Primær Master DNS til et LAN på Debian 6.0 (V) og final

De, der fulgte 1era2da3era y 4ta en del af denne artikel og konsultationerne om deres BIND gav tilfredsstillende resultater, de er allerede eksperter i emnet. :-) Og uden yderligere ado, lad os komme ind i den sidste del:

  • Oprettelse af filen til hovedhovedzonen af ​​typen "invers" 10.168.192.in-addr.arpa
  • Fejlfinding
  • Resumé

Oprettelse af filen til hovedhovedzonen af ​​typen "invers" 10.168.192.in-addr.arpa

Navnet på området bringer dem til dig, ikke? Og det er, at de omvendte zoner er obligatoriske for at have en korrekt navneopløsning i henhold til internetstandarder. Vi har intet andet valg end at oprette den, der svarer til vores domæne. Til dette bruger vi som skabelon filen /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

Vi redigerer filen /var/cache/bind/192.168.10.rev og vi lader det være sådan her:

; /var/cache/bind/192.168.10.rev; ; BIND omvendt datafil til masterzone 10.168.192.in-addr.arpa; BIND-datafiler til masterzone (omvendt) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Seriel 604800; Opdater 86400; Prøv 2419200 igen; Udløb 604800); Negativ cache TTL; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 I PTR gandalf.amigos.cu. 9 I PTR mail.amigos.cu. 20 I PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; vi kan også skrive den fulde IP-adresse. Eks :; 192.168.10.1 I PTR gandalf.amigos.cu.
  • Observer, hvordan vi i dette tilfælde har forladt tiderne i sekunder, da de oprettes som standard, når bind9. Det fungerer det samme. De er de samme tidspunkter som dem, der er angivet i filen venner.cu.host. Hvis du er i tvivl, skal du kontrollere.
  • Bemærk også, at vi kun erklærer de omvendte poster for værterne, der har en tildelt eller "ægte" IP på vores LAN, og som entydigt identificerer den.
  • Husk at opdatere Reverse Zone-filen med ALLE de korrekte IP-adresser, der er angivet i Direct Zone.
  • Husk at øge Zone serienummer hver gang de ændrer filen, og inden BIND genstartes.

Lad os kontrollere den nyoprettede zone:

named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

Vi kontrollerer konfigurationen:

named-checkconf -z opkaldt-checkconf -p

Hvis alt gik i orden, genstarter vi tjenesten:

service bind9 genstart

Fra nu af skal vi bare udføre hver gang vi redigerer zonefilerne:

rndc genindlæses

For det erklærer vi nøglen /etc/bind/named.conf.optionsnej?

Fejlfinding

Meget vigtigt er det korrekte indhold af filen / Etc / resolv.conf som vi så i det foregående kapitel. Husk at angive mindst følgende i det:

søg amigos.cu navneserver 192.168.10.20

kommando grave af pakken dnsutils. Indtast kommandoerne foran # på en konsol:

# dig -x 127.0.0.1 ..... ;; SVAR-SEKTION: 1.0.0.127.in-addr.arpa. 604800 I PTR localhost. .... # dig -x 192.168.10.9 .... ;; SVARSEKTION: 9.10.168.192.in-addr.arpa. 604800 I PTR mail.amigos.cu. .... # vært gandalf gandalf.amigos.cu har adresse 192.168.10.1 # vært gandalf.amigos.cu gandalf.amigos.cu har adresse 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; globale muligheder: + cmd ;; forbindelsen blev afbrudt ingen servere kunne nås # dig gandalf.amigos.cu .... ;; SVAR-AFSNIT: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Hvis de har adgang til det cubanske eller globale internet, og speditørerne er korrekt erklæret, prøv: # dig debian.org .... ;; SPØRGSMÅL: Debian.org. I EN ;; SVAR-SEKTION: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # vært bohemia.cu bohemia.cu har adresse 190.6.81.130 # vært yahoo.es yahoo.es har adresse 77.238.178.122 yahoo.es har adresse 87.248.120.148 yahoo.es mail håndteres af 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SVAR-SEKTION: 122.178.238.77.in-addr.arpa. 429 I PTR w2.rc.vip.ird.yahoo.com.

