Es ist eine enorme Anstrengung, in 5 kleinen Artikeln das Vorwissen, die Installation, die Konfiguration und die Erstellung der Zonen und Prüfungen eines BIND zu reduzieren, damit es von der größten Anzahl von Lesern verstanden werden kann, was unser grundlegender Zweck ist .
Diejenigen, die die Geduld hatten, das sorgfältig zu lesen 1 y 2da In diesem Artikel können Sie mit der Konfiguration und Einrichtung eines Domain Name Servers für ein LAN fortfahren.
Für das Neue und diejenigen, die sich über die in den vorhergehenden Teilen angegebenen sehr zusammengefassten Konzepte nicht ganz klar sind, empfehlen wir, dass Sie sie lesen und studieren, bevor Sie fortfahren. Übliche Verdächtige der Verzweiflung! zurück, wenn Sie nicht sorgfältig gelesen haben.
Wir werden unten sehen:
- Hauptdaten des LAN
- Minimale Hostkonfigurationen
- Änderungen an der Datei /etc/resolv.conf
- Änderungen an der Datei /etc/bind/named.conf
- Änderungen an der Datei /etc/bind/named.conf.option
- Änderungen an der Datei /etc/bind/named.conf.local
Hauptdaten des LAN
LAN-Domänenname: amigos.cu LAN-Subnetz: 192.168.10.0/255.255.255.0 BIND Server-IP: 192.168.10.10 Server-NetBIOS-Name: ns
Obwohl es offensichtlich ist, denken Sie daran, die vorherigen Daten für Ihre eigenen zu ändern.
Minimale Hostkonfigurationen
Es ist sehr wichtig, dass die Dateien korrekt konfiguriert sind / etc / Netzwerk / Schnittstellen y/ Etc / hosts um eine gute DNS-Leistung zu erhalten. Wenn alle Daten während der Installation deklariert wurden, sind keine Änderungen erforderlich. Der Inhalt von jedem von ihnen muss der folgende sein:
# Inhalt der Datei / etc / network / interfaces # Diese Datei beschreibt die auf Ihrem System # verfügbaren Netzwerkschnittstellen und deren Aktivierung. Weitere Informationen finden Sie unter Schnittstellen (5). # Die Loopback-Netzwerkschnittstelle Auto Lo Iface Lo Inet Loopback # Die primäre Netzwerkschnittstelle erlaubt-Hotplug Eth0 Iface Eth0 Inet statische Adresse 192.168.10.10 Netzmaske 255.255.255.0 Netzwerk 192.168.10.0 Broadcast 192.168.10.255 Gateway 192.168.10.2 # DNS- * Optionen sind Wird vom resolvconf-Paket implementiert, wenn DNS-Nameserver 192.168.10.10 installiert sind. DNS-Suche amigos.cu # Inhalt von / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Die folgenden Zeilen sind für IPv6-fähige Hosts wünschenswert :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters
Änderungen an der Datei /etc/resolv.conf
Damit unsere Abfragen und Überprüfungen ordnungsgemäß funktionieren, muss in der lokalen Konfiguration des Hosts angegeben werden, welche unsere Suchdomäne und welche unser lokales DNS sein wird. Ohne die oben genannten Parameter schlägt jede DNS-Abfrage fehl. Und das ist ein Fehler, den viele Anfänger machen. Bearbeiten wir also die Datei / Etc / resolv.conf und wir belassen es mit folgendem Inhalt:
# Inhalt von /etc/resolv.conf Suche friends.cu Nameserver 192.168.10.10
Auf dem Computer, auf dem der DNS-Server installiert ist, können wir schreiben:
Suche amigos.cu Nameserver 127.0.0.1
Im obigen Inhalt die Aussage Nameserver 127.0.0.1, gibt an, dass Anfragen an gestellt werden localhost.
Nachdem wir BIND korrekt konfiguriert haben, können wir jede DNS-Abfrage von unserem Host aus durchführen, sei es vom Server selbst bind9 oder eine andere, die mit dem Netzwerk verbunden ist und zum selben Subnetz gehört und dieselbe Netzwerkmaske hat. Führen Sie Folgendes aus, um mehr über die Datei zu erfahren man resolv.conf.
