro ty z vás, kteří se opravdu chtějí dozvědět více o DNS a BIND, doporučujeme přečíst si knihu «OReilly - DNS a BIND 4ed" napsáno Pavel Albitz y Kriket Liunebo novější vydání, které určitě existuje.
Již jsme publikovali článek na toto téma s názvem «DNS a DHCP v openSUSE 13.2 Harlequin - sítě malých a středních podniků»Pro milovníky grafického prostředí. Od nynějška se však budou potýkat s články o tomto tématu - nikoli o jiných - napsaných s velkým využitím emulátoru terminálu nebo konzoly. Páni, v klasickém stylu používaném správci systému UNIX® / Linux.
Pokud se chcete dozvědět více o příjmení názvu tohoto článku «Sítě pro malé a střední podniky»Stránku můžete navštívit v tomto blogu«Sítě SME: první virtuální střih«. V něm najdete odkazy na mnoho dalších publikovaných článků.
- Po dokončení instalace operačního systému CentOS 7 s balíčky, které doporučujeme, el adresář /usr/share/doc/bind-9.9.4/ obsahuje velké množství dokumentace, kterou doporučujeme konzultovat, než se pustíte do vyhledávání na internetu, aniž byste nejprve věděli, že na dosah ruky a doma můžete najít, co hledáte.
Instalace základního systému
Obecná data domény a serveru DNS
Doménové jméno: desdelinux.fanoušek Název serveru DNS: dns.desdelinux.fanoušek IP adresa: 192.168.10.5 Maska podsítě: 255.255.255.0
Instalace
Začínáme s novou nebo čistou instalací operačního systému CentOS 7, jak je uvedeno v předchozím článku «CentOS 7 Hypervisor I - sítě SMB«. Musíme provést pouze následující změny:
- V Imagen 22 «VÝBĚR SOFTWARU«, Doporučujeme zvolit v levém sloupci«Základní prostředí»Možnost odpovídající«Server infrastruktury«, Zatímco v pravém sloupci«Pluginy pro vybrané prostředí»Zaškrtněte políčko«DNS server jmen«. Server DHCP nainstalujeme později.
- Vzpomeňme si na deklaraci dalších úložišť, jak je uvedeno v Imagen 23, po nastavení «NÁZEV SÍTĚ A TÝMU".
- Obrázky odkazující na oddíly, které vytvoříme na našem pevném disku, jsou uvedeny pouze jako vodítka. Neváhejte si vybrat oddíly podle vlastního uvážení, praxe a dobrého úsudku.
- Nakonec v Obrázek 13 «SÍŤ A NÁZEV TÝMU», musíme změnit hodnoty podle obecných parametrů deklarované domény a serveru DNS, aniž bychom zapomněli zadat název hostitele - v tomto případě «dns«- po dokončení konfigurace sítě. Je pozitivní to dělat ping -z jiného hostitele- na zadanou adresu IP poté, co je síť aktivní:
Ve vztahu k předchozímu článku musíme provést opravdu málo a velmi zjevných změn.
Počáteční kontroly a seřízení
Po instalaci operačního systému musíme zkontrolovat alespoň následující soubory a za tímto účelem zahájíme relaci přes SSH z našeho počítače správce systému.desdelinux.fanoušek:
buzz @ sysadmin: ~ $ ssh 192.168.10.5 heslo buzz@192.168.10.5: poslední přihlášení: so 28. ledna 09:48:05 2017 od 192.168.10.1 [buzz @ dns ~] $
Výše uvedená operace může trvat déle, než je obvyklé, a je to hlavně proto, že v síti LAN ještě nemáme DNS. Později zkontrolujte, zda DNS funguje.
[buzz @ dns ~] $ cat / etc / hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 [buzz @ dns ~] $ cat / etc / hostname dns [buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0 TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=no IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_PEERDNS=yes IPV6_PEERROUTES=yes IPV6_FAILURE_FATAL=no NAME=eth0 UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe DEVICE=eth0 ONBOOT=yes IPADDR=192.168.10.5 PREFIX=24 GATEWAY=192.168.10.1 DNS1=127.0.0.1 DOMAIN=desdelinux.fanoušek [buzz @ dns ~] $ cat /etc/resolv.conf # Generováno vyhledáváním NetworkManager desdelinux.názvový server fanoušků 127.0.0.1
Hlavní konfigurace reagují na náš výběr. Všimněte si, že i na serveru Red Hat 7 - CentOS 7, je ve výchozím nastavení nakonfigurováno, když NetworkManager takže to je ten, kdo spravuje síťová rozhraní, ať už kabelová nebo bezdrátová (WiFi), připojení VPN, připojení PPPoE a jakékoli jiné síťové připojení.
[buzz @ dns ~] $ sudo systemctl status networkmanager [sudo] heslo pro buzz: ● networkmanager.service Načteno: nenalezeno (důvod: Žádný takový soubor nebo adresář) Aktivní: neaktivní (mrtvý) [buzz @ dns ~] $ sudo systemctl status NetworkManager ● NetworkManager.service - Network Manager Loaded: načten (/usr/lib/systemd/system/NetworkManager.service; povoleno; přednastavení dodavatele: povoleno) Aktivní: aktivní (běží) od So 2017-01-28 12:23:59 EST; Před 12 minutami Hlavní PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon
Red Hat - CentOS také umožňuje připojit a odpojit síťová rozhraní pomocí klasických příkazů kdyby e pokud je dole. Pojďme běžet na konzole serveru:
[root @ dns ~] # ifdown eth0 Zařízení 'eth0' bylo úspěšně odpojeno. [root @ dns ~] # ifup eth0 Připojení bylo úspěšně aktivováno (aktivní cesta D-Bus: / org / freedesktop / NetworkManager / ActiveConnection / 1)
- Navrhujeme neměňte výchozí nastavení, které CentOS 7 nabízí NetworkManager.
Definitivně deklarujeme úložiště, která budeme používat, a v případě potřeby aktualizujeme operační systém:
[buzz @ dns ~] $ su Heslo: [root @ dns buzz] # cd /etc/yum.repos.d/ [root @ dns yum.repos.d] # ls -l celkem 28 -rw-r - r--. 1 root root 1664 9. prosince 2015 CentOS-Base.repo -rw-r - r--. 1 kořenový kořen 1309 9. prosince 2015 CentOS-CR.repo -rw-r - r--. 1 kořenový kořen 649 9. prosince 2015 CentOS-Debuginfo.repo -rw-r - r--. 1 kořenový kořen 290 9. prosince 2015 CentOS-fasttrack.repo -rw-r - r--. 1 kořenový kořen 630 9. prosince 2015 CentOS-Media.repo -rw-r - r--. 1 kořenový kořen 1331 9. prosince 2015 CentOS-Sources.repo -rw-r - r--. 1 root root 1952 9. prosince 2015 CentOS-Vault.repo
Je zdravé číst obsah původních deklaračních souborů z úložišť doporučených CentOS. Změny, které zde provádíme, jsou způsobeny tím, že nemáme přístup k internetu a pracujeme s místními úložišti staženými z WWW Village od kolegů, kteří nám trochu usnadňují život. 😉
[root @ dns yum.repos.d] # originál mkdir [root @ dns yum.repos.d] # mv CentOS- * originál / [root @ dns yum.repos.d] # nano centos-repos.repo [centos-base] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/base/ gpgcheck=0 enabled=1 [centos-updates] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/ gpgcheck=0 enabled=1 [root @ dns yum.repos.d] # yum vyčistit vše Načtené pluginy: nejrychlejší Mirror, langpacky Vyčištění úložišť: centos-base centos-updates Vyčištění všeho [root @ dns yum.repos.d] # aktualizace yum Načtené pluginy: nejrychlejší zrcadlo, balíčky Centos-Base | 3.4 kB 00:00 aktualizace Centos | 3.4 kB 00:00 (1/2): centos-base / primary_db | 5.3 MB 00:00 (2/2): centos-updates / primary_db | 9.1 MB 00:00 Určení nejrychlejších zrcadel Nejsou označeny žádné balíčky pro aktualizaci
Zpráva «Žádné (existují) balíčky označené k aktualizaci» - «Nejsou označeny žádné balíčky k aktualizaci»Označuje, že deklarováním nejaktuálnějších úložišť, která máme k dispozici během instalace, byly nainstalovány přesně ty nejnovější balíčky.