... Og generelt med andre domæner uden for vores LAN. Konsulter og find ud af interessante ting på Internettet.

En af de bedste måder at kontrollere ydelsen på en server bind9, og generelt af enhver anden installeret tjeneste, læser output af Systemlogmeddelelser ved hjælp af kommandoen hale -f / var / log / syslog køre som brugerrod.

Det er meget interessant at se output fra denne kommando, når vi stiller vores lokale BIND et spørgsmål om et eksternt domæne eller vært. I så fald kan der præsenteres flere scenarier:

  • Hvis vi ikke har adgang til internettet, mislykkes vores forespørgsel.
  • Hvis vi har adgang til internettet, og vi IKKE har erklæret speditører, får vi højst sandsynligt ikke svar.
  • Hvis vi har adgang til internettet, og vi har erklæret videresendere, får vi svar, da de har ansvaret for at konsultere de nødvendige DNS-servere eller servere.

Hvis vi arbejder på en LAN lukket hvor det på ingen måde er umuligt at rejse til udlandet, og vi ikke har nogen speditører af nogen art, kan vi fjerne søgebeskederne fra Root-servere "Tømning" af filen /etc/bind/db.root. For at gøre dette skal vi først gemme filen med et andet navn og derefter slette alt dens indhold. Derefter kontrollerer vi konfigurationen og genstarter tjenesten:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 genstart

Resumé

Indtil videre, folkens, en lille introduktion til DNS-tjenesten. Det, vi hidtil har gjort, kan tjene os perfekt til vores lille virksomhed. Også for huset, hvis vi opretter virtuelle maskiner med forskellige operativsystemer og forskellige IP-adresser, og vi ikke ønsker at henvise til dem med IP, men ved navn. Jeg installerer altid en BIND på min hjemmehost for at installere, konfigurere og teste tjenester, der er stærkt afhængige af DNS-tjeneste. Jeg bruger omfattende skriveborde og virtuelle servere, og jeg kan ikke lide at arkivere / Etc / hosts på hver af maskinerne. Jeg tager for meget fejl.

Hvis du aldrig har installeret og konfigureret en BIND, skal du ikke blive afskrækket, hvis noget går galt ved første forsøg, og du skal starte forfra igen. Vi anbefaler altid i disse tilfælde at starte med en ren installation. Det er værd at prøve!

For dem, der har brug for høj tilgængelighed i navneopløsningstjenesten, hvilket kan opnås ved at konfigurere en sekundær masterserver, anbefaler vi, at du fortsætter med os på det næste eventyr: Sekundær Master DNS til et LAN.

Tillykke til dem, der fulgte alle artiklerne og fik de forventede resultater!


11 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   st0rmt4il sagde han

    Endelig! .. det sidste indlæg: D!

    Tak for at dele min ven!

    Greetings!

  2.   Raphael Hernandez sagde han

    Meget interessant, dine artikler, jeg har en autoritativ DNS monteret på en freeBSD til et .edu.mx domæne, indtil videre har det fungeret perfekt for mig, men i den sidste måned opdagede jeg flere angreb mod serveren, hvad ville være forsvarsmetoder til en eksponeret DNS?, og jeg ved ikke, om det kan være, har mesteren eksponeret for internettet og en sekundær, der serverer en lille lan på omkring 60 computere, begge DNS sammenkoblet, eller for at være i stand til at definere to zoner, en intern og en ekstern, tak i mesteren

  3.   PICCORUS sagde han

    Squeeze bind9-pakken har et problem med samba, en version 9.8.4 er allerede tilgængelig i backports-grenen af ​​squeeze, wheeze-versionen har ikke dette problem, for lenny venenux.net bakker den pakken op.

    Meget god artikel.

    Dette er den eneste artikel, der gør alt godt forklaret ..

