Εκείνοι που ακολούθησαν το 1ος, 2da, 3ος y 4ta μέρος αυτού του άρθρου και οι διαβουλεύσεις που έγιναν στο BIND τους επέστρεψαν ικανοποιητικά αποτελέσματα, είναι ήδη ειδικοί στο θέμα. :-) Και χωρίς άλλη παραλλαγή ας πάμε στο τελευταίο μέρος:
- Δημιουργία του αρχείου της κύριας ζώνης του τύπου "Αντίστροφη" 10.168.192.in-addr.arpa
- Αντιμετώπιση προβλημάτων
- περίληψη
Δημιουργία του αρχείου της κύριας ζώνης του τύπου "Αντίστροφη" 10.168.192.in-addr.arpa
Το όνομα της περιοχής σας φέρνει σε εμάς, έτσι; Και είναι ότι οι Αντίστροφες Ζώνες είναι υποχρεωτικές να έχουν σωστή ανάλυση ονόματος σύμφωνα με τα πρότυπα του Διαδικτύου. Δεν έχουμε άλλη επιλογή από το να δημιουργήσουμε αυτό που αντιστοιχεί στον τομέα μας. Για αυτό χρησιμοποιούμε ως πρότυπο το αρχείο /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Επεξεργαζόμαστε το αρχείο /var/cache/bind/192.168.10.rev και το αφήνουμε έτσι:
; /var/cache/bind/192.168.10.rev; ; BIND αντίστροφο αρχείο δεδομένων για την κύρια ζώνη 10.168.192.in-addr.arpa; Αρχεία δεδομένων BIND για την κύρια ζώνη (αντίστροφη) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Σειριακό 604800; Ανανέωση 86400; Επανάληψη 2419200; Λήξη 604800); Αρνητική προσωρινή μνήμη TTL; @ ΣΕ NS ns. 10 IN PTR ns.amigos.cu. 1 ΣΕ PTR gandalf.amigos.cu. 9 IN PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; μπορούμε επίσης να γράψουμε την πλήρη διεύθυνση IP. Πρώην:; 192.168.10.1 ΣΤΟ PTR gandalf.amigos.cu.
- Παρατηρήστε πώς σε αυτήν την περίπτωση αφήσαμε τους χρόνους σε δευτερόλεπτα καθώς δημιουργείται από προεπιλογή όταν το δέσιμο9. Λειτουργεί το ίδιο. Είναι οι ίδιοι χρόνοι με αυτούς που αναφέρονται στο αρχείο friends.cu.host. Σε περίπτωση αμφιβολίας, ελέγξτε.
- Σημειώστε επίσης ότι δηλώνουμε μόνο τις αντίστροφες εγγραφές των κεντρικών υπολογιστών που έχουν αντιστοιχισμένη ή "πραγματική" IP στο LAN μας και ότι την αναγνωρίζει μοναδικά.
- Θυμηθείτε να ενημερώσετε το αρχείο Reverse Zone με ΟΛΕΣ τις σωστές διευθύνσεις IP που δηλώνονται στο Direct Zone.
- Θυμηθείτε να αυξήσετε το Σειριακός αριθμός ζώνης κάθε φορά που τροποποιούν το αρχείο και πριν επανεκκινήσουν το BIND.
Ας δούμε τη νεοσυσταθείσα ζώνη:
με όνομα-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Ελέγχουμε τη διαμόρφωση:
όνομα-checkconf -z όνομα-checkconf -p
Εάν όλα πήγαν καλά, θα επανεκκινήσουμε την υπηρεσία:
επανεκκίνηση της υπηρεσίας bind9
Από τώρα και στο εξής, κάθε φορά που τροποποιούμε τα αρχεία ζώνης, πρέπει απλώς να εκτελούμε:
επαναφόρτωση rndc
Γι 'αυτό δηλώνουμε το κλειδί στο /etc/bind/named.conf.options, όχι?