O kontextu SELinux a firewallu
Tento článek se zaměříme - zásadně - na implementaci služeb DNS a DHCP, což je jeho hlavní cíl.
Pokud si některý čtenář během instalace vybral bezpečnostní politiku, jak je uvedeno v Imagen 06 referenčního článku «CentOS 7 Hypervisor I - sítě SMB»Používá se k instalaci tohoto serveru DNS - DHCP a zjistíte, že nevíte, jak správně nakonfigurovat SELinux a CentOS Firewall, doporučujeme provést následující:
Upravte soubor / etc / sysconfig / selinux a změnit SELINUX = vynucení podle SELINUX = deaktivovat
[root @ dns ~] # nano / etc / sysconfig / selinux # Tento soubor řídí stav SELinuxu v systému. # SELINUX = může nabývat jedné z těchto tří hodnot: # vynucení - vynucuje se bezpečnostní politika SELinux. # permissive - SELinux namísto vynucení vytiskne varování. # disabled - nejsou načteny žádné zásady SELinux. SELINUX = zakázáno # SELINUXTYPE = může nabývat jedné ze tří dvou hodnot: # cílené - cílené procesy jsou chráněny, # minimum - úprava cílené politiky. Pouze vybrané procesy jsou pr $ # mls - ochrana víceúrovňového zabezpečení. SELINUXTYPE = cílené
Poté spusťte následující příkazy
[root @ dns ~] # setenforce 0
[root @ dns ~] # zastavení služby firewalld Přesměrování na / bin / systemctl zastavit firewalld.service [root @ dns ~] # systemctl vypnout firewalld Odebrán symbolický odkaz /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Odebrán symbolický odkaz /etc/systemd/system/basic.target.wants/firewalld.service.
Pokud implementujete server DNS směřující k Internetu, neměli byste dělat výše uvedené, ale nakonfigurujte kontext SELinux a bránu firewall správně. Vidět „Konfigurace serveru s GNU / Linux, autor Joel Barrios Dueñas“ nebo samotná dokumentace CentOS - Red Hat
Nakonfigurujeme BIND - pojmenovaný
- El adresář /usr/share/doc/bind-9.9.4/ Obsahuje velké množství dokumentace, kterou doporučujeme konzultovat, než se pustíte do vyhledávání na internetu, aniž byste nejprve věděli, že na dosah ruky a doma můžete najít to, co hledáte.
V mnoha distribucích se volá služba DNS nainstalovaná prostřednictvím balíčku BIND pojmenovaný (Jméno Daemon). V CentOS 7 je ve výchozím nastavení nainstalován deaktivovaný, podle výstupu následujícího příkazu, kde uvádí, že jeho stav je «invalidní«, A že tento stav je předdefinován jeho« prodejcem »- přednastavení dodavatele. Pro informaci, BIND je svobodný software.
Povolení pojmenované služby
[root @ dns ~] # pojmenovaný status systemctl ● named.service - Berkeley internetová doména jmen (DNS) načten: načten (/usr/lib/systemd/system/named.service; invalidní; přednastavení dodavatele: deaktivováno) Aktivní: neaktivní (mrtvý) [root @ dns ~] # systemctl povoleno pojmenované Vytvořil symbolický odkaz z /etc/systemd/system/multi-user.target.wants/named.service do /usr/lib/systemd/system/named.service. [root @ dns ~] # systemctl název startu [root @ dns ~] # pojmenovaný status systemctl ● named.service - Berkeley internetová doména jmen (DNS) načten: načten (/usr/lib/systemd/system/named.service; povolen; přednastavení dodavatele: deaktivováno) Aktivní: aktivní (běžící) od So 2017-01-28 13:22:38 EST; Před 5 minutami Proces: 1990 ExecStart = / usr / sbin / pojmenovaný -u s názvem $ OPTIONS (kód = ukončen, stav = 0 / ÚSPĚCH) Proces: 1988 ExecStartPre = / bin / bash -c pokud [! "$ DISABLE_ZONE_CHECKING" == "ano"]; pak / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Kontrola souborů zóny je deaktivována"; fi (code = exited, status = 0 / SUCCESS) Main PID: 1993 (named) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u named 28 Jan 13 22:45:1993 dns named [2001]: chyba (síť nedostupná) řešení './NS/IN': 500: 2: 53f :: f # 28 13. ledna 22:47:1993 dns s názvem [2001]: chyba (síť nedostupná) řešení './ DNSKEY / IN ': 500: 3: 42 :: 53 # 28 13. ledna 22:47:1993 dns s názvem [2001]: chyba (síť nedostupná) řešení' ./NS/IN ': 500: 3: 42 :: 53 # 28 Jan 13 22:47:1993 dns named [2001]: error (network unreachable) resolving './DNSKEY/IN': 500: 2: 53d :: d # 28 13. ledna 22:47:1993 dns named [2001 ]: chyba (síť nedostupná) řešení './NS/IN': 500: 2: 53d :: d # 28 13. ledna 22:47:1993 dns s názvem [2001]: chyba (síť nedostupná) řešení './DNSKEY/ IN ': 3: dc35 :: 53 # 28 13 Jan 22 47:1993:2001 dns named [3]: error (network unreachable) resolving' ./NS/IN ': 35: dc53 :: 28 # 13 22. ledna 47: 1993:2001 dns named [7]: error (network unreachable) resolving './DNSKEY/IN': 53: 53fe :: 28 # 13 Jan 22 47:1993:2001 dns named [7]: error (network unreachable) res olving './NS/IN': 53: 53fe :: 28 # 13 22. ledna 48:1993:XNUMX dns named [XNUMX]: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out [root @ dns ~] # pojmenovaný restart systému systemctl [root @ dns ~] # pojmenovaný status systemctl ● named.service - Berkeley Internet Name Domain (DNS) Načteno: načteno (/usr/lib/systemd/system/named.service; povoleno; předvolba dodavatele: zakázáno) Aktivní: aktivní (běžící) od So 2017-01-28 13:29:41 EST; Před 1 s Proces: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kód = ukončen, stav = 0 / ÚSPĚCH) Proces: 1460 ExecStart = / usr / sbin / pojmenovaný -u s názvem $ OPTIONS (kód = ukončen, stav = 0 / ÚSPĚCH) Proces: 1457 ExecStartPre = / bin / bash -c pokud [! "$ DISABLE_ZONE_CHECKING" == "ano"]; pak / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Kontrola souborů zóny je deaktivována"; fi (code = exited, status = 0 / SUCCESS) Main PID: 1463 (named) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u named 28 Jan 13 29:41:1463 dns named [28]: zóna spravovaných klíčů: soubor deníku je zastaralý: odstranění souboru deníku 13. ledna 29:41:1463 dns s názvem [2]: zóna spravovaných klíčů: načtené sériové číslo 28. ledna 13 29:41:1463 dns pojmenovaný [0]: zóna 0.in-addr.arpa/IN: načteno sériové 28 13. ledna 29:41:1463 dns pojmenované [0]: zóna localhost.localdomain / IN: načteno sériové 28 13. ledna 29:41:1463 dns pojmenovaný [1.0.0.127]: zóna 0.in-addr.arpa/IN: načteno pořadové číslo 28. ledna 13:29:41 dns pojmenované [1463]: zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .6.ip0.arpa / IN: načten seriál 28 13. ledna 29:41:1463 dns s názvem [0]: zóna localhost / IN: načten seriál 28 13. ledna 29 : 41: 1463 dns s názvem [28]: načteny všechny zóny 13. ledna 29:41:1463 dns s názvem [28]: spuštěn 13. ledna 29:41:1 dns systemd [XNUMX]: Spuštěna Berkeley Internet Name Domain (DNS).
