Je obrovským úsilím omezit v 5 malých článcích předchozí znalosti, instalaci, konfiguraci a vytváření zón a kontroly BIND tak, aby jim porozuměl největší počet čtenářů, což je náš základní účel.
Ti, kteří měli trpělivost pečlivě si přečíst 1. místo y 2da Část tohoto článku je připravena pokračovat v konfiguraci a nastavení serveru doménových jmen pro LAN.
Pro Nové a pro ty, kteří nemají příliš jasno ve velmi shrnutých pojmech uvedených v předchozích částech, doporučujeme si je před pokračováním přečíst a prostudovat. Obvyklí podezřelí ze zoufalství! zpět, pokud jste nečetli pozorně.
Uvidíme níže:
- Hlavní data LAN
- Minimální konfigurace hostitele
- Úpravy souboru /etc/resolv.conf
- Úpravy souboru /etc/bind/named.conf
- Úpravy souboru /etc/bind/named.conf.option
- Úpravy souboru /etc/bind/named.conf.local
Hlavní data LAN
LAN název domény: amigos.cu LAN podsíť: 192.168.10.0/255.255.255.0 BIND Server IP: 192.168.10.10 Server NetBIOS název: ns
I když je to zřejmé, nezapomeňte změnit předchozí data za vlastní.
Minimální konfigurace hostitele
Je velmi důležité mít soubory správně nakonfigurované / etc / síť / rozhraní y/ Etc / hosts získat dobrý výkon DNS. Pokud byla během instalace deklarována všechna data, nebude nutná žádná úprava. Obsah každého z nich musí být následující:
# obsah souboru / etc / network / interfaces # Tento soubor popisuje síťová rozhraní dostupná ve vašem systému # a jak je aktivovat. Další informace najdete v tématu rozhraní (5). # Loopback síťové rozhraní auto lo iface lo inet loopback # Primární síťové rozhraní allow-hotplug eth0 iface eth0 inet statická adresa 192.168.10.10 síťová maska 255.255.255.0 síť 192.168.10.0 vysílání 192.168.10.255 brána 192.168.10.2 # dns- * možnosti jsou implementováno balíčkem resolvconf, pokud je nainstalován dns-nameservers 192.168.10.10 dns-search amigos.cu # obsah / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Následující řádky jsou žádoucí pro hostitele schopné IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allroutery
Úpravy souboru /etc/resolv.conf
Aby naše dotazy a kontroly fungovaly správně, je nutné v lokální konfiguraci hostitele deklarovat, která bude naší vyhledávací doménou a která bude naším lokálním DNS. Bez výše uvedených parametrů bude jakýkoli dotaz DNS selhat. A to je chyba, kterou dělá mnoho začátečníků. Pojďme tedy soubor upravit / Etc / resolv.conf a necháme to s následujícím obsahem:
# obsah /etc/resolv.conf prohledat nameserver friends.cu 192.168.10.10
Na počítači, kde máme nainstalovaný server DNS, můžeme psát:
prohledat jmenny server amigos.cu 127.0.0.1
Ve výše uvedeném obsahu prohlášení nameserver 127.0.0.1, označuje, že budou učiněny dotazy na localhost.
Poté, co máme správně nakonfigurovaný BIND, můžeme z našeho hostitele udělat jakýkoli dotaz DNS, ať už je to samotný server svázat9 nebo jiný připojený k síti a který patří do stejné podsítě a má stejnou masku sítě. Chcete-li se o souboru dozvědět více, spusťte muž resolv.conf.