Änderungen an der Datei /etc/bind/named.conf
Um Anfragen auf unser BIND zu beschränken, damit sie nur auf unser Subnetz reagieren und einen Angriff verhindern Spoofing, deklarieren wir in der Datei benannt.conf die Access Control List oder ACL (Access Control List) und wir nennen es gemischt. Die Dateibenannt.conf Es sollte wie folgt sein:
// /etc/bind/named.conf // Dies ist die primäre Konfigurationsdatei für den genannten BIND-DNS-Server. // // Bitte lesen Sie /usr/share/doc/bind9/README.Debian.gz, um Informationen zur // Struktur der BIND-Konfigurationsdateien in Debian zu erhalten, * BEVOR * Sie // diese Konfigurationsdatei anpassen. // // Wenn Sie nur Zonen hinzufügen, tun Sie dies bitte in /etc/bind/named.conf.local // // Die Kommentare auf Spanisch sind unsere // Wir belassen die Originale auf Englisch // ACHTUNG beim Kopieren und Einfügen // VERLASSEN SIE KEINE LEEREN RAUME AM ENDE JEDER LINIE // // Zugriffssteuerungsliste: // Es werden Abfragen von der lokalen Domäne und von unserem Subnetz zugelassen. // In der enthaltenen Datei named.conf.options wird auf diese verwiesen es. acl mired {127.0.0.0/8; 192.168.10.0/24; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; // Ende der Datei /etc/bind/named.conf
Lassen Sie uns die bisherige BIND-Konfiguration überprüfen und den Dienst neu starten:
Named-Checkconf -z Service Bind9 Neustart
Änderungen an der Datei /etc/bind/named.conf.options
Im ersten Abschnitt „Optionen"Wir werden nur die deklarieren Spediteureund wer wird derjenige sein, der in der Lage sein wird, unseren BIND zu konsultieren. Dann deklarieren wir den Schlüssel oder Schlüssel durch die wir das kontrollieren können bind9und schließlich von welchem Host aus wir es steuern können. Um zu wissen, welcher der Schlüssel ist, müssen wir es tun cat /etc/bind/rndc.key. Wir kopieren die Ausgabe und fügen sie in die Datei ein named.conf.options. Am Ende sollte unsere Datei folgendermaßen aussehen:
// /etc/bind/named.conf.options options {// VORSICHT BEIM KOPIEREN UND EINFÜGEN, BITTE ... // Standardverzeichnis zum Auffinden unseres Zones-Dateiverzeichnisses "/ var / cache / bind"; // Wenn sich zwischen Ihnen und den Nameservern, mit denen Sie // sprechen möchten, eine Firewall befindet, müssen Sie möglicherweise die Firewall reparieren, damit mehrere // Ports miteinander kommunizieren können. Siehe http://www.kb.cert.org/vuls/id/800113 // Wenn Ihr ISP eine oder mehrere IP-Adressen für stabile // Nameserver bereitgestellt hat, möchten Sie diese wahrscheinlich als Weiterleitungen verwenden. // Kommentieren Sie den folgenden Block aus und fügen Sie die Adressen ein, // die den Platzhalter der All-0 ersetzen. // Weiterleitungen {// 0.0.0.0; // 0.0.0.0; //} // Die Spediteure. Ich habe keine bessere Übersetzung // Die Adressen stammen von Servern von ceniai.net.cu // Wenn es keinen Exit zum Internet gibt, // ist es NICHT notwendig, sie zu deklarieren, es sei denn, Sie haben eine komplexere LAN // mit DNS-Servern, die als Weiterleitungen außerhalb // des IP-Adressbereichs Ihres Subnetzes fungieren. In diesem Fall // müssen Sie die IP (s) dieser Server deklarieren. // Weiterleitungsabfragen sind Cascade. Spediteure {169.158.128.136; 169.158.128.88, 1035, 6; }; // In einem gut konfigurierten LAN sollten ALLE // DNS-Abfragen an den lokalen DNS-Server in diesem LAN gerichtet werden, // NICHT an Server außerhalb des LAN. // Besonders wenn Sie einen Internetzugang haben, // sei es national oder international. Dafür // deklarieren wir die Forwarder auth-nxdomain no; # entspricht RFC5 listen-on-v2 {any; }; // Vor Spoofing schützen allow-query {mired; }; }; // Inhalt der Datei / etc / bind / rndc-key // erhalten über cat / etc / bind / rndc-key // Denken Sie daran, sie zu ändern, wenn wir den Schlüssel "rndc-key" neu generieren {algorithm hmac-md86; geheim "dlOFESXTp6wYLa127.0.0.1vQNUXNUMXw =="; }; // Von welchem Host aus steuern wir und über welche Schlüsselsteuerung {inet XNUMX allow {localhost; } keys {rndc-key; }; }; // Datei beenden /etc/bind/named.conf.options
Lassen Sie uns die bisherige BIND-Konfiguration überprüfen und den Dienst neu starten:
Named-Checkconf -z Service Bind9 Neustart
Wir haben beschlossen, als aufzunehmen // Bemerkungen die grundlegenden Aspekte, die als Referenz für zukünftige Konsultationen dienen können.