Poté, co povolíme službu pojmenovaný a spustíme to poprvé, výstup příkazu pojmenovaný status systemctl ukazuje chyby. Když restartujeme níže uvedenou službu, pojmenovaný vytvoří všechny konfigurační soubory, které jsou ve výchozím nastavení nezbytné pro jeho správnou funkci. Když tedy provedeme příkaz znovu pojmenovaný status systemctl již se nezobrazují žádné chyby.
- Vážený, drahý a náročný čtenáři: pokud chcete zjistit - alespoň - která cesta vede na konec králičí nory, klidně si přečtěte podrobné výstupy každého příkazu. 😉 Článek se bude určitě zdát trochu dlouhý, ale nepopírejte, že získává na vysvětlení a jasnosti.
Upravíme soubor /etc/named.conf
Mnoho komentářů čtenářů vyjadřuje -Neříkám to- mánie, kterou mají správci různých distribucí Linuxu, umisťování systémových konfiguračních souborů do složek s různými názvy v závislosti na distribuci. Mají pravdu. Ale co můžeme my, jednoduchí uživatelé, kteří používají tyto distribuce, dělat? Přizpůsobit! 😉
Mimochodem, ve FreeBSD, UNIX® klon «The Origin», je soubor v /usr/local/etc/namedb/named.conf; zatímco v Debianu, kromě rozdělení do čtyř souborů named.conf, named.conf.options, named.conf.default-zones a named.conf.local, je ve složce / etc / bind /. Ti, kteří chtějí vědět, kam jej openSUSE umístí, si přečtěte «DNS a DHCP v openSUSE 13.2 Harlequin - sítě malých a středních podniků«. Čtenáři mají pravdu! 😉
A jako vždy: před jakoukoli úpravou uložíme původní konfigurační soubor pod jiným názvem.
[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original
Abychom usnadnili život, místo generování klíče TSIG pro dynamické aktualizace DNS pomocí DHCP zkopírujeme stejný klíč rndc. klíč jak dhcp.key.
[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key
[root @ dns ~] # nano /etc/dhcp.key
klíč "dhcp-key" {algoritmus hmac-md5; tajemství "OI7Vs + TO83L7ghUm2xNVKg =="; };
Takže to pojmenovaný umí číst právě zkopírovaný soubor, upravíme jeho skupinu vlastníků:
[root @ dns ~] # kořen chown: pojmenovaný /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 kořen s názvem 77 28. ledna 16:36 /etc/dhcp.key -rw-r -----. 1 root s názvem 77 28. ledna 13:22 /etc/rndc.key
Malé detaily, jako je ten předchozí, jsou to, co nás může pobláznit, když se snažíme přijít na to, kde ... kde je problém ...? s některými dalšími adjektivy, která nepíšeme z úcty k Respektovatelný.
Nyní, pokud - konečně! - upravíme soubor /etc/named.conf. Změny nebo doplňky, které jsme provedli s ohledem na originál, jsou v tučně. Dobře se podívejte, jak málo jich je.
[root @ dns ~] # nano /etc/named.conf
// // named.conf // // Poskytnuto balíčkem Red Hat Bind pro konfiguraci serveru ISC BIND pojmenovaného (8) DNS // jako serveru s mezipamětí pouze pro ukládání do mezipaměti (pouze jako překladač localhost DNS). // // Viz / usr / share / doc / bind * / sample / například pojmenované konfigurační soubory. //
// Seznam řízení přístupu deklarující, které sítě budou moci konzultovat
// můj server s názvem
ACL Mired {
127.0.0.0 / 8;
192.168.10.0 / 24;
};
možnosti {
// Prohlašuji, že pojmenovaný démon také naslouchá rozhraní
// eth0, který má IP: 192.168.10.5
naslouchací port 53 {127.0.0.1; 192.168.10.5; };
port listen-on-v6 53 {:: 1; }; adresář "/ var / pojmenovaný"; dump-file "/var/named/data/cache_dump.db"; statistický soubor "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt";
// Prohlášení speditérů
// forwarders {
// 0.0.0.0;
// 1.1.1.1;
//};
// vpřed jako první;
// Povoluji pouze dotazy na můj uklizený seznam ACL
allow-query { mired; }; // Pro kontrolu pomocí příkazu dig desdelinux.fan axfr // pouze z pracovní stanice SysAdmin a localhost // Nemáme podřízené DNS servery. Nepotřebujeme to...doteď.
allow-transfer {localhost; 192.168.10.1; };
/ * - Pokud vytváříte AUTORITATIVNÍ server DNS, NEPOVOLUJTE rekurzi. - Pokud vytváříte server RECURSIVE (ukládání do mezipaměti) DNS, musíte povolit rekurzi. - Pokud má váš rekurzivní server DNS veřejnou adresu IP, MUSÍTE povolit řízení přístupu, abyste omezili dotazy na své legitimní uživatele. Pokud tak neučiníte, váš server se stane součástí rozsáhlých útoků na zesílení DNS. Implementace BCP38 ve vaší síti by výrazně snížila takovou plochu útoku * /
// Chceme server AUTHORITY pro naši LAN - SME
rekurze ne;
dnssec-povolit ano; dnssec-validace ano; / * Cesta k klíči ISC DLV * / bindkeys-file "/etc/named.iscdlv.key"; adresář spravovaných klíčů "/ var / pojmenovaný / dynamický"; pid-soubor "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; protokolování {channel default_debug {soubor "data / named.run"; závažnost dynamická; }; }; pásmo "." IN {tip na typ; soubor "named.ca"; }; zahrnout "/etc/named.rfc1912.zones"; zahrnout "/etc/named.root.key";
// Zahrnujeme klíč TSIG pro dynamické aktualizace DNS // pomocí DHCP
zahrnout "/etc/dhcp.key";
// Deklarace jména, typu, umístění a oprávnění k aktualizaci
// zón DNS záznamů // Obě zóny jsou MASTERS
pásmo"desdelinux.fanoušek" {
typ master;
soubor "dynamic/db.desdelinux.fanoušek";
allow-update {key dhcp-key; };
};
zóna „10.168.192.in-addr.arpa“ {
typ master;
soubor "dynamický / db.10.168.192.in-addr.arpa";
allow-update {key dhcp-key; };
};
Zkontrolujeme syntaxi
[root @ dns ~] # named-checkconf [root @ dns ~] #
Vzhledem k tomu, že výše uvedený příkaz nic nevrátí, je syntaxe v pořádku. Pokud však provedeme stejný příkaz, ale s možností -z, výstup bude:
[root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: načtená sériová 0 zóna localhost/IN: načtená sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načtená zóna sériové 0 1.0.0.127.in-addr.arpa/IN: načtená zóna sériové 0 0.in-addr.arpa/IN: načtená zóna sériové 0 desdelinux.fan/IN: načítání z hlavního souboru dynamic/db.desdelinux.fan se nezdařilo: zóna soubor nenalezena desdelinux.fan/IN: nenačteno kvůli chybám. _default/desdelinux.fan/IN: soubor nenalezen zóna 10.168.192.in-addr.arpa/IN: načítání z hlavního souboru dynamic/db.10.168.192.in-addr.arpa selhalo: soubor nenalezen zóna 10.168.192.in- addr.arpa/IN: nenačteno kvůli chybám. _default/10.168.192.in-addr.arpa/IN: soubor nenalezen
Samozřejmě se jedná o chyby, ke kterým dochází, protože jsme pro naši doménu ještě nevytvořili registrační zóny DNS.
- Další informace o příkazu pojmenovaný-checkconf, běž muž jménem-checkconf, než budete hledat jakékoli další informace na internetu. Ujišťuji vás, že vám to ušetří spoustu času.
