Primær Master DNS til et LAN på Debian 6.0 (III)

Det er en enorm indsats for i 5 små artikler at reducere den tidligere viden, installationen, konfigurationen og oprettelsen af ​​zoner og kontrol af en BIND, så den kan forstås af det største antal læsere, hvilket er vores grundlæggende formål .

Dem, der har haft tålmodighed til nøje at læse 1era y 2da En del af denne artikel er de parat til at fortsætte med konfigurationen og opsætningen af ​​en Domain Name Server til et LAN.

For det nye og dem, der ikke er meget klare over de meget sammenfattede begreber, der er givet i de foregående dele, anbefaler vi, at du læser og studerer dem, før du fortsætter. Almindelige mistanke om fortvivlelse! tilbage, hvis du ikke læste omhyggeligt.

Vi ser nedenfor:

  • Hoveddata for LAN
  • Minimum værtskonfigurationer
  • Ændringer af filen /etc/resolv.conf
  • Ændringer af filen /etc/bind/named.conf
  • Ændringer af filen /etc/bind/named.conf.option
  • Ændringer af filen /etc/bind/named.conf.local

 Hoveddata for LAN

LAN-domænenavn: amigos.cu LAN-subnet: 192.168.10.0/255.255.255.0 BIND-server IP: 192.168.10.10 Server NetBIOS-navn: ns

Selvom det er indlysende, skal du huske at ændre de tidligere data til dine egne.

Minimum værtskonfigurationer

Det er meget vigtigt at have filerne korrekt konfigureret / etc / network / interfaces y/ Etc / hosts for at få god DNS-ydeevne. Hvis alle data blev deklareret under installationen, er det ikke nødvendigt med ændringer. Indholdet af hver af dem skal være følgende:

# indhold af filen / etc / netværk / grænseflader # Denne fil beskriver de tilgængelige netværksgrænseflader på dit system # og hvordan de aktiveres. For flere oplysninger, se grænseflader (5). # Loopback-netværksgrænsefladen automatisk lo iface lo inet loopback # Den primære netværksgrænseflade tillader hotplug eth0 iface eth0 inet statisk adresse 192.168.10.10 netmaske 255.255.255.0 netværk 192.168.10.0 udsendt 192.168.10.255 gateway 192.168.10.2 # dns- * muligheder implementeret af resolvconf-pakken, hvis installeret dns-nameservers 192.168.10.10 dns-search amigos.cu # indhold af / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Følgende linjer er ønskelige for IPv6-kompatible værter :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Ændringer af filen /etc/resolv.conf

For at vores forespørgsler og kontrol fungerer korrekt, er det nødvendigt at erklære i den lokale konfiguration af værten, hvilket vil være vores søgedomæne, og hvilket vil være vores lokale DNS. Uden ovenstående parametre i det mindste mislykkes enhver DNS-forespørgsel. Og dette er en fejltagelse, som mange begyndere laver. Så lad os redigere filen / Etc / resolv.conf og vi efterlader det med følgende indhold:

# indhold af /etc/resolv.conf søg på friends.cu navneserver 192.168.10.10

På den computer, hvor vi har DNS-serveren installeret, kan vi skrive:

søg amigos.cu navneserver 127.0.0.1

I ovenstående indhold, udsagnet navneserver 127.0.0.1, indikerer, at der vil blive foretaget henvendelser til localhost.

Når vi har konfigureret vores BIND korrekt, kan vi foretage enhver DNS-forespørgsel fra vores vært, det være sig selve serveren bind9 eller en anden, der er forbundet til netværket, og som tilhører det samme undernet og har den samme netværksmaske. Kør for at lære mere om filen mand resolv.conf.

