NSD Authoritarian DNS Server + Shorewall - SME Networks

fico

13 λεπτά

Γενικός δείκτης της σειράς: Δίκτυα υπολογιστών για ΜΜΕ: Εισαγωγή

Συγγραφέας: Federico Antonio Valdes Toujague

Αυτό το άρθρο αποτελεί συνέχεια:

Γεια σας φίλοι και φίλοι!

Η ομάδα Λάτρεις αγόρασε το όνομα τομέα διαδικτύου desdelinux.ανεμιστήρας στον Πάροχο υπηρεσιών Διαδικτύου ή ISP. Στο πλαίσιο αυτής της απόκτησης, ζήτησαν από τον ISP τους να συμπεριλάβει όλες τις απαραίτητες εγγραφές DNS για την επίλυση των σχετικών ερωτημάτων σχετικά με τον τομέα τους από το Διαδίκτυο.

Ζήτησαν επίσης να συμπεριληφθούν αρχεία SRV σχετικά με το XMPP επειδή σκοπεύουν να εγκαταστήσουν έναν διακομιστή άμεσων μηνυμάτων με βάση Προσωδία που θα ενταχθούν στην υπάρχουσα ομοσπονδία συμβατών διακομιστών XMMP στο Διαδίκτυο.

  • Ο κύριος σκοπός αυτού του άρθρου είναι να δείξει πώς μπορούμε να απεικονίσουμε σε ένα αρχείο ζώνης DNS τις εγγραφές SRV που σχετίζονται με την υπηρεσία άμεσων μηνυμάτων συμβατών με XMPP..
  • Η εγκατάσταση του Ακροτείχος Με μια ενιαία διασύνδεση δικτύου, μπορεί να εξυπηρετήσει όσους αποφασίζουν να εγκαταστήσουν έναν διακομιστή σαν αυτόν για τη διαχείριση μιας κατ 'εξουσιοδότηση ζώνης DNS. Εάν αυτός ο διακομιστής συνδέεται στο Enterprise LAN εκτός από το Διαδίκτυο, πρέπει να γίνουν οι απαραίτητες ρυθμίσεις για τη χρήση δύο διεπαφών δικτύου.

Βασικός διακομιστής

Θα εγκαταστήσουμε έναν έγκυρο διακομιστή DNS NSD Ντέμπιαν "Τζέσι". Αυτός είναι ο ριζικός διακομιστής για το "fan". Οι κύριες παράμετροι του διακομιστή είναι:

Όνομα: ns.fan Διεύθυνση IP: 172.16.10.30 root @ ns: ~ # hostname
ns

root @ ns: ~ # όνομα κεντρικού υπολογιστή --fqdn
ν.σφαν

root @ ns: ~ # ip addr show
1: τι: mtu 65536 qdisc noqueue state Άγνωστο προεπιλεγμένο link / loopback group 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 εύρος κεντρικού υπολογιστή lo valid_lft πάντα προτιμώμενο_lft για πάντα inet6 :: Ο κεντρικός υπολογιστής εύρους 1/128 valid_lft προτιμάται πάντα_lft για πάντα 2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link / ether 00: 0c: 29: dc: d7: 1b brd ff: ff: ff: ff: ff: ff inet 172.16.10.30/24 brd 172.16.10.255 εύρος παγκόσμιο eth0 valid_lft πάντα προτιμώμενο_lft για πάντα inet6 fe80 :: 20c: 29ff: fedc: d71b / 64 εύρος συνδέσμου valid_lft για πάντα προτιμώμενο_lft για πάντα

Ακροτείχος

Πριν φύγετε με μια υπηρεσία στο WWW Village, είναι πολύ θετικό να προστατεύετε τον διακομιστή και τις υπηρεσίες που παρέχει μέσω ενός ισχυρού Firewall - Router. Το Shorewall είναι σχετικά εύκολο να διαμορφωθεί και είναι μια ασφαλής επιλογή για προστασία.

  • Η σωστή και πλήρης διαμόρφωση ενός τείχους προστασίας είναι έργο των γνώσεων ή των ειδικών, κάτι που δεν είμαστε. Προσφέρουμε μόνο έναν οδηγό για μια ελάχιστη και λειτουργική διαμόρφωση.