Vytvoříme soubor přímé zóny desdelinux.fanoušek
... ne bez trochu teorie jako první. 😉
Jako šablonu pro vytvoření datového souboru zóny můžeme vzít /var/named/named.empty, Nebo /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. Oba jsou identické.
[root @ dns ~] # cat /var/named/named.empty $ TTL 3H @ IN SOA @ rname.invalid. (0; sériové 1D; aktualizace 1H; opakování 1W; platnost 3H); minimální nebo negativní doba ukládání do mezipaměti pro život NS @ A 127.0.0.1 AAAA :: 1
Čas života - Je čas žít TTL Záznam SOA
Pojďme si uvést závorku, která vysvětlí TTL - Čas žít z registru SOA - Start of Authority hlavní zóny. Je zajímavé znát jejich významy, když chceme upravit jakoukoli z jejich hodnot.
$ TTL: Čas života - Čas žít pro všechny záznamy v souboru, které následují po deklaraci (ale předcházejí jakékoli jiné deklaraci $ TTL) a nemají výslovnou deklaraci TTL.
seriál: Sériové číslo dat zóny. Pokaždé, když ručně upravíme záznam DNS v zóně, musíme toto číslo zvýšit o 1, zejména pokud máme podřízené nebo sekundární servery. Pokaždé, když sekundární nebo podřízený server DNS kontaktuje svůj hlavní server, požádá o sériové číslo dat hlavního serveru. Pokud je sériové číslo slave nižší, pak jsou data pro danou zónu na podřízeném serveru zastaralá a slave provede přenos zóny, aby se aktualizoval.
Obnovit: Říká podřízenému serveru časový interval, ve kterém by měl zkontrolovat, zda jsou jeho data aktuální vzhledem k hlavnímu serveru.
opakování: Pokud hlavní server není k dispozici - protože se řekněme zhoršil - pro otroka po časovém intervalu Obnovit, opakování Říká otrokovi, jak dlouho má čekat, než se znovu pokusí kontaktovat svého pána.
vypršet: Pokud slave nemůže po určitou dobu kontaktovat svého nadřízeného vypršetTakže pokud byl zřízen vztah mezi slave a master a podřízený server nemá jinou možnost, než danou zónu vypršet. Vypršení platnosti zóny podřízeným serverem DNS znamená, že přestane reagovat na dotazy DNS související s touto zónou, protože dostupná data jsou příliš stará na to, aby byla užitečná.
- Výše uvedené nás učí nepřímo a naloženo velkým zdravým rozumem - nejméně běžným ze smyslů -, že pokud nepotřebujeme podřízené servery DNS pro provoz našeho SME, neimplementujeme je, pokud to není nezbytně nutné. Pokusme se vždy přejít od jednoduchého ke komplexnímu.
minimální: Ve verzích před ZÁVAZEK 8.2, poslední záznam SOA Rovněž označuje výchozí životnost - Výchozí doba života, a životnost negativní mezipaměti - Negativní doba ukládání do mezipaměti pro zónu. Tento čas se týká všech negativních odpovědí autoritativního serveru pro zónu.
Soubor zóny /var/named/dynamic/db.desdelinux.fanoušek
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.fanoušek $ TTL 3H @ IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS dns.desdelinux.fanoušek. @ IN MX 10 e-mail.desdelinux.fanoušek. @V TXT"DesdeLinux, jeho blog věnovaný svobodnému softwaru "; Sysadmin v A 192.168.10.1 AD-DC V A 192.168.10.3 FILESERVER V A 192.168.10.4 DNS V A 192.168.10.5 PROXYWEB V A 192.168.10.6 A FTP A 192.168.10.7 pošta IN A 192.168.10.8
Zkontrolujeme /var/named/dynamic/db.desdelinux.fanoušek
[root@dns ~]# pojmenovaná-kontrolní zóna desdelinux.fan /var/named/dynamic/db.desdelinux.fanoušek zóna desdelinux.fan/IN: načten sériový 1 OK
Vytvoříme soubor Reverse Zone 10.168.192.in-addr.arpa
- Záznam SOA této zóny je stejný jako záznam přímé zóny bez ohledu na záznam MX..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa $ TTL 3H @ IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS dns.desdelinux.fanoušek. ; 1 IN PTR sysadmin.desdelinux.fanoušek. 3 V PTR ad-dc.desdelinux.fanoušek. 4 V souborovém serveru PTR.desdelinux.fanoušek. 5 IN PTR dns.desdelinux.fanoušek. 6 V PTR proxyweb.desdelinux.fanoušek. 7 IN PTR blog.desdelinux.fanoušek. 8 IN PTR ftpserver.desdelinux.fanoušek. 9 V PTR poště.desdelinux.fanoušek. [root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa zóna 10.168.192.in-addr.arpa/IN: načten sériový 1 OK
Před restartováním pojmenovaného zkontrolujeme jeho konfiguraci
- Dokud si nebudeme jisti, že konfigurační soubory pojmenovaného named.conf a jeho soubory zón nejsou správně nakonfigurovány, doporučujeme nerestartovat pojmenovaného démona. Pokud to provedeme a později upravíme soubor zóny, musíme zvýšit pořadové číslo upravené zóny o 1.
- Podívejme se na „.“ na konci doménových jmen a jmen hostitelů.
[root @ dns ~] # named-checkconf [root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: načtená sériová 0 zóna localhost/IN: načtená sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načtená zóna sériové 0 1.0.0.127.in-addr.arpa/IN: načtená zóna sériové 0 0.in-addr.arpa/IN: načtená zóna sériové 0 desdelinux.fan/IN: načten sériová 1 zóna 10.168.192.in-addr.arpa/IN: načten sériový 1
Všechny aktuální pojmenované konfigurace
Abychom získali jasnost, a přestože se článek stane dlouhým, poskytneme úplný výstup příkazu named -checkconf -zp:
[root @ dns ~] # named-checkconf -zp
zóna localhost.localdomain/IN: načtená sériová 0 zóna localhost/IN: načtená sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načtená zóna sériové 0 1.0.0.127.in-addr.arpa/IN: načtená zóna sériové 0 0.in-addr.arpa/IN: načtená zóna sériové 0 desdelinux.fan/IN: načtena zóna sériového 1 10.168.192.in-addr.arpa/IN: načtena možnosti sériového 1 { bindkeys-file "/etc/named.iscdlv.key"; relace-keyfile "/run/named/session.key"; adresář "/var/named"; dump-file "/var/named/data/cache_dump.db"; port pro poslech 53 { 127.0.0.1/32; 192.168.10.5/32; }; listen-on-v6 port 53 { ::1/128; }; adresář spravovaných-klíčů "/var/named/dynamic"; memstatistics-file "/var/named/data/named_mem_stats.txt"; pid-file "/run/named/named.pid"; statistický-soubor "/var/named/data/named_stats.txt"; dnssec-enable ano; dnssec-validace ano; rekurze ne; allow-query { "sledováno"; }; povolit-přenos { 192.168.10.1/32; }; }; acl "sledováno" { 127.0.0.0/8; 192.168.10.0/24; }; logging { kanál "default_debug" { soubor "data/named.run"; dynamická závažnost; }; }; klíč "dhcp-key" { algoritmus "hmac-md5"; tajné "OI7Vs+TO83L7ghUm2xNVKg=="; }; pásmo "." IN { typ nápověda; soubor "named.ca"; }; zóna "localhost.localdomain" IN { typ master; soubor "named.localhost"; allow-update { "none"; }; }; zóna "localhost" IN { typ master; soubor "named.localhost"; allow-update { "none"; }; }; zóna "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { typ master; soubor "named.loopback"; allow-update { "none"; }; }; zóna "1.0.0.127.in-addr.arpa" IN { typ master; soubor "named.loopback"; allow-update { "none"; }; }; zóna "0.in-addr.arpa" IN { typ master; soubor "named.empty"; allow-update { "none"; }; }; pásmo"desdelinux.fan" { typ master; soubor "dynamic/db.desdelinux.fan"; allow-update { klíč "dhcp-key"; }; }; zóna "10.168.192.in-addr.arpa" { typ master; soubor "dynamic/db.10.168.192.in-addr.arpa "; allow-update { key "dhcp-key"; }; }; managed-keys { "." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVzfQUTf6wBY58 Gm 0NfnfL0MTJRkxoX bfDaUeVPQuYEhg8NZWAJQ0VnMVDxP/VHL2M/QZxkjf37/Efucp9gaD F496dsV5DoBQzgul2sGIcGOYl6OyQd Q6ageuAdb68rel KBP0dfwhYB1N9knNnulq QxA +Uk7ihz6="; };
- Podle postupu úpravy pojmenovaný.konf Podle našich potřeb a kontroly a vytvoření každého souboru zóny a jeho kontroly pochybujeme, že budeme muset čelit velkým problémům s konfigurací. Nakonec si uvědomíme, že jde o chlapcovu hru s mnoha koncepty a složitou syntaxí,
Kontroly vrátily uspokojivé výsledky, proto můžeme restartovat BIND - pojmenovaný.