Αντιμετώπιση προβλημάτων
Πολύ σημαντικό είναι το σωστό περιεχόμενο του αρχείου / Etc / resolv.conf όπως είδαμε στο προηγούμενο κεφάλαιο. Θυμηθείτε να αναφέρετε σε αυτό τουλάχιστον τα εξής:
αναζήτηση φίλων.cu nameserver 192.168.10.20
Εντολή σκάβω του πακέτου dnsutil. Σε μια κονσόλα, πληκτρολογήστε τις εντολές που προηγούνται του #:
# dig -x 127.0.0.1 ..... ;; ΤΜΗΜΑ ΑΠΑΝΤΗΣΗΣ: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; ΑΠΑΝΤΗΣΗ ΤΜΗΜΑ: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu έχει διεύθυνση 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu έχει διεύθυνση 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; καθολικές επιλογές: + cmd ;; Λήξη χρονικού ορίου σύνδεσης; δεν ήταν δυνατή η πρόσβαση σε διακομιστές # dig gandalf.amigos.cu .... ;; ΤΜΗΜΑ ΑΠΑΝΤΗΣΗΣ: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Εάν έχουν πρόσβαση στο Κουβανικό ή στο Παγκόσμιο Διαδίκτυο, και οι Διαμεσολαβητές δηλώνονται σωστά δοκιμάστε: # dig debian.org .... ;; ΤΜΗΜΑ ΕΡΩΤΗΣΗΣ:; debian.org. ΣΕ ΕΝΑ ;; ΤΜΗΜΑ ΑΠΑΝΤΗΣΗΣ: debian.org 3600 ΣΕ 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu έχει διεύθυνση 190.6.81.130 # host yahoo.es yahoo.es έχει διεύθυνση 77.238.178.122 Το yahoo.es έχει διεύθυνση 87.248.120.148 yahoo.es αλληλογραφία χειρίζεται από 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; ΑΠΑΝΤΗΣΗ ΤΜΗΜΑ: 122.178.238.77.in-addr.arpa. 429 ΣΕ PTR w2.rc.vip.ird.yahoo.com.
… Και γενικά με άλλους τομείς εκτός του LAN μας. Συμβουλευτείτε και μάθετε για ενδιαφέροντα πράγματα στο Διαδίκτυο.
Ένας από τους καλύτερους τρόπους για να ελέγξετε την απόδοση ενός διακομιστή δέσιμο9, και γενικά για οποιαδήποτε άλλη εγκατεστημένη υπηρεσία, διαβάζει την έξοδο του Μηνύματα καταγραφής συστήματος χρησιμοποιώντας την εντολή ουρά -f / var / log / syslog τρέχει ως χρήστηςρίζα.
Είναι πολύ ενδιαφέρον να δούμε την έξοδο αυτής της εντολής όταν θέτουμε στον τοπικό BIND μια ερώτηση σχετικά με έναν εξωτερικό τομέα ή κεντρικό υπολογιστή. Σε αυτήν την περίπτωση, μπορούν να παρουσιαστούν διάφορα σενάρια:
- Εάν δεν έχουμε πρόσβαση στο Διαδίκτυο, το ερώτημά μας θα αποτύχει.
- Εάν έχουμε πρόσβαση στο Διαδίκτυο και ΔΕΝ έχουμε δηλώσει Forwarders, πιθανότατα δεν θα λάβουμε απάντηση.
- Εάν έχουμε πρόσβαση στο Διαδίκτυο και έχουμε δηλώσει τους Διαμεταφορείς, θα λάβουμε μια απάντηση, δεδομένου ότι θα είναι υπεύθυνοι για τη συμβουλευτική του διακομιστή DNS ή των διακομιστών που είναι απαραίτητοι.
Εάν εργαζόμαστε σε ένα LAN κλειστό στο οποίο είναι αδύνατο με οποιονδήποτε τρόπο να πάμε στο εξωτερικό και δεν έχουμε οποιουσδήποτε διαμεταφορείς, μπορούμε να εξαλείψουμε τα μηνύματα αναζήτησης του Διακομιστές ρίζας "Αδειάζοντας" το αρχείο /etc/bind/db.root. Για να γίνει αυτό, πρώτα αποθηκεύουμε το αρχείο με άλλο όνομα και μετά διαγράφουμε όλο το περιεχόμενό του. Στη συνέχεια, ελέγχουμε τη διαμόρφωση και επανεκκινήστε την υπηρεσία:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root bernama-checkconf -z bernama-checkconf -p υπηρεσία bind9 επανεκκίνηση
περίληψη
Μέχρι στιγμής, φίλοι, μια μικρή εισαγωγή στην υπηρεσία DNS. Αυτό που έχουμε κάνει μέχρι τώρα μπορεί να μας εξυπηρετήσει τέλεια για τη μικρή μας επιχείρηση. Επίσης για το σπίτι εάν δημιουργήσουμε εικονικές μηχανές με διαφορετικά λειτουργικά συστήματα και διαφορετικές διευθύνσεις IP, και δεν θέλουμε να τις αναφέρουμε με IP αλλά με το όνομα. Εγκαθιστώ πάντα ένα BIND στον κεντρικό υπολογιστή μου για εγκατάσταση, ρύθμιση παραμέτρων και δοκιμή υπηρεσιών που βασίζονται σε μεγάλο βαθμό στην υπηρεσία DNS. Χρησιμοποιώ εκτενώς τους επιτραπέζιους υπολογιστές και τους εικονικούς διακομιστές και δεν μου αρέσει να διατηρώ ένα αρχείο / Etc / hosts σε κάθε ένα από τα μηχανήματα. Κάνω λάθος πάρα πολύ.