Εγκαθιστούμε το πακέτο shorewall και την τεκμηρίωσή του.

root @ ns: ~ # aptitude show shorewall
Πακέτο: shorewall Νέο: ναι Κατάσταση: δεν έχει εγκατασταθεί
Έκδοση: 4.6.4.3-2

root @ ns: ~ # aptitude install shorewall shorewall-doc

τεκμηρίωση

Θα βρείτε άφθονη τεκμηρίωση στους φακέλους:

  • / usr / share / doc / shorewall
  • / usr / share / doc / shorewall / παραδείγματα
  • / usr / share / doc / shorewall-doc / html

Διαμορφώνουμε μια διασύνδεση δικτύου

root @ ns: ~ # cp / usr / share / doc / shorewall / example / one-interface / interfaces \
/ κλπ / shorewall /

root @ ns: ~ # nano / etc / shorewall / interfaces
#ZONE INTERFACE OPTIONS net eth0 tcpflags, logmartians, nosmurfs, sourceroute = 0

Δηλώνουμε τις ζώνες τείχους προστασίας

root @ ns: ~ # cp / usr / share / doc / shorewall / example / one-interface / zones \
/ κλπ / shorewall /

root @ ns: ~ # nano / etc / shorewall / zones
# ΕΠΙΛΟΓΕΣ ΤΥΠΟΥ ΖΩΝΗΣ ΣΕ ΕΞΩ # ΕΠΙΛΟΓΕΣ ΕΠΙΛΟΓΩΝ fw firewall net ipv4

Προεπιλεγμένες πολιτικές για πρόσβαση στο τείχος προστασίας

root @ ns: ~ # cp / usr / share / doc / shorewall / παραδείγματα / μία διεπαφή / πολιτική \
/ κλπ / shorewall /

root @ ns: ~ # nano / etc / shorewall / πολιτική
# SOURCE DEST POLICY LOG LEVEL LIMIT: BURST $ FW καθαρή αποδοχή
καθαρίστε όλες τις πληροφορίες DROP
# Η ΑΚΟΛΟΥΘΗ ΠΟΛΙΤΙΚΗ ΠΡΕΠΕΙ ΝΑ ΑΠΕΛΕΥΘΕΙ όλες τις πληροφορίες REJECT

Κανόνες πρόσβασης στο τείχος προστασίας

root @ ns: ~ # cp / usr / share / doc / shorewall / example / one-interface / Rules \
/ κλπ / shorewall /

root @ ns: ~ # nano / etc / shorewall / κανόνες
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER / MARK CON $ # PORT PORT (S) DEST LIMIT GROUP? SECTION ALL? SECTION INSTABLISED? SECTION SELATED? SECTION INVALID? SECTION UNTRACKED? SECTION NEW # DROP packets in INVALID πακέτα σε μη έγκυρη κατάσταση Μη έγκυρο (DROP) καθαρό $ FW tcp # Drop Ping από το "κακό" καθαρά ζώνη .. και αποτρέψτε το αρχείο καταγραφής σας να πλημμυρίσει .. # Απορρίψτε το Ping από την "κακή" καθαρή ζώνη. # Αποτροπή πλημμύρας του αρχείου καταγραφής συστήματος (/ var / log / syslog) Ping (DROP) net $ FW # Επιτρέψτε όλη την κυκλοφορία ICMP ΑΠΟ το τείχος προστασίας στη ζώνη δικτύου # Επιτρέψτε όλη την κυκλοφορία ICMP ΑΠΟ το τείχος προστασίας στη ζώνη καθαρά. ΔΕΧΕΤΕ $ FW net icmp