Durch die Deklaration der Weiterleitungen wird unser lokaler BIND-Server in einen Caché-Server konvertiert, wobei die primäre Master-Funktionalität beibehalten wird. Wenn wir nach einem Host oder einer externen Domain fragen, wird die Antwort - wenn sie positiv ist - in ihrem Cache gespeichert, sodass wir eine schnelle Antwort erhalten, wenn wir sie erneut nach demselben Host oder nach derselben externen Domain fragen Rückberatung zu externen DNSs.
Änderungen an der Datei /etc/bind/named.conf.local
In dieser Datei deklarieren wir die lokalen Zonen unserer Domain. Wir müssen mindestens die Vorwärts- und Rückwärtszonen einbeziehen. Denken Sie daran, dass in der Konfigurationsdatei/etc/bind/named.conf.options Wir erklären, in welchem Verzeichnis wir die Zones-Dateien über die Verzeichnisanweisung hosten. Am Ende sollte die Datei wie folgt sein:
// /etc/bind/named.conf.local // // Hier eine lokale Konfiguration vornehmen // // Erwägen Sie, die 1918-Zonen hier hinzuzufügen, wenn sie nicht in Ihrer // Organisation verwendet werden // include "/ etc / bind /zones.rfc1918 "; // Die Namen der Dateien in jeder Zone entsprechen dem // Geschmack des Verbrauchers. Wir haben amigos.cu.hosts // und 192.168.10.rev gewählt, weil sie uns Klarheit über ihren // Inhalt geben. Es gibt kein Rätsel mehr // // Die Namen der Zonen sind NICHT willkürlich // und entsprechen dem Namen unserer Domäne // und dem LAN-Subnetz // Hauptmasterzone: Geben Sie "Direct" zone "amigos.cu ein "{Typ Master; Datei "amigos.cu.hosts"; }; // Hauptzone des Masters: Typ "Inverse" Zone "10.168.192.in-addr.arpa" {Typ Master; Datei "192.168.10.rev"; }; // Ende der Datei named.conf.local
So überprüfen Sie die bisherige BIND-Konfiguration:
benannte-checkconf -z
Der vorherige Befehl gibt einen Fehler zurück, bis die Zonendateien nicht mehr vorhanden sind. Die Hauptsache ist, dass es uns warnt, dass die in named.conf.local deklarierten Zonen nicht geladen werden, da die DNS-Eintragsdateien einfach nicht existieren, was vorerst zutrifft. Wir können weitermachen.
Starten wir den Dienst neu, damit die Änderungen berücksichtigt werden:
Service Bind9 Neustart
Da wir nicht jeden Beitrag sehr lang machen möchten, werden wir uns im nächsten 4. Teil mit dem Problem der Erstellung der lokalen Zonendateien befassen. Bis dahin Freunde!
Danke, Mann!
Heute ist es schwierig, Beiträge dieser Qualität im Internet zu sehen!
Viele Grüße!
Vielen Dank für Ihren Kommentar. Es ist mir eine Freude, solche Dinge zu lesen. 😉
Ausgezeichneter Artikel!
Danke fico, Elav, KZ, jedenfalls… DesdeLinux für existieren
Insgesamt könnte ein Plugin implementiert werden, mit dem Sie die Artikel als PDF herunterladen können (HumanOS-Stil).
Grüße
Dasht
Vielen Dank für Ihre Kommentare. Wir lernen ALLE von ihnen.
Der Download der Artikel als PDF enthält keine Kommentare von Freunden und Kollegen, die den Beitrag ergänzen und sehr nützlich sind. Angesichts der Breite des Themas ist es praktisch unmöglich, einen Leitfaden ohne Kommentare zu geben. UNIX / Linux ist extrem breit, um die Erfahrungen aller zu vermeiden.
Ausgezeichnete Artikel!
Es ist klar, dass die Kommentare die Informationen der Artikel ergänzen, sie schlagen sogar Dinge vor, die möglicherweise verbleiben oder hinzugefügt werden könnten, aber ich halte an meiner Idee fest, dass es ideal wäre, wenn der Artikel zumindest für mich als PDF gespeichert werden könnte
Eine Umarmung aus Kuba und freue mich immer darauf
Laufen:
benannte-checkconf -z
Ich fühle mich wie:
/etc/bind/named.conf.options:30: unbekannte Option 'Steuerelemente'
Ich antworte mir selbst: Sie müssen den Steuerelementbereich außerhalb des Optionsbereichs platzieren.
Ich möchte auch etwas beitragen: wenn anstatt in die Datei named.conf.options zu kopieren und einzufügen
Schlüssel "rndc-Schlüssel" {
Algorithmus hmac-md5;
geheim "dlOFESXTp2wYLa86vQNU6w ==";
};
Wir machen ein:
include "/etc/bind/rndc.key";
in der Datei named.conf denke ich, dass es auch funktioniert.
Grüße.