Εάν δεν έχετε εγκαταστήσει και διαμορφώσει ποτέ ένα BIND, μην αναβάλλετε εάν κάτι πάει στραβά στην πρώτη προσπάθεια και πρέπει να ξεκινήσετε ξανά από την αρχή. Συνιστούμε πάντα σε αυτές τις περιπτώσεις να ξεκινήσετε με μια καθαρή εγκατάσταση. Αξίζει μια δοκιμή!
Για όσους χρειάζονται υψηλή διαθεσιμότητα στην υπηρεσία ανάλυσης ονόματος, η οποία μπορεί να επιτευχθεί με τη διαμόρφωση ενός δευτερεύοντος διακομιστή, προτείνουμε να συνεχίσετε μαζί μας στην επόμενη περιπέτεια: Δευτερεύον κύριο DNS για LAN.
Συγχαρητήρια σε όσους ακολούθησαν όλα τα άρθρα και έλαβαν τα αναμενόμενα αποτελέσματα!
Επιτέλους! .. η τελική ανάρτηση: D!
Ευχαριστώ που μοιραστήκατε τον φίλο μου!
Χαιρετισμούς!
Πολύ ενδιαφέρον, τα άρθρα σας, έχω δημιουργήσει ένα έγκυρο DNS σε ένα FreeBSD για έναν τομέα .edu.mx, μέχρι στιγμής λειτούργησε τέλεια για μένα, αλλά τον τελευταίο μήνα εντόπισα αρκετές επιθέσεις, προς τον διακομιστή, τι θα ήταν τις μεθόδους άμυνας σε ένα εκτεθειμένο DNS; και δεν ξέρω αν μπορεί να είναι, να έχει ο πλοίαρχος εκτεθειμένο στο Διαδίκτυο και μια δευτερεύουσα που εξυπηρετεί ένα μικρό δίκτυο περίπου 60 υπολογιστών, και οι δύο διασυνδεδεμένοι DNS ή για να είναι σε θέση ορίστε δύο ζώνες, μία εσωτερική και μία εξωτερική, χάρη στο κύριο
Το πακέτο συμπίεσης bind9 έχει πρόβλημα να δουλέψει με το samba, μια έκδοση 9.8.4 είναι ήδη διαθέσιμη στον κλάδο του backports της συμπίεσης, η έκδοση wheeze δεν έχει αυτό το πρόβλημα, για το lenny venenux.net θα υποστηρίζει το πακέτο.
Πολύ καλό άρθρο.
Αυτό είναι το μόνο άρθρο που εξηγεί τα πάντα καλά ..
Θα πρέπει να σημειωθεί ότι το acl για spofing δεν λειτουργεί αφού με τον ίδιο τρόπο θα γίνει ένεση από το εσωτερικό δίκτυο, η λύση θα ήταν να αρνηθούν τις ανακατευθύνσεις για τους πελάτες και να δημιουργήσουν ένα σύνθετο acl που εμποδίζει την επανατοποθέτηση ονομάτων (κάτι παρόμοιο με στατικό dns)
ΕΙΔΙΚΗ ΣΥΜΒΟΥΛΗ:
θα ήταν καλό μια επιπλέον ρύθμιση για το πώς να φτιάξετε το περιεχόμενο φίλτρου dns αντί για το τείχος προστασίας
Ευχαριστούμε που σχολιάσατε το @PICCORO !!!.
Δηλώνω στην αρχή όλων των άρθρων μου ότι δεν θεωρώ τον εαυτό μου ειδικό. Πολύ λιγότερο στο ζήτημα DNS. Εδώ όλοι μαθαίνουμε. Θα λάβω υπόψη τις συστάσεις σας κατά την εγκατάσταση ενός DNS που βλέπει στο Διαδίκτυο και όχι για ένα κανονικό και απλό LAN.