# Ίδιοι κανόνες # Πρόσβαση μέσω SSH από δύο υπολογιστές
SSH / ACCEPT net: 172.16.10.1,172.16.10.10 $ FW tcp 22

# Επιτρέψτε την κυκλοφορία στις θύρες 53 / tcp και 53 / udp
ΑΠΟΔΟΧΗ καθαρού $ FW tcp 53
ΑΠΟΔΕΧΕΤΕ καθαρά $ FW udp 53

Ελέγχουμε τη σύνταξη των αρχείων διαμόρφωσης

root @ ns: ~ # έλεγχος shorewall
Έλεγχος ... Επεξεργασία / etc / shorewall / params ... Processing /etc/shorewall/shorewall.conf ... Loading Modules ... Checking / etc / shorewall / zones ... Έλεγχος / etc / shorewall / interfaces .. Προσδιορισμός κεντρικών υπολογιστών σε ζώνες ... Εντοπισμός αρχείων δράσης ... Έλεγχος / etc / shorewall / policy ... Προσθήκη κανόνων κατά του smurf Έλεγχος φιλτραρίσματος σημαιών TCP ... Έλεγχος φιλτραρίσματος διαδρομής πυρήνα ... Έλεγχος καταγραφής Martian ... Έλεγχος αποδοχής Δρομολόγηση πηγής ... Έλεγχος φιλτραρίσματος MAC - Φάση 1 ... Έλεγχος / etc / shorewall / κανόνες ... Έλεγχος / etc / shorewall / conntrack ... Έλεγχος φιλτραρίσματος MAC - Φάση 2 ... Εφαρμογή πολιτικών ... Έλεγχος / usr / share / shorewall / action.Drop για αλυσίδα Drop ... Έλεγχος /usr/share/shorewall/action.Broadcast για αλυσίδα Broadcast ... Shorewall διαμόρφωση επαληθεύτηκε

root @ ns: ~ # nano / etc / default / shorewall
# αποτρέψτε την εκκίνηση με προεπιλεγμένη διαμόρφωση # ορίστε το ακόλουθο μεταβλητό σε 1 για να επιτρέψετε στο Shorewall να ξεκινήσει
εκκίνηση =1
------

root @ ns: ~ # υπηρεσία θα ξεκινήσει
root @ ns: Επανεκκίνηση υπηρεσίας # #
root @ ns: ~ # κατάσταση shorewall υπηρεσίας
● shorewall.service - LSB: Ρύθμιση παραμέτρων του τείχους προστασίας κατά την εκκίνηση Πριν από 2017 λεπτά Διαδικασία: 04 ExecStop = / etc / init.d / shorewall stop (code = exited, status = 30 / SUCCESS) Διαδικασία: 16 ExecStart = / etc / init.d / shorewall start (code = exited, status = 02 / ΕΠΙΤΥΧΙΑ)

Είναι πολύ εκπαιδευτικό να διαβάζετε προσεκτικά την έξοδο της εντολής iptables -L ειδικά σχετικά με τις προεπιλεγμένες πολιτικές για INPUT, FORWARD, OUTPUT και εκείνες που απορρίπτει - απορρίπτω το τείχος προστασίας για προστασία από εξωτερικές επιθέσεις. Τουλάχιστον, πηγαίνει στο Διαδίκτυο με λίγη προστασία, σωστά; 😉

root @ ns: ~ # iptables -L

NSD

root @ ns: ~ # aptitude show nsd
Πακέτο: nsd Νέο: ναι Κατάσταση: εγκατεστημένο Εγκαθίσταται αυτόματα: όχι
Έκδοση: 4.1.0-3

root @ ns: ~ # aptitude εγκατάσταση nsd
root @ ns: ~ # ls / usr / share / doc / nsd /
contrib changelog.Debian.gz NSD-DIFFFILE REQUIREMENTS.gz παραδείγματα changelog.gz NSD-FOR-BIND-USERS.gz TODO.gz διαφορές πνευματικών δικαιωμάτων.

root @ ns: ~ # nano /etc/nsd/nsd.conf
# Αρχείο διαμόρφωσης NSD για το Debian. # Δείτε την αρχική σελίδα nsd.conf (5).
# Δείτε το /usr/share/doc/nsd/examples/nsd.conf για σχόλια
# αρχείο config αναφοράς.
# Η ακόλουθη γραμμή περιλαμβάνει πρόσθετα αρχεία διαμόρφωσης από τον κατάλογο # /etc/nsd/nsd.conf.d. # ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Το στυλ glob δεν λειτουργεί ακόμη ... # include: "/etc/nsd/nsd.conf.d/*.conf" διακομιστής: logfile: "/var/log/nsd.log" ip-address : 172.16.10.30 # ακρόαση στις συνδέσεις IPv4 do-ip4: ναι # ακρόαση στις συνδέσεις IPv6 do-ip6: όχι # θύρα για να απαντηθούν ερωτήματα. η προεπιλογή είναι 53. θύρα: 53 όνομα χρήστη: nsd # Σε ζώνες, η επιλογή παροχής-xfr είναι για # axfr check zone: name: fan zonefile: /etc/nsd/fan.zone zone: name: desdelinux.ανεμιστήρας
    zonefile: /etc/nsd/desdelinux.fan.zone provide-xfr: 172.16.10.250 ζώνη NOKEY: όνομα: 10.16.172.in-addr.harp
    zonefile: /etc/nsd/10.16.172.arpa.zone παρέχουν-xfr: 172.16.10.250 NOKEY ζώνη: όνομα: swl.fan zonefile: /etc/nsd/swl.fan.zone ζώνη: όνομα: debian.fan /etc/nsd/debian.fan.zone zone: name: centos.fan zonefile: /etc/nsd/centos.fan.zone zone: name: freebsd.fan zonefile: /etc/nsd/freebsd.fan.zone