Ændringer af filen /etc/bind/named.conf

At begrænse forespørgsler til vores BIND, så de kun reagerer på vores undernet og forhindrer et angreb spoofing, erklærer vi i filen opkaldt.konf adgangskontrollisten eller ACL (adgangskontrolliste), og vi kalder det nedsunket. Filenopkaldt.konf Det skal være som følger:

// /etc/bind/named.conf // Dette er den primære konfigurationsfil for den BIND DNS-server, der hedder. // // Læs venligst /usr/share/doc/bind9/README.Debian.gz for information om // strukturen af ​​BIND-konfigurationsfiler i Debian, * FØR * du tilpasser // denne konfigurationsfil. // // Hvis du bare tilføjer zoner, skal du gøre det i /etc/bind/named.conf.local // // Kommentarerne på spansk er vores // Vi efterlader originalerne på engelsk // PAS PÅ at kopiere og indsætte // FORLAD IKKE TOMME RUM I SLUTTEN FOR HVER LINE // // Adgangskontroliste: // Tillader forespørgsler fra det lokale domæne og fra vores undernet // I den inkluderede fil med navnet.conf.options henviser vi til den . acl mired {127.0.0.0/8; 192.168.10.0/24; }; inkluderer "/etc/bind/named.conf.options"; inkluderer "/etc/bind/named.conf.local"; inkluderer "/etc/bind/named.conf.default-zones"; // slutningen af ​​filen /etc/bind/named.conf

Lad os kontrollere BIND-konfigurationen indtil videre og genstarte tjenesten:

named-checkconf -z service bind9 genstart

Ændringer af filen /etc/bind/named.conf.options

I første afsnit “optioner"Vi erklærer kun Udkørselsmaskine, og hvem vil være dem, der kan konsultere vores BIND. Så erklærer vi nøglen eller nøgle hvorigennem vi kan kontrollere bind9og endelig fra hvilken vært vi kan kontrollere det. For at vide, hvad der er nøglen eller nøglen, skal vi gøre kat /etc/bind/rndc.key. Vi kopierer output og indsætter det i filen named.conf.options. I sidste ende skal vores fil se sådan ud:

// /etc/bind/named.conf.options muligheder {// PAS PÅ KOPIERING OG INDSÆTNING, VENLIGST ... // Standardkatalog for at finde vores Zones-filmappe "/ var / cache / bind"; // Hvis der er en firewall mellem dig og navneserverne, du vil // til at tale med, skal du muligvis rette firewallen, så flere // porte kan tale. Se http://www.kb.cert.org/vuls/id/800113 // Hvis din internetudbyder leverede en eller flere IP-adresser til stabile // navneservere, vil du sandsynligvis bruge dem som videresendere. // Fjern kommentar til den følgende blok, og indsæt adresserne, der erstatter // all-0's pladsholder. // speditører {// 0.0.0.0; // 0.0.0.0; //} // Speditørerne. Jeg har ikke en bedre oversættelse // Adresserne er fra servere på ceniai.net.cu // Hvis det IKKE har en udgang til Internettet, er det IKKE nødvendigt // at erklære dem, medmindre du har en mere kompleks LAN // med DNS-servere, der fungerer som videresendere uden for // dit subnets IP-adresseområde. I så fald // skal du erklære IP (er) for disse servere. // Forwarders forespørgsler er Cascade. speditører {169.158.128.136; 169.158.128.88; }; // I et godt konfigureret LAN skal ALLE DNS-forespørgsler // sendes til den lokale DNS-server på dette LAN, // IKKE til servere uden for LAN. // Især når du har internetadgang, // det være sig nationalt eller internationalt. For det // erklærer vi, at speditørerne godkender nxdomæne nr. # overholder RFC1035 listen-on-v6 {any; }; // Beskyt mod spoofing-tilladelsesforespørgsel {mired; }; }; // Indholdet af filen / etc / bind / rndc-key // opnået gennem cat / etc / bind / rndc-key // Husk at ændre det, hvis vi regenererer nøglen "rndc-key" {algoritme hmac-md5; hemmelig "dlOFESXTp2wYLa86vQNU6w =="; }; // Fra hvilken vært vi vil kontrollere, og gennem hvilke nøglekontroller {inet 127.0.0.1 tillader {localhost; } nøgler {rndc-nøgle; }; }; // slutfil /etc/bind/named.conf.options

Lad os kontrollere BIND-konfigurationen indtil videre og genstarte tjenesten:

named-checkconf -z service bind9 genstart

Vi har besluttet at medtage som // Kommentarer de grundlæggende aspekter, der kan tjene som reference for fremtidig konsultation.

At deklarere videresendere konverterer vores BIND Local-server til en Caché-server og opretholder dens primære masterfunktionalitet. Når vi beder om et vært eller et eksternt domæne, vil svaret - hvis det er positivt - blive gemt i dets cache, så når vi beder det igen om den samme vært eller for det samme eksterne domæne, får vi et hurtigt svar ved ikke at høre tilbage til eksterne DNS'er.