Restartujeme pojmenovaný a zkontrolujeme jeho stav
[root @ dns ~] # systemctl restart named.service [root @ dns ~] # systemctl status named.service
Pokud se nám na výstupu posledního příkazu objeví jakákoli chyba, musíme restartovat pojmenovaná služba a znovu zkontrolujte postavení. Pokud chyby zmizely, služba byla úspěšně spuštěna. Jinak musíme provést důkladnou kontrolu všech upravených a vytvořených souborů a postup opakovat.
Správný výstup stavu by měl být:
[root @ dns ~] # systemctl status named.service ● named.service - Berkeley Internet Name Domain (DNS) Načteno: načteno (/usr/lib/systemd/system/named.service; povoleno; předvolba dodavatele: deaktivováno) Aktivní: aktivní (běží) od Ne 2017 01:29:10 EST; Před 05min 32s Proces: 2 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 57>&1777 || /bin/kill -TERM $MAINPID (kód=ukončeno, stav=2/ÚSPĚCH) Proces: 1 ExecStart=/usr/sbin/named -u s názvem $OPTIONS (kód=ukončeno, stav=0/ÚSPĚCH) Proces: 1788 ExecStartPre =/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "ano" ]; potom /usr/sbin/named-checkconf -z /etc/named.conf; else echo "Kontrola souborů zóny je zakázána"; fi (kód=ukončeno, stav=0/ÚSPĚCH) Hlavní PID: 1786 (pojmenovaný) CGroup: /system.slice/named.service └─0 /usr/sbin/named -u Named 1791. ledna 1791:29:10 dns named [05]: zóna 32.in-addr.arpa/IN: načten sériový led 1791 1.0.0.127 0:29:10 dns pojmenován[05]: zóna 32.in-addr.arpa/IN: načten sériový led 1791 10.168.192 1:29:10 dns s názvem[05]: zóna 32.ip1791.arpa/IN : načtený seriál 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 6. ledna 0:29:10 dns pojmenované[05]: zóna desdelinux.fan/IN: načten sériový 1. leden 29 10:05:32 dns pojmenované[1791]: zóna localhost.localdomain/IN: načten sériový 0. leden 29 10:05:32 dns pojmenován[1791]: zóna localhost/IN: načten seriál 0 29. ledna 10:05:32 dns s názvem[1791]: všechny zóny načteny 29. ledna 10:05:32 dns s názvem [1791]: běh 29. ledna 10:05:32 dns systemd [1]: Spuštěna Berkeley internetová doména jmen (DNS). 29. ledna 10:05:32 dns s názvem [1791]: zóna 10.168.192.in-addr.arpa/IN: zasílání oznámení (seriál 1)
Kontroly
Kontroly lze spustit na stejném serveru nebo na počítači připojeném k síti LAN. Raději je děláme z týmu správce systému.desdelinux.fanoušek kterému jsme dali výslovné povolení k provádění zónových převodů. Soubor / Etc / resolv.conf tohoto týmu je následující:
buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Generováno vyhledáváním NetworkManager desdelinux.názvový server fanoušků 192.168.10.5 buzz@sysadmin:~$ dig desdelinux.ventilátor axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; globální možnosti: +cmd desdelinux.fanoušek. 10800 IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. 1 86400 3600 604800 10800 desdelinux.fanoušek. 10800 IN NS dns.desdelinux.fanoušek. desdelinux.fanoušek. E-mail 10800 IN MX 10.desdelinux.fanoušek. desdelinux.fanoušek. 10800 V TXT"DesdeLinux, váš blog věnovaný svobodnému softwaru" ad-dc.desdelinux.fanoušek. 10800 IN A 192.168.10.3 blog.desdelinux.fanoušek. 10800 IN A 192.168.10.7 dns.desdelinux.fanoušek. 10800 IN NA souborový server 192.168.10.5.desdelinux.fanoušek. 10800 IN A 192.168.10.4 ftpserver.desdelinux.fanoušek. 10800 IN A 192.168.10.8 mail.desdelinux.fanoušek. 10800 IN A 192.168.10.9 proxyweb.desdelinux.fanoušek. 10800 IN A 192.168.10.6 sysadmin.desdelinux.fanoušek. 10800 DO 192.168.10.1 desdelinux.fanoušek. 10800 IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. 1 86400 3600 604800 10800 ;; Doba dotazu: 0 ms ;; SERVER: 192.168.10.5#53(192.168.10.5) ;; KDY: Ne 29. ledna 11:44:18 EST 2017 ;; Velikost XFR: 13 záznamů (zprávy 1, bajtů 385) buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; globální možnosti: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.fanoušek. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.fanoušek. 3.10.168.192.in-addr.arpa. 10800 V PTR ad-dc.desdelinux.fanoušek. 4.10.168.192.in-addr.arpa. Souborový server 10800 IN PTR.desdelinux.fanoušek. 5.10.168.192.in-addr.arpa. 10800 V PTR dns.desdelinux.fanoušek. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.fanoušek. 7.10.168.192.in-addr.arpa. 10800 IN PTR blog.desdelinux.fanoušek. 8.10.168.192.in-addr.arpa. ftpserver 10800 IN PTR.desdelinux.fanoušek. 9.10.168.192.in-addr.arpa. 10800 V PTR pošta.desdelinux.fanoušek. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; Doba dotazu: 0 ms ;; SERVER: 192.168.10.5#53(192.168.10.5) ;; KDY: Ne 29. ledna 11:44:57 EST 2017 ;; Velikost XFR: 11 záznamů (zprávy 1, 352 bajtů) buzz@sysadmin:~$ kopat v SOA desdelinux.fanoušek buzz@sysadmin:~$ dig IN MX desdelinux.fan buzz@sysadmin:~$ dig IN TXT desdelinux.fanoušek buzz @ sysadmin: ~ $ host dns dns.desdelinux.fanoušek má adresu 192.168.10.5 buzz @ sysadmin: ~ $ hostitelský sysadmin správce systému.desdelinux.fan má adresu 192.168.10.1 ... A další potřebné kontroly
- Zatím máme základ pro server DNS v naší síti SME. Doufáme, že se vám celý postup, který byl celkem jednoduchý, líbil, že? 😉
Instalujeme a konfigurujeme DHCP
[root @ dns ~] # yum install dhcp
Načtené pluginy: nejrychlejší zrcadlo, balíčky Centos-Base | 3.4 kB 00:00:00 aktualizace Centos | 3.4 kB 00:00:00 Načítání rychlostí zrcadla z hostitelského souboru v mezipaměti Řešení závislostí -> Spuštění testu transakcí ---> Musí být nainstalován balíček dhcp.x86_64 12: 4.2.5-42.el7.centos -> Řešení závislostí ukončeno Vyřešené závislosti ============================================= ================================================== =================================== Velikost úložiště verze architektury balíčku =========== ================================================== ================================================== ======================= Instalace: dhcp x86_64 12: 4.2.5-42.el7.centos-base Souhrn transakcí 511k ==== ================================================== ================================================== ============================ Instalace 1 balíčku Celková velikost stahování: 511k Instalovaná velikost: 1.4 M Je to v pořádku [y / d / N]: y Stahování balíčků: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Probíhá kontrola transakce Probíhá test transakcí Test transakce proběhl úspěšně Probíhá instalace Instalace: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Kontrola: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Nainstalováno: dhcp.x86_64 12: 4.2.5-42.el7.centos Hotovo!