root @ ns: ~ # nsd-checkconf /etc/nsd/nsd.conf
root @ ns: ~ #

Δημιουργούμε αρχεία Zones

Η Ζώνη Ρίζας «ανεμιστήρας.»Η παρακάτω ρύθμιση είναι ΓΙΑ ΔΟΚΙΜΗ ΜΟΝΟ και δεν πρέπει να ληφθεί ως παράδειγμα. Δεν είμαστε διαχειριστές διακομιστών ονομάτων ακινήτων. 😉

root @ ns: ~ # nano /etc/nsd/fan.zone
$ ORIGIN ανεμιστήρας. $ TTL 3H @ IN SOA ns.fan. root.fan. (1; σειριακό 1D, ανανέωση 1Η, επανάληψη 1W, λήξη 3Η); ελάχιστο ή Αρνητικός χρόνος προσωρινής αποθήκευσης για να ζήσετε. @ ΣΕ NS ns.fan. @ ΣΕ 172.16.10.30; ns ΣΕ Α 172.16.10.30

root@ns:~# nano /etc/nsd/desdelinux.ανεμιστήρας.ζώνη
$ORIGIN desdelinux.ανεμιστήρας. $TTL 3H @ IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. (1; σειριακό 1D; ανανέωση 1H; επανάληψη 1W; λήξη 3H); ελάχιστο ή ? Αρνητικός χρόνος αποθήκευσης στην κρυφή μνήμη. @ ΣΕ NS ns.desdelinux.ανεμιστήρας. @ IN MX 10 email.desdelinux.ανεμιστήρας. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Εγγραφείτε για επίλυση ερωτημάτων dig desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.ανεμιστήρας. chat IN CNAME   desdelinux.ανεμιστήρας. www ΣΕ CNAME   desdelinux.ανεμιστήρας. ; ; Εγγραφές SRV που σχετίζονται με το XMPP
_xmpp-server._tcp ΣΤΟ SRV 0 0 5269 desdelinux.ανεμιστήρας.
_xmpp-client._tcp ΣΕ SRV 0 0 5222 desdelinux.ανεμιστήρας.
_jabber._tcp ΣΕ SRV 0 0 5269 desdelinux.ανεμιστήρας.

root @ ns: ~ # nano /etc/nsd/10.16.172.arpa.zone
ORIGIN $ 10.16.172.in-addr.arpa.
$TTL 3H @ IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. (1; σειριακό 1D; ανανέωση 1H; επανάληψη 1W; λήξη 3H); ελάχιστο ή ? Αρνητικός χρόνος αποθήκευσης στην κρυφή μνήμη. @ ΣΕ NS ns.desdelinux.ανεμιστήρας. ; 30 IN PTR αρ.desdelinux.ανεμιστήρας. 10 ΣΕ PTR     desdelinux.ανεμιστήρας.

root@ns:~# nsd-checkzone desdelinux.fan /etc/nsd/desdelinux.ανεμιστήρας.ζώνη
ζώνη desdelinuxΟ ανεμιστήρας είναι εντάξει
root @ ns: ~ # nsd-checkzone 10.16.172.in-addr.arpa /etc/nsd/10.16.172.arpa.zone
Η ζώνη 10.16.172.in-addr.arpa είναι εντάξει # Στο Debian, το NSD τερματίζει την εγκατάσταση ενεργοποιημένη από προεπιλογή
root @ ns: ~ # systemctl επανεκκίνηση nsd
root @ ns: ~ # systemctl κατάσταση nsd
● nsd.service - Όνομα διακομιστή Daemon Φορτώθηκε: φορτώθηκε (/lib/systemd/system/nsd.service; enabled) Ενεργό: ενεργό (τρέχει) από τον Κυρ 2017-04-30 09:42:19 EDT; Πριν από 21 λεπτά Κύριο PID: 1230 (nsd) Ομάδα: /system.slice/nsd.service /1230 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf ├─1235 / usr / sbin / nsd - d -c /etc/nsd/nsd.conf └─1249 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf

