DNS kaj DHCP en Debian 8 "Jessie" - SMB-Retoj

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton, amikoj!. Post la antaŭa paro da artikoloj pri la Domain Name System kaj la Dynamic Host Configuration Protocol eldonita en «DNS kaj DHCP en openSUSE 13.2 'Arlekeno'"kaj"DNS kaj DHCP ĉe CentOS 7«, Ambaŭ el la serio Retoj pri SME, ni devas agordi tiujn servojn en Debian.

Ni ripetas, ke bona komencpunkto por lerni pri la teoriaj konceptoj de DNS kaj DHCP estas Vikipedio.

Instalado de la operaciumo

Ni komencos de la baza instalado de servilo kun la mastruma sistemo Debian 8 "Jessie" sen instali grafikan medion aŭ alian programon. Virtuala maŝino kun 512 megabajtoj da RAM kaj 20 gigabajta durdisko pli ol sufiĉas.

Dum la instalprocezo - prefere en tekstoreĝimo - kaj laŭ la ordo de la ekranoj, ni elektis jenajn parametrojn:

  • Lingvo: Hispana - hispana
  • Lando, teritorio aŭ areo: Usono
  • Ŝlosila mapo por uzi: Usona angla
  • Agordi la reton permane:
    • IP-adreso: 192.168.10.5
    • Retmasko: 255.255.255.0
    • Enirejo: 192.168.10.1
    • Nomoj-serviladresoj: 127.0.0.1
    • Maŝina nomo: dns
    • Domajna nomo: desdelinux.fan
  • Bonega Pasvorto de Uzanto: SuClave (tiam petu konfirmon)
  • Plena nomo por la nova uzanto: Debian Unua OS Buzz
  • Uzantnomo por la konto: zumado
  • Elektu pasvorton por la nova uzanto: SuClave (tiam petu konfirmon)
  • Elektu vian horzonon: Oriente
  • Dispartiga metodo: Gvidita - uzu la tutan diskon
    • Elektu diskon por dispartigi: Virtuala disko 1 (vda) - 21.5 GB Virto Block Device
    • Dispartiga skemo: Ĉiuj dosieroj en unu subdisko (rekomendinda por novuloj).
    • Finu dispartigon kaj skribu ŝanĝojn al disko
    • Ĉu vi volas skribi la ŝanĝojn al la diskoj?
  • Ĉu vi volas analizi alian KD aŭ DVD?:
  • Ĉu vi volas uzi kopion ded?:
  • Ĉu vi volas fari la enketon pri paka uzado?:
  • Elektu la programojn por instali:
    [] Debiana labortabla medio
    [*] Normaj sistemaj utilecoj
  • Ĉu vi volas instali la startŝargilon GRUB en la ĉefa startregistro?
    • / dev / vda
  • "Instalado finita":

Laŭ mia modesta opinio, instali Debian estas simpla. Ĝi nur bezonas respondi demandojn pri antaŭdifinitaj opcioj kaj iuj aliaj informoj. Mi eĉ kuraĝas diri, ke estas pli facile sekvi la antaŭajn paŝojn ol ekzemple per video. Kiam mi legas, mi ne perdas koncentriĝon. Alia afero estas spekti, legi, interpreti kaj doni la filmeton tien kaj reen, kiam mi perdas aŭ ne bone komprenas iun gravan signifon. Manskribita folio aŭ simpla teksta dosiero kopiita al la poŝtelefono, servos kiel efika gvidilo perfekte.

Komencaj agordoj

Fininte la bazan instaladon kaj la unuan restarton, ni plu deklaras la Programajn Deponejojn.

Redaktante la dosieron fontoj.list, ni komentas ĉiujn ekzistantajn enirojn defaŭlte ĉar ni funkcios nur kun lokaj deponejoj. La fina enhavo de la dosiero -ekkluzive de la komentitaj linioj- estus:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie main contrib deb http://192.168.10.1/repos/jessie/debian-security/ jessie / updates main contrib

Ni ĝisdatigas la sistemon

root @ dns: ~ # aptitude ĝisdatigo
root @ dns: ~ # aptitude upgrade
root @ dns: ~ # reboot

Ni instalas SSH por aliri malproksime

root @ dns: ~ # aptitude instali ssh

Permesi al la uzanto komenci malproksiman sesion per SSH radikon -de la Enterprise LAN nur- ni modifas ĝian agordan dosieron:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin jes ....

root @ dns: ~ # systemctl restart ssh.service
root @ dns: ~ # systemctl status ssh.service

Ni komencas malproksiman sesion per SSH en «dns» de la maŝino «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... pasvorto de root@192.168.10.5: ... root @ dns: ~ #

Ĉefaj agordaj dosieroj

La ĉefaj dosieroj de la sistema agordo estos laŭ niaj elektoj dum la instalado:

root @ dns: ~ # cat / ktp / hosts
127.0.0.1 localhost 192.168.10.5 dns.desdelinux.fan dns # La jenaj linioj estas dezirindaj por IPv6-kapablaj gastigantoj :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
serĉu de linux.fan nomservilo 127.0.0.1

root @ dns: ~ # gastiganta nomo
dns

root @ dns: ~ # hostname -f
dns.fromlinux.fan

root @ dns: ~ # cat / etc / network / interfaces
# Ĉi tiu dosiero priskribas la retajn interfacojn haveblajn en via sistemo # kaj kiel aktivigi ilin. Por pliaj informoj, vidu interfacojn (5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # La ĉefa retinterfaco allow-hotplug eth0 iface eth0 inet statika adreso 192.168.10.5 retmasko 255.255.255.0 reto 192.168.10.0 elsendo 192.168.10.255. 192.168.10.1-enirejo 127.0.0.1 # dns- * -opcioj estas efektivigitaj per la pako resolvconf, se instalitaj dns-nameservers XNUMX dns-search de linux.fan