    Det skal bemærkes, at acl til spofing ikke fungerer, da det på samme måde vil blive injiceret fra det interne netværk, at løsningen ville være at nægte omdirigeringer til klienterne og oprette en kompleks acl, der forhindrer omfordeling af navne (noget svarer til statiske dns)

    SÆRLIG TIP:

    det ville være godt en ekstra konfiguration for, hvordan man får dns til at filtrere indhold i stedet for firewall

    1.    Federico Antonio Valdes Toujague sagde han

      Tak for kommentar @PICCORO !!!.
      Jeg erklærer i starten af ​​alle mine artikler, at jeg ikke betragter mig selv som specialist. Meget mindre om DNS-problemet. Her lærer vi alle. Jeg vil tage højde for dine anbefalinger, når du installerer en DNS, der vender mod internettet, og ikke for et normalt og simpelt LAN.

  4.   Frank davila sagde han

    UDMÆRKET TUTORIAL !!! Det var en stor hjælp for mig, da jeg lige startede i denne serversving, alt fungerede OK. Tak og fortsæt med at udgive sådanne storslåede tutorials !!!

  5.   Jesus Fenández Toledo sagde han

    Fico, endnu en gang vil jeg lykønske dig med dette fantastiske materiale.

    Jeg er ikke ekspert i BIND9, tilgiv mig, hvis jeg tager fejl af kommentaren, men jeg tror, ​​du ikke har defineret zonen til omvendte søgninger i filen named.conf.local

    1.    Elav sagde han

      Det er en skam, at Fico ikke kan svare dig lige nu.

      1.    Federico Antonio Valdes Toujague sagde han

        Hilsen og tak, Elav, og her svarer jeg. Som altid anbefaler jeg, at du læser langsomt ... 🙂

    2.    Federico Antonio Valdes Toujague sagde han

      I posten: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      Jeg skriver følgende:
      Ændringer af filen /etc/bind/named.conf.local

      I denne fil erklærer vi de lokale zoner i vores domæne. Vi skal medtage de fremadgående og omvendte zoner som et minimum. Husk at i konfigurationsfilen /etc/bind/named.conf.options erklærer vi i hvilket bibliotek vi vil være vært for Zones-filerne ved hjælp af katalogdirektivet. I sidste ende skal filen være som følger:

      // /etc/bind/named.conf.local
      //
      // Lav en lokal konfiguration her
      //
      // Overvej at tilføje 1918-zoner her, hvis de ikke bruges i din
      // organisation
      // inkluderer "/etc/bind/zones.rfc1918";
      // Navnene på filerne i hver zone er a
      // forbrugersmag. Vi valgte friends.cu.hosts
      // og 192.168.10.rev fordi de giver os klarhed over deres
      // indhold. Der er ikke mere mysterium 😉
      //
      // Navnen på zoner er IKKE ARBITRÆR
      // og de svarer til navnet på vores domæne
      // og til LAN-undernettet
      // Hovedhovedzone: «Direkte» type
      zone "friends.cu" {
      type master;
      fil "amigos.cu.hosts";
      };
      // Hovedhovedzone: «Omvendt» type
      zone "10.168.192.in-addr.arpa" {
      type master;
      fil "192.168.10.rev";
      };
      // Slut på navnet.conf.local-fil

  6.   Fabian Valery sagde han

    Godt, meget interessant dit indlæg om dns, de har hjulpet mig med at komme i gang med emnet, tak. Jeg præciserer, at jeg er nybegynder i denne henseende. Men ved at læse dine offentliggjorte oplysninger har jeg observeret, at det fungerer med faste adresser i værterne for et internt netværk. Mit spørgsmål er, hvordan ville det gøres med et internt netværk med dynamiske ip-adresser, tildelt af en dhcp-server, for at oprette filerne i hovedhovedzonen af ​​typen "direkte" og "invers"?

    Jeg vil sætte pris på det lys, du kan give om den rejste sag. Tak skal du have. Fv

    1.    Federico A. Valdes Toujague sagde han

      Tak for din kommentar, @fabian. Du kan se følgende artikler, som jeg håber vil hjælpe dig med at implementere et netværk med dynamiske adresser:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      hilsen