Έλεγχοι από τον ίδιο τον διακομιστή ns.fan

root@ns:~# κεντρικός υπολογιστής desdelinux.ανεμιστήρας
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

root@ns:~#hostmail.desdelinux.ανεμιστήρας
ταχυδρομείο.desdelinux.fan είναι ένα ψευδώνυμο για desdelinux.ανεμιστήρας.
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

root@ns:~#hostchat.desdelinux.ανεμιστήρας
κουβέντα.desdelinux.fan είναι ένα ψευδώνυμο για desdelinux.ανεμιστήρας.
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

root@ns:~#host www.desdelinux.ανεμιστήρας
www.desdelinux.fan είναι ένα ψευδώνυμο για desdelinux.ανεμιστήρας.
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

root@ns:~# host ns.desdelinux.ανεμιστήρας
ns.desdelinuxΤο .fan έχει διεύθυνση 172.16.10.30

root @ ns: ~ # κεντρικός υπολογιστής 172.16.10.30
30.10.16.172.in-addr.arpa δείκτης ονόματος τομέα ns.desdelinux.ανεμιστήρας.

root @ ns: ~ # κεντρικός υπολογιστής 172.16.10.10
Δείκτης ονόματος τομέα 10.10.16.172.in-addr.arpa desdelinux.ανεμιστήρας.

root @ ns: ~ # host ns.fan
Το ns.fan έχει διεύθυνση 172.16.10.30

Έλεγχοι ανάλυσης ονόματος από το Διαδίκτυο

  • Τα λεπτομερή ερωτήματα DNS δεν είναι ποτέ πάρα πολλά, διότι η σωστή λειτουργία του Resolution Name Domain θα εξαρτηθεί σε μεγάλο βαθμό από τη σωστή λειτουργία του δικτύου.

Για την εκτέλεση ερωτημάτων DNS που συνδέθηκα με το διακόπτη μου - αλλαγή δοκιμή, ένα φορητό υπολογιστή με IP 172.16.10.250 και πύλη 172.16.10.1, Διεύθυνση IP που αντιστοιχεί στο σταθμό εργασίας μου sysadmin.desdelinux.ανεμιστήρας όπως είναι γνωστό από προηγούμενα άρθρα.

sandra @ laptop: ~ $ sudo ip addr show
1: τι: mtu 16436 qdisc noqueue state Άγνωστο σύνδεσμο / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 εύρος κεντρικού υπολογιστή lo inet6 :: 1/128 εύρος κεντρικού υπολογιστή valid_lft πάντα προτιμώμενο_lft για πάντα 2: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link / ether 00: 17: 42: 8e: 85: 54 brd ff: ff: ff: ff: ff: ff inet 172.16.10.250/24 brd 172.16.10.255 παγκόσμιο πεδίο eth0 inet6 fe80: : 217: 42ff: fe8e: 8554/64 εύρος συνδέσμου valid_lft πάντα προτιμώμενο_lft για πάντα 3: wlan0: mtu 1500 qdisc noop state DOWN qlen 1000 link / ether 00: 1d: e0: 88: 09: d5 brd ff: ff: ff: ff: ff: ff 4: pan0: mtu 1500 qdisc noop state ΚΑΤΩ σύνδεσμος / αιθέρας de: 0b: 67: 52: 69: ad brd ff: ff: ff: ff: ff: ff


sandra @ laptop: ~ $ sudo route -n
Πίνακας δρομολόγησης IP πυρήνα Προορισμός Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 172.16.10.1 0.0.0.0 UG 0 0 0 eth0 172.16.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

sandra @ φορητό υπολογιστή: ~ $ cat /etc/resolv.conf
172.16.10.30 nameserver

sandra@laptop:~$host desdelinux.ανεμιστήρας
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

sandra @ φορητό υπολογιστή:~$hostmail.desdelinux.ανεμιστήρας
ταχυδρομείο.desdelinux.fan είναι ένα ψευδώνυμο για desdelinux.ανεμιστήρας.
desdelinuxΤο .fan έχει διεύθυνση 172.16.10.10
desdelinuxΗ αλληλογραφία .fan διαχειρίζεται 10 αλληλογραφία.desdelinux.ανεμιστήρας.

sandra @ φορητό υπολογιστή:~$ host ns.desdelinux.ανεμιστήρας
ns.desdelinuxΤο .fan έχει διεύθυνση 172.16.10.30

sandra @ laptop: ~ $ host 172.16.10.30
30.10.16.172.in-addr.arpa δείκτης ονόματος τομέα ns.desdelinux.ανεμιστήρας.