[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # Soubor konfigurace serveru DHCP. # viz /usr/share/doc/dhcp*/dhcpd.conf.example # viz manuálová stránka dhcpd.conf(5) # ddns-update-style interim; ddns-updates on; ddns-název domény"desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovat klientské aktualizace; autoritativní; volba ip-forwarding off; option domain-name "desdelinux.fan"; # option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; včetně "/etc/dhcp.key" ; pásmo desdelinux.fanoušek. { primární 127.0.0.1; klíč dhcp-klíč; } zóna 10.168.192.in-addr.arpa. { primární 127.0.0.1; klíč dhcp-klíč; } sdílená síť redlocal { podsíť 192.168.10.0 maska sítě 255.255.255.0 { routery 192.168.10.1; volba maska podsítě 255.255.255.0; volba broadcast-adresa 192.168.10.255; volba servery doménových jmen 192.168.10.5; volba netbios-name-servers 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; } } # KONEC dhcpd.conf
[root @ dns ~] # dhcpd -t
Konsorcium internetových systémů DHCP Server 4.2.5 Copyright 2004-2013 Konsorcium internetových systémů. Všechna práva vyhrazena. Další informace naleznete na stránce https://www.isc.org/software/dhcp/ Neprohledávání LDAP, protože v konfiguračním souboru nebyly zadány ldap-server, ldap-port a ldap-base-dn
[root @ dns ~] # systemctl povolit dhcpd
Vytvořil symbolický odkaz z /etc/systemd/system/multi-user.target.wants/dhcpd.service do /usr/lib/systemd/system/dhcpd.service.
[root @ dns ~] # systemctl start dhcpd
[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - DHCPv4 Server Daemon Loaded: načten (/usr/lib/systemd/system/dhcpd.service; povoleno; přednastavení dodavatele: zakázáno) Aktivní: aktivní (běží) od roku 2017-01-29 12:04:59 ITS T; Před 23s Docs: man: dhcpd (8) man: dhcpd.conf (5) Main PID: 2381 (dhcpd) Status: "Dispatching packets ..." CGroup: /system.slice/dhcpd.service └─2381 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid 29. ledna 12:04:59 dns dhcpd [2381]: Internet Systems Consortium DHCP Server 4.2.5 29. ledna 12 : 04: 59 dns dhcpd [2381]: Copyright 2004-2013 Internet Systems Consortium. 29. ledna 12:04:59 dns dhcpd [2381]: Všechna práva vyhrazena. 29. ledna 12:04:59 dns dhcpd [2381]: Informace najdete na https://www.isc.org/software/dhcp/ 29. ledna 12:04:59 dns dhcpd [2381]: Neprohledávám LDAP od ldap -server, ldap-port a ldap-base-dn nebyly v konfiguračním souboru specifikovány 29. ledna 12:04:59 dns dhcpd [2381]: Napsal 0 leasingů do leasingového souboru. 29. ledna 12:04:59 dns dhcpd [2381]: Poslech na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. ledna 12:04:59 dns dhcpd [2381]: Odesílání na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. ledna 12:04:59 dns dhcpd [2381]: Odesílání na Socket / fallback / fallback-net 29. ledna 12:04:59 dns systemd [1]: Spuštěno Démon serveru DHCPv4.
Co zbývá udělat?
Jednoduchý. Spusťte Windows 7 nebo jiného klienta se svobodným softwarem a začněte testovat a kontrolovat. Udělali jsme to se dvěma klienty: sedm.desdelinux.fanoušek y suse-desktop.desdelinux.fanoušek. Kontroly byly následující:
buzz @ sysadmin: ~ $ hostitel sedm sedm.desdelinux.fanoušek má adresu 192.168.10.30 buzz@sysadmin:~$ hostitel sedm.desdelinux.fanoušek sedm.desdelinux.fanoušek má adresu 192.168.10.30 buzz@sysadmin:~$ kopat v TXT sedm.desdelinux.fanoušek ....;; SEKCE OTÁZKY: ;sedm.desdelinux.fanoušek. V TXT ;; SEKCE ODPOVĚDI: sedm.desdelinux.fanoušek. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„....
Přejmenovali jsme tým „sedm“ na „LAGER“ a restartovali jsme. Po restartování nového LAGERU zkontrolujeme:
buzz @ sysadmin: ~ $ hostitel sedm Hostitel sedm nebyl nalezen: 5 (ZAMÍTNUTO) buzz@sysadmin:~$ hostitel sedm.desdelinux.fanoušek Host sedm.desdelinux.fanoušek nenalezen: 3(NXDOMAIN) bzučet@ sysadmin: ~ $ hostitelský ležák ležák.desdelinux.fanoušek má adresu 192.168.10.30 bzučet@sysadmin:~$host ležák.desdelinux.fanoušek ležák.desdelinux.fanoušek má adresu 192.168.10.30 buzz@sysadmin:~$ vykopej TXT ležák.desdelinux.fanoušek ....;; SEKCE OTÁZKY: ;ležák.desdelinux.fanoušek. V TXT ;; SEKCE ODPOVĚĎ: ležák.desdelinux.fanoušek. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„....
Pokud jde o klienta suse-desktop:
buzz @ sysadmin: ~ $ host suse-dektop Host suse-dektop nenalezen: 5 (ZAMÍTNUTO) buzz @ sysadmin: ~ $ host suse-desktop suse-desktop.desdelinux.fanoušek má adresu 192.168.10.33 buzz@sysadmin:~$ hostitel suse-desktop.desdelinux.fanoušek suse-desktop.desdelinux.fanoušek má adresu 192.168.10.33 buzz @ sysadmin: ~ $ hostitel 192.168.10.33 33.10.168.192.in-addr.arpa ukazatel na název domény suse-desktop.desdelinux.fanoušek. buzz @ sysadmin: ~ $ hostitel 192.168.10.30 30.10.168.192.in-addr.arpa ukazatel názvu domény LAGER.desdelinux.fanoušek.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33 ....;; SEKCE OTÁZKY: ;33.10.168.192.in-addr.arpa. IN PTR ;; SEKCE ODPOVĚDI: 33.10.168.192.in-addr.arpa. 3600 IN PTR suse-desktop.desdelinux.fanoušek. ;; SEKCE ÚŘADU: 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.fanoušek. ;; DODATEČNÁ SEKCE: dns.desdelinux.fanoušek. 10800 DO 192.168.10.5 .... buzz@sysadmin:~$ dig IN TXT suse-desktop.desdelinux.fanoušek.... ;suse-desktop.desdelinux.fanoušek. V TXT ;; SEKCE ODPOVĚDI: suse-desktop.desdelinux.fanoušek. 3600 TXT "31b78d287769160c93e6dca472e9b46d73" ;; ODDÍL ÚŘADU: desdelinux.fanoušek. 10800 IN NS dns.desdelinux.fanoušek. ;; DODATEČNÁ SEKCE: dns.desdelinux.fanoušek. 10800 DO 192.168.10.5 ....