ΑΡΙΣΤΗ ΤΥΠΙΚΟ !!! Ήταν μεγάλη βοήθεια για μένα, καθώς μόλις ξεκίνησα σε αυτήν τη σειρά του διακομιστή, όλα λειτούργησαν εντάξει. Σας ευχαριστούμε και συνεχίστε να δημοσιεύετε τόσο υπέροχα μαθήματα !!!
Fico, για άλλη μια φορά σας συγχαίρω για αυτό το υπέροχο υλικό.
Δεν είμαι ειδικός στο BIND9, συγχώρεσέ με αν κάνω λάθος σχετικά με το σχόλιο, αλλά νομίζω ότι δεν έχετε ορίσει τη ζώνη για αντίστροφες αναζητήσεις στο αρχείο bernama.conf.local
Είναι κρίμα που ο Φίκο δεν μπορεί να σας απαντήσει αυτή τη στιγμή.
Χαιρετισμούς και Ευχαριστώ, Elav, και εδώ απαντώ. Όπως πάντα, σας προτείνω να διαβάσετε αργά ... 🙂
Στο ταχυδρομείο: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Γράφω τα εξής:
Τροποποιήσεις στο αρχείο /etc/bind/named.conf.local
Σε αυτό το αρχείο δηλώνουμε τις τοπικές ζώνες του τομέα μας. Πρέπει να συμπεριλάβουμε τουλάχιστον τις ζώνες προώθησης και αντίστροφης ζώνης. Να θυμάστε ότι στο αρχείο διαμόρφωσης /etc/bind/named.conf.options δηλώνουμε σε ποιον κατάλογο θα φιλοξενήσουμε τα αρχεία Zones χρησιμοποιώντας την οδηγία καταλόγου. Στο τέλος, το αρχείο πρέπει να έχει ως εξής:
// /etc/bind/named.conf.local
//
// Κάντε οποιαδήποτε τοπική διαμόρφωση εδώ
//
// Εξετάστε το ενδεχόμενο να προσθέσετε τις ζώνες του 1918 εδώ, εάν δεν χρησιμοποιούνται στη δική σας
// οργάνωση
// περιλαμβάνουν "/etc/bind/zones.rfc1918";
// Τα ονόματα των αρχείων σε κάθε ζώνη είναι α
// γεύση καταναλωτή. Επιλέξαμε friends.cu.hosts
// και 192.168.10.rev επειδή μας δίνουν σαφήνεια
// περιεχόμενα. Δεν υπάρχει άλλο μυστήριο 😉
//
// Τα ονόματα των ζωνών ΔΕΝ ΕΙΝΑΙ ΑΡΧΕΙΑ
// και θα αντιστοιχεί στο όνομα του τομέα μας
// και στο υποδίκτυο LAN
// Κύρια κύρια ζώνη: «Άμεσος» τύπος
ζώνη «amigos.cu» {
master master?
αρχείο "amigos.cu.hosts";
};
// Κύρια κύρια ζώνη: «Αντίστροφος» τύπος
ζώνη "10.168.192.in-addr.arpa" {
master master?
αρχείο "192.168.10.rev";
};
// Τέλος του αρχείου .conf.local
Καλή, πολύ ενδιαφέρουσα η ανάρτησή σας σχετικά με το dns, με βοήθησαν να ξεκινήσω το θέμα, σας ευχαριστώ. Διευκρινίζω ότι είμαι αρχάριος σε αυτό το θέμα. Αλλά διαβάζοντας τις δημοσιευμένες πληροφορίες σας, παρατήρησα ότι λειτουργεί με σταθερές διευθύνσεις στους κεντρικούς υπολογιστές ενός εσωτερικού δικτύου. Η ερώτησή μου είναι, πώς θα κάνατε με ένα εσωτερικό δίκτυο με δυναμικές διευθύνσεις IP, εκχωρημένες από έναν διακομιστή dhcp, για να δημιουργήσετε τα αρχεία της κύριας ζώνης κύριου τύπου "direct" και "reverse";
Θα εκτιμήσω το φως που μπορείτε να δώσετε για το θέμα που θίγεται. Ευχαριστώ. Fv
Ευχαριστούμε που σχολιάσατε, @fabian. Μπορείτε να συμβουλευτείτε τα ακόλουθα άρθρα, τα οποία ελπίζω να σας βοηθήσουν να εφαρμόσετε ένα δίκτυο με δυναμικές διευθύνσεις:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
αφορά