sandra @ φορητό υπολογιστή: ~ $ host 172.16.10.10
Δείκτης ονόματος τομέα 10.10.16.172.in-addr.arpa desdelinux.ανεμιστήρας.

sandra@laptop:~$ host -t SRV _xmpp-server._tcp.desdelinux.ανεμιστήρας
_xmpp-server._tcp.desdelinuxΤο .fan έχει εγγραφή SRV 0 0 5269 desdelinux.ανεμιστήρας.

sandra @ φορητό υπολογιστή:~$ host -t SRV _xmpp-client._tcp.desdelinux.ανεμιστήρας
_xmpp-client._tcp.desdelinuxΤο .fan έχει εγγραφή SRV 0 0 5222 desdelinux.ανεμιστήρας.

sandra @ φορητό υπολογιστή:~$ host -t SRV _jabber._tcp.desdelinux.ανεμιστήρας
_jabber._tcp.desdelinuxΤο .fan έχει εγγραφή SRV 0 0 5269 desdelinux.ανεμιστήρας.

sandra @ laptop: ~ $ host - ένας ανεμιστήρας.
Δοκιμάστε το "fan" ;; - >> HEADER << - opcode: QUERY, κατάσταση: NOERROR, id: 57542 ;; σημαίες: qr aa rd; ΕΡΩΤΗΣΗ: 1, ΑΠΑΝΤΗΣΗ: 3, ΑΡΧΗ: 0, ΠΡΟΣΘΕΤΑ: 1 ;; ΕΡΩΤΗΣΗ ΤΜΗΜΑ:; ανεμιστήρας. ΣΕ ΚΑΘΕ ;; ΤΜΗΜΑ ΑΠΑΝΤΗΣΗΣ: ανεμιστήρας. 10800 IN SOA ns.fan. root.fan. 1 86400 3600 604800 10800 ανεμιστήρας. 10800 ΣΤΟ NS. ανεμιστήρας. 10800 ΣΕ 172.16.10.30; ΠΡΟΣΘΕΤΟ ΤΜΗΜΑ: ns.fan. 10800 IN A 172.16.10.30 Ελήφθη 111 bytes από 172.16.10.30 # 53 σε 0 ms
  • Ορίσαμε σκόπιμα τη διεύθυνση 172.16.10.250  Στον φορητό υπολογιστή, για να ελέγξετε τα πάντα μέσω ενός ερωτήματος DNS AXFR, δεδομένου ότι οι ζώνες είχαν διαμορφωθεί έτσι ώστε να επιτρέπουν - χωρίς κωδικό πρόσβασης - αυτόν τον τύπο ερωτήματος από αυτήν την IP.
sandra@laptop:~$ dig desdelinux.ανεμιστήρας axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> desdelinux.ανεμιστήρας axfr ;; καθολικές επιλογές: +cmd
desdelinux.ανεμιστήρας. 10800 IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. 1 86400 3600 604800 10800
desdelinux.ανεμιστήρας. 10800 ΣΕ NS αρ.desdelinux.ανεμιστήρας.
desdelinux.ανεμιστήρας. 10800 IN MX 10 email.desdelinux.ανεμιστήρας.
desdelinux.ανεμιστήρας. 10800 ΣΕ TXT "v=spf1 a:mail.desdelinux.ανεμιστήρας -όλα"
desdelinux.ανεμιστήρας. 10800 ΣΕ Α 172.16.10.10 _jabber._tcp.desdelinux.ανεμιστήρας. 10800 IN SRV 0 0 5269 desdelinux.ανεμιστήρας. _xmpp-client._tcp.desdelinux.ανεμιστήρας. 10800 IN SRV 0 0 5222 desdelinux.ανεμιστήρας. _xmpp-server._tcp.desdelinux.ανεμιστήρας. 10800 IN SRV 0 0 5269 desdelinux.ανεμιστήρας. κουβέντα.desdelinux.ανεμιστήρας. 10800 ΣΕ CNAME   desdelinux.ανεμιστήρας. ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ.desdelinux.ανεμιστήρας. 10800 ΣΕ CNAME   desdelinux.ανεμιστήρας. ns.desdelinux.ανεμιστήρας. 10800 ΣΕ Α 172.16.10.30 www.desdelinux.ανεμιστήρας. 10800 ΣΕ CNAME   desdelinux.ανεμιστήρας.
desdelinux.ανεμιστήρας. 10800 IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. 1 86400 3600 604800 10800 ;; Χρόνος ερωτήματος: 0 msec ;; SERVER: 172.16.10.30#53(172.16.10.30) ;; ΠΟΤΕ: Κυρ 30 Απρ 10:37:10 EDT 2017 ;; Μέγεθος XFR: 13 εγγραφές (μηνύματα 1, byte 428)

