Diejenigen, die dem folgten 1, 2da, 3 y 4T Ein Teil dieses Artikels und die Konsultationen zu ihrem BIND lieferten zufriedenstellende Ergebnisse. Sie sind bereits Experten auf diesem Gebiet. :-) Und ohne weiteres kommen wir zum letzten Teil:
- Erstellung der Hauptmasterzonendatei 10.168.192.in-addr.arpa vom Typ „Inverse“
- Störungssuche
- Zusammenfassung
Erstellung der Hauptmasterzonendatei 10.168.192.in-addr.arpa vom Typ „Inverse“
Der Name des Gebiets bringt sie zu Ihnen, richtig? Und es ist so, dass die Reverse Zones für eine korrekte Namensauflösung gemäß den Internetstandards obligatorisch sind. Wir haben keine andere Wahl, als die unserer Domain entsprechende zu erstellen. Dafür verwenden wir als Vorlage die Datei /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Wir bearbeiten die Datei /var/cache/bind/192.168.10.rev und wir lassen es so:
;; /var/cache/bind/192.168.10.rev; ;; BIND Reverse-Datendatei für Master-Zone 10.168.192.in-addr.arpa; BIND-Datendateien für Master Zone (Reverse) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Seriennummer 604800; Aktualisierung 86400; Wiederholung 2419200; Ablauf 604800); Negative Cache TTL; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 IN PTR gandalf.amigos.cu. 9 IN PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ;; Wir können auch die vollständige IP-Adresse schreiben. Ex:; 192.168.10.1 IN PTR gandalf.amigos.cu.
- Beachten Sie, wie wir in diesem Fall die Zeiten in Sekunden belassen haben, da sie standardmäßig erstellt werden, wenn die bind9. Es funktioniert genauso. Sie entsprechen den in der Datei angegebenen Zeiten friends.cu.host. Im Zweifelsfall überprüfen.
- Beachten Sie auch, dass wir nur die umgekehrten Datensätze der Hosts deklarieren, denen eine zugewiesene oder "echte" IP in unserem LAN zugewiesen ist und die diese eindeutig identifiziert.
- Denken Sie daran, die Reverse Zone-Datei mit ALLEN korrekten IP-Adressen zu aktualisieren, die in der Direct Zone deklariert sind.
- Denken Sie daran, die zu erhöhen Seriennummer der Zone Jedes Mal, wenn sie die Datei ändern und bevor BIND neu gestartet wird.
Lassen Sie uns die neu erstellte Zone überprüfen:
benannte-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Wir überprüfen die Konfiguration:
named-checkconf -z named-checkconf -p
Wenn alles in Ordnung war, starten wir den Dienst neu:
Service Bind9 Neustart
Von nun an müssen wir jedes Mal, wenn wir die Zonendateien ändern, nur noch Folgendes ausführen:
rndc neu laden
Dafür deklarieren wir den Schlüssel in /etc/bind/named.conf.optionsNein
Störungssuche
Sehr wichtig ist der korrekte Inhalt der Datei / Etc / resolv.conf wie wir im vorigen Kapitel gesehen haben. Denken Sie daran, mindestens Folgendes anzugeben:
Suche amigos.cu Nameserver 192.168.10.20
Befehl graben des Pakets dnsutil. Geben Sie auf einer Konsole die Befehle ein, denen # vorangestellt ist:
# dig -x 127.0.0.1 ..... ;; ANTWORT ABSCHNITT: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; ANTWORT ABSCHNITT: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu hat die Adresse 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu hat die Adresse 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; globale Optionen: + cmd ;; Zeitüberschreitung der Verbindung; Es konnten keine Server erreicht werden # dig gandalf.amigos.cu .... ;; ANTWORT ABSCHNITT: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Wenn sie Zugang zum kubanischen oder globalen Internet haben und die Spediteure korrekt deklariert sind, versuchen Sie: # dig debian.org .... ;; FRAGE ABSCHNITT:; debian.org. IN EINEM ;; ANTWORT ABSCHNITT: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu hat die Adresse 190.6.81.130 # host yahoo.es yahoo.es hat die Adresse 77.238.178.122 yahoo.es hat die Adresse 87.248.120.148 yahoo.es Mail wird bearbeitet von 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; ANTWORT ABSCHNITT: 122.178.238.77.in-addr.arpa. 429 IN PTR w2.rc.vip.ird.yahoo.com.