Úpravy souboru /etc/bind/named.conf
Omezit dotazy na naše BIND tak, aby reagovaly pouze na naši podsíť a zabránily útoku Spoofing, prohlašujeme v souboru pojmenovaný.konf Access Control List nebo ACL (Access Control List) a my tomu říkáme mired. Souborpojmenovaný.konf Mělo by to být následující:
// /etc/bind/named.conf // Toto je primární konfigurační soubor pro pojmenovaný server BIND DNS. // // Přečtěte si prosím /usr/share/doc/bind9/README.Debian.gz, kde najdete informace o // struktuře konfiguračních souborů BIND v Debianu, * PŘED * si přizpůsobte // tento konfigurační soubor. // // Pokud přidáváte pouze zóny, udělejte to prosím v /etc/bind/named.conf.local // // Komentáře ve španělštině jsou naše // Originály necháváme v angličtině // POZOR na kopírování a paste // NEPOUŽÍVEJTE PRÁZDNÉ PROSTORY NA KONCI KAŽDÉHO ŘÁDKU // // Seznam řízení přístupu: // Umožní dotazy z lokální domény a z naší podsítě // V zahrnutém souboru named.conf.options na něj odkazujeme . ACL mired {127.0.0.0/8; 192.168.10.0/24; }; zahrnout "/etc/bind/named.conf.options"; zahrnout "/etc/bind/named.conf.local"; zahrnout "/etc/bind/named.conf.default-zones"; // konec souboru /etc/bind/named.conf
Pojďme zkontrolovat konfiguraci BIND tak daleko a restartovat službu:
named-checkconf -z služba bind9 restart
Úpravy souboru /etc/bind/named.conf.options
V první části „možnosti„Budeme pouze deklarovat Dopravci, a kdo bude ten, kdo bude moci konzultovat naše BIND. Pak deklarujeme Klíč nebo klíč pomocí kterého můžeme ovládat svázat9a nakonec od kterého hostitele jej můžeme ovládat. Abychom věděli, který je klíč nebo klíč, musíme to udělat kočka /etc/bind/rndc.key. Výstup zkopírujeme a vložíme do souboru named.conf.options. Nakonec by náš soubor měl vypadat takto:
// /etc/bind/named.conf.options options {// POZOR NA KOPÍROVÁNÍ A PASTU, PROSÍM ... // Výchozí adresář pro vyhledání adresáře souborů Zones "/ var / cache / bind"; // Pokud mezi vámi a jmennými servery, se kterými chcete // mluvit, je brána firewall, bude pravděpodobně nutné bránu firewall opravit, aby bylo možné hovořit více // portů. Viz http://www.kb.cert.org/vuls/id/800113 // Pokud váš ISP poskytl jednu nebo více IP adres pro stabilní // jmenné servery, pravděpodobně je budete chtít použít jako forwardery. // Odkomentujte následující blok a vložte adresy, které nahradí // zástupný symbol všech 0. // vyvážecí vozy {// 0.0.0.0; // 0.0.0.0; //} // Speditéři. Nemám lepší překlad // Adresy pocházejí ze serverů ceniai.net.cu // Pokud nemá výstup na internet, NENÍ nutné // deklarovat je, pokud nemáte složitější LAN // se servery DNS, které fungují jako předávající mimo // rozsahu IP adres vaší podsítě. V takovém případě // musíte deklarovat IP adresy těchto serverů. // Dotazy předavače jsou kaskádové. speditéři {169.158.128.136 169.158.128.88 1035 6; 5 2 86; }; // V dobře nakonfigurované síti LAN by měly být VŠECHNY dotazy DNS // prováděny na místní server DNS v dané síti LAN, // NE na servery mimo síť LAN. // Zejména pokud máte přístup k internetu, // národní nebo mezinárodní. Za to // deklarujeme předávací servery auth-nxdomain no; # odpovídá RFC6 listen-on-v127.0.0.1 {any; }; // Chraňte před spoofing allow-query {mired; }; }; // Obsah souboru / etc / bind / rndc-key // získaný pomocí cat / etc / bind / rndc-key // Nezapomeňte to změnit, pokud znovu vygenerujeme klíč „rndc-key“ {algoritmus hmac-mdXNUMX; tajemství "dlOFESXTpXNUMXwYLaXNUMXvQNUXNUMXw =="; }; // Od kterého hostitele budeme ovládat a pomocí kterých klíčových ovládacích prvků {inet XNUMX povolit {localhost; } klíče {rndc-key; }; }; // koncový soubor /etc/bind/named.conf.options
Pojďme zkontrolovat konfiguraci BIND tak daleko a restartovat službu:
named-checkconf -z služba bind9 restart
Rozhodli jsme se zahrnout jako // Komentáře základní aspekty, které mohou sloužit jako reference pro budoucí konzultace.