sandra @ laptop: ~ $ dig 10.16.172.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> 10.16.172.in-addr.arpa axfr ;; καθολικές επιλογές: +cmd 10.16.172.in-addr.arpa. 10800 IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. 1 86400 3600 604800 10800 10.16.172.in-addr.arpa. 10800 ΣΕ NS αρ.desdelinux.ανεμιστήρας. 10.10.16.172.in-addr.arpa. 10800 ΣΕ PTR desdelinux.ανεμιστήρας. 30.10.16.172.in-addr.arpa. 10800 IN PTR αρ.desdelinux.ανεμιστήρας. 10.16.172.in-addr.arpa. 10800 IN SOA αρ.desdelinux.ανεμιστήρας. ρίζα.desdelinux.ανεμιστήρας. 1 86400 3600 604800 10800 ;; Χρόνος ερωτήματος: 0 msec ;; SERVER: 172.16.10.30#53(172.16.10.30) ;; ΠΟΤΕ: Κυρ 30 Απρ 10:37:27 EDT 2017 ;; Μέγεθος XFR: 5 εγγραφές (μηνύματα 1, byte 193)

sandra @ φορητό υπολογιστή:~$ ping ns.desdelinux.ανεμιστήρας
PING αρ.desdelinux.fan (172.16.10.30) 56(84) byte δεδομένων.

Τα απαραίτητα ερωτήματα DNS απαντήθηκαν σωστά. Ελέγουμε επίσης ότι το Shorewall λειτουργεί σωστά και ότι δεν το δέχεται ping σε από υπολογιστές συνδεδεμένους στο Διαδίκτυο.

περίληψη

  • Είδαμε πώς να εγκαταστήσουμε και να διαμορφώσουμε - με τις βασικές και τις ελάχιστες επιλογές - έναν Εξουσιοδοτημένο διακομιστή DNS που βασίζεται στο NSD. Επαληθεύουμε ότι η σύνταξη των αρχείων ζώνης είναι πολύ παρόμοια με αυτήν του BIND. Στο Διαδίκτυο υπάρχει πολύ καλή και πλήρης βιβλιογραφία για το NSD.
  • Επιτύχαμε τον στόχο της εμφάνισης της δήλωσης εγγραφών SRV που σχετίζονται με το XMPP.
  • Βοηθάμε στην εγκατάσταση και την ελάχιστη διαμόρφωση ενός τείχους προστασίας που βασίζεται σε Shorewall.

Επόμενη παράδοση

Prosody IM και τοπικοί χρήστες.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   fracialarevalo dijo
    πριν 7 χρόνια

    Καλημέρα φίλοι της κοινότητας linux πολύ καλό σεμινάριο Προσπάθησα να εγκαταστήσω το dns, αλλά ισχυρίζεται ότι αυτή η εντολή δεν βρέθηκε εάν υπάρχει άλλη εναλλακτική λύση για να ευχαριστήσω για τις πληροφορίες

    Απάντηση στο fracielarevalo
  2.   Alberto dijo
    πριν 7 χρόνια

    Ερώτηση?…. Δεν πρόκειται να χρησιμοποιήσετε το SAMBA ως ελεγκτή τομέα για δίκτυα ΜΜΕ;

    Απάντηση στον Alberto
  3.   Federico dijo
    πριν 7 χρόνια

    fracielarevalo: Σημειώστε ότι το άρθρο βασίζεται στην εγκατάσταση του NSD στο λειτουργικό σύστημα Debian "Jessie" και όχι στο CentOS.

    Alberto: Πρέπει να πάτε από το απλό στο συγκρότημα. Αργότερα θα δούμε το Samba 4 ως AD-DC, δηλαδή Active Directory - Domain Controler. Υπομονή. Σας συνιστώ να διαβάσετε το προηγούμενο άρθρο, ειδικά την παράγραφο που λέει: Ο μηχανισμός ελέγχου ταυτότητας κατά τη γέννηση του ARPANET, του Διαδικτύου και άλλων πρώιμων δικτύων ευρείας περιοχής ή τοπικών δικτύων βασίστηκε σε LDAP, υπηρεσία καταλόγου ή Microsoft LSASS, ή Active Directory ή Kerberos; αναφέρουν μερικά.