Spusťme také následující příkazy
[root@dns ~]# dig desdelinux.ventilátor axfr ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> desdelinux.fan axfr ;; globální možnosti: +cmd desdelinux.fanoušek. 10800 IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. 6 86400 3600 604800 10800 desdelinux.fanoušek. 10800 IN NS dns.desdelinux.fanoušek. desdelinux.fanoušek. E-mail 10800 IN MX 10.desdelinux.fanoušek. desdelinux.fanoušek. 10800 V TXT"DesdeLinux, váš blog věnovaný svobodnému softwaru" ad-dc.desdelinux.fanoušek. 10800 IN A 192.168.10.3 blog.desdelinux.fanoušek. 10800 IN A 192.168.10.7 dns.desdelinux.fanoušek. 10800 IN NA souborový server 192.168.10.5.desdelinux.fanoušek. 10800 IN A 192.168.10.4 ftpserver.desdelinux.fanoušek. 10800 V A 192.168.10.8 LEŽÁK.desdelinux.fanoušek. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„LEŽÁK.desdelinux.fanoušek. 3600 V e-mailu 192.168.10.30.desdelinux.fanoušek. 10800 IN A 192.168.10.9 proxyweb.desdelinux.fanoušek. 10800 IN A 192.168.10.6 suse-desktop.desdelinux.fanoušek. 3600 IN TXT"31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.fanoušek. 3600 V A 192.168.10.33 sysadmin.desdelinux.fanoušek. 10800 DO 192.168.10.1 desdelinux.fanoušek. 10800 IN SOA dns.desdelinux.fanoušek. root.dns.desdelinux.fanoušek. 6 86400 3600 604800 10800
Ve výstupu výše jsme zvýraznili tučně los TTL -v sekundách - pro počítače s IP adresami udělenými službou DHCP, které mají explicitní deklaraci TTL 3600 danou DHCP. Pevné adresy IP se řídí $ TTL 3H -3 hodiny = 10800 XNUMX sekund - deklarované v záznamu SOA každého souboru zóny.
Stejným způsobem mohou zkontrolovat reverzní zónu.
[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr
Další mimořádně zajímavé příkazy jsou:
[root@dns ~]# pojmenovaný-journalprint /var/named/dynamic/db.desdelinux.fan.jnl [root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl [root @ dns ~] # journalctl -f
Ruční úprava souborů zón
Poté, co DHCP vstoupí do hry dynamické aktualizace zónových souborů pojmenovanýPokud kdykoli potřebujeme ručně upravit soubor zóny, musíme provést následující postup, ale ne dříve, než budeme vědět něco více o fungování nástroje rndc pro ovládání jmenného serveru.
[root @ dns ~] # man rndc
....
zmrazit [zóna [třída [zobrazit]]]
Pozastavit aktualizace dynamické zóny. Pokud není zadána žádná zóna, jsou všechny zóny pozastaveny. To umožňuje provádět ruční úpravy zóny normálně aktualizované dynamickou aktualizací. Způsobuje také synchronizaci změn v souboru deníku do hlavního souboru. Všechny pokusy o dynamickou aktualizaci budou zamrznuty, když je zóna zamrzlá.
rozmrazit [zóna [třída [zobrazit]]]
Povolit aktualizace zmrazené dynamické zóny. Pokud není zadána žádná zóna, jsou povoleny všechny zmrazené zóny. To způsobí, že server znovu načte zónu z disku a po dokončení načtení znovu povolí dynamické aktualizace. Po rozmrazení zóny již nebudou dynamické aktualizace odmítnuty. Pokud se zóna změnila a je použita možnost ixfr-from-differences, bude soubor deníku aktualizován tak, aby odrážel změny v zóně. Jinak, pokud se zóna změnila, bude existující soubor deníku odstraněn. ....
Co, myslel sis, že přepíšu celý návod? ... kousek a oni jedou autem. Zbytek nechám na vás. 😉
V podstatě:
- rndc freeze [zóna [třída [zobrazit]]], pozastaví dynamickou aktualizaci zóny. Pokud jeden není zadán, všechny zmrazí. Příkaz umožňuje ruční úpravy zmrazené zóny nebo všech zón. Veškerá dynamická aktualizace bude během zmrazení zamítnuta.
- rndc tání [zóna [třída [zobrazit]]], umožňuje dynamické aktualizace v dříve zmrazené zóně. Server DNS znovu načte soubor zóny z disku a dynamické aktualizace se znovu povolí po dokončení opětovného načtení.
Upozornění, která je třeba učinit, když ručně upravujeme soubor zóny? Totéž, jako kdybychom ho vytvářeli, aniž bychom zapomněli zvýšit sériové číslo o 1 nebo seriál před uložením souboru s posledními změnami.
příklad:
[root @ dns ~] # rndc zmrazení desdelinux.fanoušek
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.fanoušek
Soubor zóny upravuji z jakéhokoli důvodu, ať už je to nutné nebo ne. Uložím změny
[root @ dns ~] # rndc tání desdelinux.fanoušek
Bylo zahájeno opětovné načtení a rozmrazení zóny. Výsledek zobrazíte v protokolech.
[root @ dns ~] # journalctl -f
29. ledna 14:06:46 dns s názvem[2257]: zóna tání 'desdelinux.fan/IN': úspěch
29. leden 14:06:46 dns s názvem[2257]: zóna desdelinux.fan/IN: sériová zóna (6) beze změny. zónu se nemusí podařit přenést na otroky.
29. leden 14:06:46 dns s názvem[2257]: zóna desdelinux.fan/IN: načteno sériové 6
Chyba v předchozím výstupu, která je na konzole zobrazena červeně, je způsobena skutečností, že jsem „zapomněl“ zvýšit sériové číslo o 1. Kdybych postupoval správně, výstup by byl:
[root @ dns ~] # journalctl -f -- Záznamy začínají v neděli 2017-01-29 08:31:32 EST. -- 29. ledna 14:06:46 dns jmenoval[2257]: zóna desdelinux.fan/IN: načten sériový 6. leden 29 14:10:01 dns systemd[1]: Zahájena relace 43 uživatele root. 29. ledna 14:10:01 dns systemd[1]: Spouštění relace 43 uživatele root. 29. ledna 14:10:01 dns CROND[2693]: (root) CMD (/usr/lib64/sa/sa1 1 1) 29. ledna 14:10:45 dns pojmenované[2257]: přijatý příkaz řídicího kanálu 'freeze desdelinux.fan' Jan 29 14:10:45 dns pojmenovaný[2257]: mrazivá zóna 'desdelinux.fan/IN': úspěch 29. ledna 14:10:58 dns named[2257]: přijatý příkaz řídicího kanálu 'tání desdelinux.fan' 29. leden 14:10:58 dns s názvem[2257]: zóna tání 'desdelinux.fan/IN': úspěch 29. ledna 14:10:58 dns pojmenované[2257]: zóna desdelinux.fan/IN: soubor deníku je zastaralý: odstranění souboru deníku 29. ledna 14:10:58 dns pojmenované[2257]: zóna desdelinux.fan/IN: načteno sériové 7
- Přátelé čtenáře, opakuji, že výstupy příkazu si musíte přečíst pečlivě. Za něco, co jeho vývojáři strávili tolik práce programováním každého příkazu, bez ohledu na to, jak je to jednoduché.
Shrnutí
Dosud jsme se zabývali implementací páru DNS - DHCP, důležitými a zásadními službami pro dobrý výkon naší sítě SME, s odkazem na přidělování dynamických adres prostřednictvím DHCP a řešení názvů počítačů a domén prostřednictvím DNS.
Vážně doufáme, že se vám celý postup líbil stejně jako nám. Ačkoli se používání konzoly může zdát obtížnější, je mnohem snazší a výukové implementovat službu v systému UNIX® / Linux s její pomocí.
Odpouštějí mi jakoukoli nesprávnou interpretaci konceptů, které byly vytvořeny, napsány, přepracovány, přepsány a publikovány v jazyce Shakespeara, nikoli Cervantese. 😉
Další dodávka
Myslím, že trochu víc - s teoretickými dodatky k záznamům DNS - ale v Debianu. Na tuto distribuci nemůžeme zapomenout, že?