Skutečnost deklarování předávacích serverů převádí náš server BIND Local na server Cache a zachovává jeho funkčnost jako primární master. Když požádáme o hostitele nebo externí doménu, odpověď - pokud je kladná - bude uložena v její mezipaměti, takže když ji znovu požádáme o stejného hostitele nebo o stejnou externí doménu, získáme rychlou odpověď tím, že nebudeme konzultovat zpět na externí DNS.
Úpravy souboru /etc/bind/named.conf.local
V tomto souboru deklarujeme lokální zóny naší domény. Musíme zahrnout minimálně vpřed a vzad zóny. Pamatujte na to v konfiguračním souboru/etc/bind/named.conf.options Pomocí direktivy adresářů deklarujeme, ve kterém adresáři budeme soubory Zones hostovat. Na konci by měl být soubor následující:
// /etc/bind/named.conf.local // // Proveďte libovolnou místní konfiguraci zde // // Zvažte přidání zde zón 1918, pokud nejsou použity ve vaší // organizaci // zahrnout "/ etc / bind /zones.rfc1918 "; // Názvy souborů v každé zóně jsou podle vkusu spotřebitele. Vybrali jsme si amigos.cu.hosts // a 192.168.10.rev, protože nám poskytují jasnost jejich // obsahu. Už neexistuje žádná záhada // // Názvy zón NEJSOU ARBITRÁRNÍ // a budou odpovídat názvu naší domény // a podsíti LAN // Hlavní hlavní zóna: zadejte „Přímou“ zónu „amigos.cu“ { typový mistr; soubor "amigos.cu.hosts"; }; // Hlavní hlavní zóna: zadejte „inverzní“ zónu „10.168.192.in-addr.arpa“ {typ hlavní; soubor "192.168.10.rev"; }; // Konec souboru named.conf.local
Chcete-li zkontrolovat konfiguraci BIND tak daleko:
named -checkconf -z
Předchozí příkaz vrátí chybu, dokud soubory zóny neexistují. Hlavní věc je, že nás varuje, že zóny deklarované v named.conf.local nebudou načteny, protože soubory záznamů DNS prostě neexistují, což je zatím pravda. Můžeme jít dál.
Restartujme službu, aby byly zohledněny změny:
restart služby bind9
Protože nechceme, aby byl každý příspěvek velmi dlouhý, budeme se v další 4. části zabývat otázkou vytváření souborů Local Zones. Do té doby přátelé!
Díky chlape!
Dnes je těžké vidět příspěvky této kvality na internetu!
Zdravím!
Moc děkuji za komentář .. Je mi potěšením číst takové věci .. 😉
Výborný článek!
Díky fico, Elav, KZ, každopádně… DesdeLinux pro existovat
Kolektivně lze implementovat plugin, který umožňuje stahování článků ve formátu pdf (styl HumanOS)
pozdravy
Dasht
Děkuji vám všem za vaše komentáře. Učíme se VŠECHNY z nich.
Stahování článků v PDF neobsahuje komentáře přátel a kolegů, které doplňují příspěvek a jsou velmi užitečné. Poskytnutí průvodce bez komentářů je vzhledem k šíři tématu prakticky nemožné. UNIX / Linux je extrémně široký, aby předešel zážitkům každého.
Skvělé články!
Je jasné, že komentáře doplňují informace k článkům, dokonce naznačují věci, které mohou zůstat nebo které by mohly být přidány, ale i nadále si myslím, že by bylo ideální, kdyby článek mohl být uložen jako pdf, alespoň pro mě
Obejmout Kubu a těšit se na to
Běh:
named -checkconf -z
Cítím se jako:
/etc/bind/named.conf.options:30: neznámá možnost 'ovládací prvky'
Odpovídám si sám: část s ovládacími prvky musíte umístit mimo sekci možností.
Také bych chtěl něčím přispět: pokud místo kopírování a vkládání do souboru named.conf.options
klíč "rndc-key" {
algoritmus hmac-md5;
tajemství "dlOFESXTp2wYLa86vQNU6w ==";
};
Vyrábíme:
zahrnout "/etc/bind/rndc.key";
v souboru named.conf si myslím, že to také funguje.
Zdravím.