… Und im Allgemeinen mit anderen Domains außerhalb unseres LAN. Informieren Sie sich im Internet über interessante Dinge.
Eine der besten Möglichkeiten, um die Leistung eines Servers zu überprüfen bind9und im Allgemeinen von jedem anderen installierten Dienst liest die Ausgabe des Systemprotokollmeldungen mit dem Befehl tail -f / var / log / syslog als Benutzer ausführenWurzel.
Es ist sehr interessant, die Ausgabe dieses Befehls zu sehen, wenn wir unseren lokalen BIND nach einer Domain oder einem externen Host fragen. In diesem Fall können mehrere Szenarien dargestellt werden:
- Wenn wir keinen Zugang zum Internet haben, schlägt unsere Abfrage fehl.
- Wenn wir Zugang zum Internet haben und KEINE Spediteure deklariert haben, erhalten wir höchstwahrscheinlich keine Antwort.
- Wenn wir Zugang zum Internet haben und die Spediteure deklariert haben, erhalten wir eine Antwort, da diese für die Konsultation des DNS-Servers oder der erforderlichen Server zuständig sind.
Wenn wir an einem arbeiten LAN geschlossen Wenn es unmöglich ist, nach draußen zu gehen, und wir keine Spediteure haben, können wir die Suchnachrichten der Root-Server Datei "leeren" /etc/bind/db.root. Dazu speichern wir zuerst die Datei unter einem anderen Namen und löschen dann den gesamten Inhalt. Dann überprüfen wir die Konfiguration und starten den Dienst neu:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart
Zusammenfassung
Bisher, Leute, eine kleine Einführung in den DNS-Dienst. Was wir bisher getan haben, kann uns perfekt für unser kleines Unternehmen dienen. Auch für das Haus, wenn wir virtuelle Maschinen mit unterschiedlichen Betriebssystemen und IP-Adressen erstellen und nicht nach IP, sondern nach Namen darauf verweisen möchten. Ich installiere immer einen BIND auf meinem Heimhost, um Dienste zu installieren, zu konfigurieren und zu testen, die stark vom DNS-Dienst abhängen. Ich benutze Desktops und virtuelle Server ausgiebig und möchte keine Datei aufbewahren / Etc / hosts auf jeder der Maschinen. Ich liege zu viel falsch.
Wenn Sie BIND noch nie installiert und konfiguriert haben, lassen Sie sich bitte nicht abschrecken, wenn beim ersten Versuch etwas schief geht und Sie von vorne beginnen müssen. In diesen Fällen empfehlen wir immer, mit einer sauberen Installation zu beginnen. Es ist einen Versuch wert!
Für diejenigen, die eine hohe Verfügbarkeit des Namensauflösungsdienstes benötigen, die durch die Konfiguration eines Secondary Master-Servers erreicht werden kann, empfehlen wir, dass Sie mit uns das nächste Abenteuer fortsetzen: Sekundärer Master-DNS für ein LAN.
Herzlichen Glückwunsch an alle, die alle Artikel verfolgt und die erwarteten Ergebnisse erzielt haben!
Endlich! .. der letzte Beitrag: D!
Danke, dass du meinen Freund geteilt hast!
Viele Grüße!
Sehr interessant, Ihre Artikel, ich habe ein autorisierendes DNS in einer freeBSD für eine .edu.mx-Domain eingerichtet, bisher hat es perfekt für mich funktioniert, aber im letzten Monat habe ich mehrere Angriffe auf den Server festgestellt, was wäre Die Verteidigungsmethoden für ein exponiertes DNS?, und ich weiß nicht, ob dies möglich ist, haben den Master dem Internet ausgesetzt und ein sekundäres, das eine kleine LAN von etwa 60 Computern bedient, die beide DNS miteinander verbunden sind oder können Definieren Sie zwei Zonen, eine interne und eine externe, danke im Master
Das Squeeze Bind9-Paket hat ein Problem mit Samba. Eine Version 9.8.4 ist bereits im Backports-Zweig von Squeeze verfügbar. Die Wheeze-Version hat dieses Problem nicht. Für lenny venenux.net wird das Paket zurückportiert.
Sehr guter Artikel.
Dies ist der einzige Artikel, der alles gut erklärt.