    Να θυμάστε ότι όλα τα άρθρα σχετίζονται και ότι είναι μια σειρά. Δεν νομίζω ότι είναι καθόλου χρήσιμο να ξεκινήσετε το αντίστροφο, δηλαδή, από έναν κατάλογο Active Directory και να επιστρέψετε στο PAM. Όπως θα δείτε, πολλοί τύποι ελέγχου ταυτότητας καταλήγουν σε PAM στην επιφάνεια εργασίας Linux. Απλές λύσεις όπως αυτή που καλύπτουμε με το PAM αξίζουν να γραφτούν. Εάν γίνει κατανοητός ο σκοπός, θα πρέπει να διαβαστούν και να μελετηθούν.

    Χαιρετίσματα και ευχαριστώ και τα δύο για σχόλια.

    Απάντηση στο federico
  4.   IWO dijo
    πριν 7 χρόνια

    Ένα άλλο υπέροχο άρθρο του συγγραφέα, ως συνήθως υπάρχει πάντα κάτι νέο και εξαιρετικά χρήσιμο για όσους από εμάς θεωρούμε τους εαυτούς μας ως "sysadmins".
    Εδώ είναι οι σημειώσεις μου:
    1- Χρήση του NSD αντί του BIND ως διακομιστή DNS.
    2- Εισαγάγετε στο αρχείο ζώνης DNS τις εγγραφές SRV που σχετίζονται με την υπηρεσία άμεσων μηνυμάτων συμβατές με το XMPP.
    3- Χρήση του τείχους προστασίας Shorewall με διασύνδεση δικτύου.
    Αυτή η ανάρτηση χρησιμεύει ως "βάση" για μένα (όπως έχει δηλώσει μετριοπαθώς και είναι η φιλοδοξία του συγγραφέα σε ολόκληρη τη σειρά ΜΜΕ) εάν στο μέλλον βλέπω την ανάγκη να εφαρμοστεί μια παρόμοια λύση.

    Απάντηση στο IWO
  5.   lagarto dijo
    πριν 7 χρόνια

    Η ομάδα ενθουσιωδών μάς βοηθά και πάλι να αυξήσουμε τις γνώσεις μας στον τομέα των δικτύων για τις ΜΜΕ. Σας ευχαριστώ πολύ για μια τόσο καλή συνεισφορά, η κοινότητα, εγώ και εγώ νομίζω ότι ένας καλός αριθμός sysadmin σας ευχαριστώ για μια τόσο ανεκτίμητη συνεισφορά ... Στο παρελθόν είχα κάποια άλλη σχέση με το shorewall, αλλά βρήκα μια πρακτική υπόθεση με τον τρόπο που κάνατε είναι αρκετά δύσκολη, αυτή η σειρά δικτύων για τις ΜΜΕ είναι πρωτοπόρος στην τεκμηρίωση σε διάφορους τομείς που πρέπει να χειριστεί ένας sysadmin, κατανοώντας ότι το μεγαλύτερο μέρος της τεκμηρίωσης σε αυτό το θέμα είναι στην παγκόσμια γλώσσα των αγγλικών. ..

    Μην σταματήσετε, συγχαρητήρια και προχωράμε !!!

    Απαντήστε στη σαύρα
  6.   Federico dijo
    πριν 7 χρόνια

    Lagarto: Σας ευχαριστώ πολύ για το σχόλιό σας και για την ευγνωμοσύνη. Προσπαθώ να δώσω στη σειρά την ελάχιστη βάση που χρειάζεται ένα Sysadmin. Φυσικά, η αυτο-μελέτη και το προσωπικό ενδιαφέρον του καθενός για κάθε ένα από τα θέματα που συζητήθηκαν θα εξαρτηθούν σε ένα βαθμό.

    Συνεχίζουμε προς τα εμπρός !!!

    Απάντηση στο federico
  7.   GhostXxX dijo
    πριν 7 χρόνια

    Γεια σας στην κοινότητα linx;). Είμαι νέος στο OS.opte po αφήνει παράθυρα στο παρελθόν και είμαι πρόθυμος να μάθω όσο μπορώ ... κάθε καλό άρθρο .. χαιρετισμούς

    Απάντηση στο GhostXxX
  8.   Federico dijo
    πριν 7 χρόνια

    Ευχαριστώ Ghost για συμμετοχή στην Κοινότητα και για σχολιασμό

    Απάντηση στο federico