Velice vám děkuji za vaši chvályhodnou práci při psaní takových plodných článků. Bude to pro mě velmi užitečné
A moc vám děkuji, Cristiane, že jste mě sledovali a za vaše hodnocení tohoto příspěvku. Úspěchy!
Poté, co jsme se poprvé podívali na tento nový příspěvek od Federica, je opět patrná velká profesionalita, která byla vidět v celé sérii «PYMES»; kromě velkých podrobností, které ilustrují vaši doménu na dvou nejdůležitějších službách (DNS a DHCP) jakékoli sítě. Při této příležitosti a na rozdíl od mých předchozích komentářů mám po provedení toho, co jsem uvedl v tomto příspěvku, druhý komentář.
Žádné komentáře, pa 400! Fico děkuji, protože velmi dobře víte, že jsem četl vaše příspěvky a nemůžeme žádat o další. Začnete s velmi dobrou organizací, od toho, jak nainstalovat a nastavit osobní plochu uživatele, pracovní stanice je základna, je to pocit, že jsou těmi síťovými službami, které velmi dobře vysvětlujete. Lezete po horách a přestože je pravda, že úroveň stoupá, je pravda, že jste psali a publikovali pro ty, kteří jsou méně než ti, kteří začínají, pro ty, kteří jsou už nějakou dobu jako já a pro ty nejpokročilejší.
Postupem času jsem dospěl k závěru, že vím, že už mnoho lidí přišlo, teorii, která nás stojí tolik za získání prostého faktu, že se nám nechce číst, protože provádění je už mnohem jednodušší, když víme, co děláme, proč ???, otázky, kde najít a jak se dostat z chyby, která tolik bolesti hlavy, když ani nevíme, odkud pocházejí, stojí za nadbytečnost.
Z tohoto důvodu nechci, abyste nechali za sebou ty teoretické prvky, které o záznamech DNS zahrnete do další publikace, jak jste oznámili, natož pokud jde o milého a milovaného DEBIANA.
VELMI DĚKUJEME a čekáme.
Vynikající jako vždy Fico! Čekám na verzi Debianu, roky s tím distro hraji všechno.
Wong: Váš názor po přečtení stojí za hodně. Čekám na vaše komentáře, až otestujete obsah, protože vím, že takhle to děláte rádi. 😉
Crespo: Jako vždy jsou vaše komentáře velmi dobře přijaty. Vidím, že jste zachytili obecnou linii, kterou jsem položil ve složení této série. Doufám, že si to stejně jako vy už mnozí všimli. Děkuji za Váš komentář.
Dhunter: Rád vás znovu čtu! Nebudete muset dlouho čekat. Nejpozději v pondělí - nebo dříve - bude publikace dokončena. Nemysli si, že je pro mě snadné obsáhnout tři různá distribuce, ale Respektovatelný čtenář, to požaduje. Nejen Debian a Ubuntu, ale tři zaměřené na malé a střední podniky.
Pokud jste publikovali, je to proto, že můžete, podporujeme vás a víme, že se budete tímto směrem řídit.
Jako lovec čekám s ostrými zuby na vydání Debianu. Bylo by hezké, kdybyste se trochu zabývali NTP. Sl2 a velké objetí. Kdyby mě moji učitelé učili všechno podobné, HAHAJJA, platinový titul, HAHAJJA.
Úroveň podrobnosti ve výstupech příkazů je nezbytná k prokázání jejich důležitosti. Říkají hodně. Je pravda, že jen málo článků se věnuje této úrovni podrobností, protože si myslí, že by to byly dlouhé a těžké články ke čtení. Součástí práce SysAdminu je číst tyto těžké a podrobné výstupy nejen tváří v tvář problému, ale také tváří v tvář kontrolám.
Dobrý den Federico, slíbil jsem, že po pečlivém prostudování dotyčného příspěvku napíšu několik komentářů; Tady jsou další:
- Skvělá technika namísto generování klíče TSIG pro dynamické aktualizace DNS pomocí DHCP, kopírování stejného klíče rndc.key jako dhcp.key, toto zjevně „tak jednoduché“ ukazuje, že cílem není jen techničnost HOWTO-INSTALL-DNS - & - DHCP, ale učí nás myslet, 5 HVĚZD PRO AUTORA.
– Velmi zajímavá je v konfiguračním souboru DNS s názvem.conf přítomnost řádku «allow-transfer { localhost; 192.168.10.1; };» otestovat doménu «desdelinux.fan“ pouze z pracovní stanice SysAdmin a localhostu (samotného DNS serveru) a navíc vložení klíče TSIG pro aktualizaci DNS z DHCP.
- Velmi dobré vytvoření přímé a inverzní zóny DNS spolu s "podrobným" vysvětlením jejich typů záznamů, kromě provedení příkazu "# named-checkconf -zp" zkontrolovat veškerou syntaxi pojmenovaného před jeho tvrdý reset, stejně jako příklady spuštění příkazu „dig“ k ověření různých typů záznamů DNS.
. V konfiguraci DHCP (pomocí souboru /etc/dhcp/dhcpd.conf):
- Jak přidat naši místní síť s jejím rozsahem pro přiřazení dynamických IP adres, definicí jmenného serveru atd .; a také jak říct DHCP, aby aktualizoval záznamy DNS pomocí řádků „ddns- ...“ v jeho konfiguraci.
. Když je již vše funkční, 5 HVĚZDIČEK PRO AUTORA při provedení příkazu «# dig desdelinux.fan axfr» pro kontrolu TTL počítačů v LAN, které mají statické IP adresy, a těch, které mají přiřazeny dynamické IP.
. Konečně, SKVĚLÉ, ručně upravte soubory zóny tak, že je nejprve zmrazíte pomocí «# rndc freeze desdelinux.fan", poté proveďte úpravu a nakonec je rozmrazte pomocí "# rndc thaw desdelinux.fanoušek"
. A NEJLEPŠÍ, ZE SVĚTOVÉHO VÝROBKU SE DĚLO VŠE.
Jen tak dál, Fico.
Dobrý den,
Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het kan dat alles gedeeld en verwijderd wordt op mijn computer zelfs mijn foto's. Ik heb totaal geen control meer over mijn eigen computer on mobiel.
Het zit m dus ook in het dns in dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien dat iemand mij chce pomoci? Dit je namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.
Wong: váš komentář doplňuje článek. Vážně to ukazuje, že jste to důkladně prostudovali. Jinak byste nemohli komentovat tak podrobně, jak to děláte. Stačí přidat povolit-převod Používá se hlavně tehdy, když máme DNS Slave a umožňujeme přenos zón z masteru do něj. Používám to tak, protože je to snadno implementovatelný mechanismus pro provádění bezpečných kontrol z jednoho počítače. Velice vám děkuji za vaše hodnocení 5. Zdravím! a budu na vás čekat ve svých dalších článcích.
Ahoj Federico. Vím, že jsem trochu pozdě, ale chtěl bych se vás na něco zeptat.
Pomůže mi tento postup, pokud chci nasměrovat doménu na svůj server vps?
Každých 15 minut dostávám tyto systémové zprávy:
DHCPREQUEST na eth0 na port 67 (xid =…)
DHCPACK od (xid =…)
vázáno na - obnovení za 970 sekund.
A z toho, co chápu, bych měl vytvořit záznam A s mojí doménou a IP mého dedikovaného serveru.
* Gratuluji a děkuji vám za tento článek, nevím, jestli je to to, co jsem hledal, ale shledal jsem to velmi zajímavým a dobře vysvětleným. Kromě toho přijímám doporučení „DNS a BIND“, že jsem už trochu drby a zdá se velmi zajímavé.
Pozdravy z Argentiny!
prosím, kontaktujte mě prostřednictvím valdestoujague@yandex.com