Es sollte beachtet werden, dass die ACL für Spofing nicht funktioniert, da die Lösung auf die gleiche Weise wie die Injektion aus dem internen Netzwerk darin besteht, die Weiterleitungen für die Clients zu verweigern und eine komplexe ACL zu erstellen, die eine Neuzuweisung von Namen verhindert (ähnlich wie bei statischen DNS).
BESONDERER TIPP:
Eine zusätzliche Konfiguration wäre hilfreich, um den DNS-Filterinhalt anstelle der Firewall zu erstellen
Danke, dass du @PICCORO kommentiert hast !!!.
Ich erkläre zu Beginn aller meiner Artikel, dass ich mich nicht als Spezialist betrachte. Viel weniger zum Thema DNS. Hier lernen wir alle. Ich werde Ihre Empfehlungen bei der Installation eines DNS mit Blick auf das Internet berücksichtigen und nicht für ein normales und einfaches LAN.
AUSGEZEICHNETES TUTORIAL !!! Es war eine große Hilfe für mich, da ich gerade in dieser Serverrunde angefangen habe, alles hat in Ordnung funktioniert. Vielen Dank und veröffentlichen Sie weiterhin so großartige Tutorials !!!
Fico, ich gratuliere dir noch einmal zu diesem großartigen Material.
Ich bin kein Experte für BIND9. Verzeihen Sie mir, wenn ich mich in Bezug auf den Kommentar irre, aber ich denke, Sie haben die Zone für die umgekehrte Suche in der Datei named.conf.local nicht definiert
Es ist eine Schande, dass Fico dir momentan nicht antworten kann.
Grüße und Danke, Elav, und hier antworte ich. Wie immer empfehle ich Ihnen, langsam zu lesen ... 🙂
In der Post: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Ich schreibe folgendes:
Änderungen an der Datei /etc/bind/named.conf.local
In dieser Datei deklarieren wir die lokalen Zonen unserer Domain. Wir müssen mindestens die Vorwärts- und Rückwärtszonen einbeziehen. Denken Sie daran, dass wir in der Konfigurationsdatei /etc/bind/named.conf.options angeben, in welchem Verzeichnis wir die Zones-Dateien mithilfe der Verzeichnisanweisung hosten. Am Ende sollte die Datei wie folgt sein:
// /etc/bind/named.conf.local
//
// Hier eine lokale Konfiguration vornehmen
//
// Erwägen Sie, die 1918-Zonen hier hinzuzufügen, wenn sie in Ihrer nicht verwendet werden
// Organisation
// include "/etc/bind/zones.rfc1918";
// Die Namen der Dateien in jeder Zone sind a
// Verbrauchergeschmack. Wir haben friends.cu.hosts ausgewählt
// und 192.168.10.rev, weil sie uns Klarheit über ihre geben
// Inhalt. Es gibt kein Geheimnis mehr 😉
//
// Die Namen der Zonen sind nicht willkürlich
// und sie entsprechen dem Namen unserer Domain
// und zum LAN-Subnetz
// Hauptzone: Haupttyp «Direkt»
Zone «amigos.cu» {
Typ Master;
Datei "amigos.cu.hosts";
};
// Hauptzone: Haupttyp «Invers»
Zone "10.168.192.in-addr.arpa" {
Typ Master;
Datei "192.168.10.rev";
};
// Ende der Datei named.conf.local
Gut, sehr interessant Ihr Beitrag über DNS, sie haben mir geholfen, mit dem Thema zu beginnen, danke. Ich stelle klar, dass ich in dieser Hinsicht ein Neuling bin. Beim Lesen Ihrer veröffentlichten Informationen habe ich jedoch festgestellt, dass diese mit festen Adressen auf den Hosts eines internen Netzwerks funktionieren. Meine Frage ist, wie würden Sie mit einem internen Netzwerk mit dynamischen IP-Adressen, die von einem DHCP-Server zugewiesen wurden, die Dateien der Hauptmasterzone vom Typ "direkt" und "umgekehrt" erstellen?
Ich werde dankbar sein für das Licht, das Sie zu dieser Angelegenheit geben können. Vielen Dank. Fv
Danke für den Kommentar, @fabian. Sie können die folgenden Artikel lesen, die Ihnen hoffentlich bei der Implementierung eines Netzwerks mit dynamischen Adressen helfen werden:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
Grüße