Ændringer af filen /etc/bind/named.conf.local

I denne fil erklærer vi de lokale zoner i vores domæne. Vi skal medtage de fremadgående og omvendte zoner som et minimum. Husk det i konfigurationsfilen/etc/bind/named.conf.options Vi erklærer i hvilket bibliotek vi vil være vært for Zones-filerne ved hjælp af katalogdirektivet. I sidste ende skal filen være som følger:

// /etc/bind/named.conf.local // // Lav nogen lokal konfiguration her // // Overvej at tilføje 1918-zoner her, hvis de ikke bruges i din // organisation // inkluderer "/ etc / bind /zones.rfc1918 "; // Navnene på filerne i hver zone er efter // forbrugernes smag. Vi valgte amigos.cu.hosts // og 192.168.10.rev, fordi de giver os klarhed om deres // indhold. Der er ikke mere mysterium // // Zonernes navne ER IKKE ARBITRÆR // og svarer til navnet på vores domæne // og til LAN-undernet // Hovedmasterzone: skriv "Direkte" zone "amigos.cu" { type master; fil "amigos.cu.hosts"; }; // Master Hovedzone: skriv "Invers" zone "10.168.192.in-addr.arpa" {type master; fil "192.168.10.rev"; }; // Slut på navnet.conf.local-fil

Sådan kontrolleres BIND-konfigurationen indtil videre:

opkaldt-checkconf -z

Den forrige kommando returnerer en fejl, indtil zonefilerne ikke findes. Det vigtigste er, at det advarer os om, at de zoner, der er erklæret i named.conf.local, ikke indlæses, da DNS-registreringsfiler simpelthen ikke findes, hvilket er sandt for nu. Vi kan komme videre.

Lad os genstarte tjenesten, så ændringerne tages i betragtning:

service bind9 genstart

Da vi ikke ønsker at gøre hvert indlæg meget langt, vil vi behandle spørgsmålet om at oprette de lokale zoner-filer i den næste 4. del. Indtil da venner!


7 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   st0rmt4il sagde han

    Tak mand!

    I dag er det svært at se indlæg af denne kvalitet på Internettet!

    Greetings!

    1.    phico sagde han

      Mange tak for din kommentar .. Det er en fornøjelse at læse sådan noget .. 😉

  2.   dasht0 sagde han

    Fremragende artikel!
    Tak fico, Elav, KZ, alligevel... DesdeLinux for eksisterer

    Samlet set kunne der implementeres et plugin, der gør det muligt at downloade artiklerne som pdf (HumanOS-stil)
    hilsen
    Dasht

    1.    Federico sagde han

      Tak alle sammen for dine kommentarer. Vi lærer dem alle.
      Download af artiklerne i PDF inkluderer ikke kommentarer fra venner og kolleger, som supplerer indlægget og er meget nyttige. At give en guide uden kommentarer er praktisk talt umulig i betragtning af emnets bredde. UNIX / Linux er ekstremt bred for at undgå alles oplevelser.

      1.    dasht0 sagde han

        Fremragende artikler!
        Det er klart, at kommentarerne supplerer artiklenes information, de foreslår endda ting, der kan forblive, eller som kan tilføjes, men jeg fastholder min idé om, at det ville være ideelt, hvis artiklen kunne gemmes som pdf, i det mindste for mig
        Et knus fra Cuba og bliv ved med at se frem til det

  3.   elpapineo sagde han

    Løb:
    opkaldt-checkconf -z
    Jeg føler at:
    /etc/bind/named.conf.options:30: ukendt option 'kontrol'

    1.    elpapineo sagde han

      Jeg svarer mig selv: du skal placere kontrolafsnittet uden for indstillingsafsnittet.

      Jeg vil også gerne bidrage med noget: hvis i stedet for at kopiere og indsætte i filen named.conf.options

      nøgle "rndc-nøgle" {
      algoritme hmac-md5;
      hemmelig "dlOFESXTp2wYLa86vQNU6w ==";
      };

      Vi laver en:

      inkluderer "/etc/bind/rndc.key";

      i filen named.conf synes jeg, den også fungerer.

      Greetings.