Ni instalas super-spertajn pakojn

root @ dns: ~ # aptitude install htop mc deborphan

Purigado de elŝutitaj pakoj, se entute

root @ dns: ~ # aptitude install -f root @ dns: ~ # aptitude purge ~ c root @ dns: ~ # aptitude clean root @ dns: ~ # aptitude autoclean

Ni instalas la BIND9

  • ANTA installing instali la BIND ni tre rekomendas vizitu la paĝon DNS-rekordaj specoj en Vikipedio, kaj en siaj hispanaj kaj anglaj versioj. Ĉi tiuj tipoj de registroj estas tiuj, kiujn ni uzos en la agordo de la dosieroj Zones, kaj Rekta kaj Inversa. Estas tre eduke scii, pri kio ni traktas.
  • Ankaŭ ni sugestas legu la jenon Peto pri Komentoj RFC - Petoj por Komentoj, kiuj estas proksime rilataj al sana funkciado de la DNS-servo, precipe rilate al Rekursio al Radikaj Serviloj:
    • RFC-oj 1912, 5735, 6303 kaj BCP 32: rilate al localhost
    • RFC-oj 1912, 6303: Stila zono por IPv6-loka gastiganta adreso
    • RFC-oj 1912, 5735 kaj 6303: Rilate al la Loka Reto - «Ĉi» Reto
    • RFC-oj 1918, 5735 kaj 6303: Privataj Uzaj Retoj
    • RFC 6598: Komuna Adresspaco
    • RFC-oj 3927, 5735 kaj 6303: Ligo-loka / APIPA
    • RFC 5735 kaj 5736: Protokolaj taskoj de Interreta Inĝenieria Specialtrupo
    • RFC-oj 5735, 5737 kaj 6303: TEST-NET- [1-3] por Dokumentado
    • RFC-oj 3849 kaj 6303: IPv6-Ekzemplaro por Dokumentado
    • BCP 32: Domajnaj Nomoj por Dokumentado kaj Testado
    • RFC 2544 kaj 5735: Enkursiga Benchmark Testado
    • RFC 5735: IANA Rezervita - Malnova Klaso E-Spaco
    • RFC 4291: IPv6 Neasignitaj Adresoj
    • RFC 4193 kaj 6303: IPv6 ULA
    • RFC-oj 4291 kaj 6303: IPv6-Ligo Loka
    • RFC-oj 3879 kaj 6303: IPv6-malrekomendataj retej-lokaj adresoj
    • RFC 4159: IP6.INT estas malrekomendita

Instalado

root @ dns: ~ # aptitude search bind9
p bind9 - Interreta Domajna Servilo p bind9-doc - Dokumentado por BIND i bind9-host - Versio de 'gastiganto' kun BIND 9.X p bind9utils - Utiloj por BIND p gforge-dns-bind9 - kunlabora ilo - DNS-administrado (uzante Bind9) i A libbind9-90 - Komuna Biblioteko BIND9 uzata de BIND

Ankaŭ provu kuri taŭgeca serĉo ~ dbind9

root @ dns: ~ # aptitude install bind9

root @ dns: ~ # systemctl rekomencu bind9.service

root @ dns: ~ # systemctl status bind9.service
● bind9.service - BIND Domajna Servilo Ŝarĝita: ŝarĝita (/lib/systemd/system/bind9.service; ebligita) Enigaĵo: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   Aktiva: aktiva (kurado) ekde Fri 2017-02-03 10:33:11 EST; Antaŭ 1s Dokumentoj: man: named (8) Procezo: 1460 ExecStop = / usr / sbin / rndc stop (kodo = eliris, stato = 0 / SUKCESO) Ĉefa PID: 1465 (nomita) CGroup: /system.slice/bind9.service └─1465 / usr / sbin / named -f -u bind Feb 03 10:33:11 dns named [1465]: aŭtomata malplena zono: 8.BD0.1.0.0.2.IP6.ARPA Feb 03 10:33:11 dns named [1465]: komandkanalo aŭskultanta je 127.0.0.1 # 953 Feb 03 10:33:11 dns named [1465]: komanda kanalo aŭskultante je :: 1 # 953 Feb 03 10:33:11 dns named [1465]: administrita -keys-zone: ŝarĝita seria 2 Feb 03 10:33:11 dns nomita [1465]: zono 0.in-addr.arpa/IN: ŝarĝita seria 1 Feb 03 10:33:11 dns nomita [1465]: zono localhost / IN: ŝarĝita seria 2 Feb 03 10:33:11 dns nomita [1465]: zono 127.in-addr.arpa/IN: ŝarĝita seria 1 Feb 03 10:33:11 dns nomita [1465]: zono 255.in -addr.arpa/IN: ŝarĝita seria 1 Feb 03 10:33:11 dns nomata [1465]: ĉiuj zonoj ŝarĝita Feb 03 10:33:11 dns nomita [1465]: kuranta Konsilo: Iuj linioj estis elipsigitaj, uzu -l montri plene.

Agordaj dosieroj instalitaj de la BIND9

Iomete malsama al agordo de la DNS-servo en CentOS kaj openSUSE, en Debian la jenaj dosieroj estas kreitaj en la adresaro / etc / bind:

root @ dns: ~ # ls -l / etc / bind /
entute 52 -rw-r - r-- 1 radika radiko 2389 Jun 30 2015 bind.keys -rw-r - r-- 1 radika radiko 237 Jun 30 2015 db.0 -rw-r - r-- 1 radika radiko 271 Jun 30 2015 db.127 -rw-r - r-- 1 radika radiko 237 Jun 30 2015 db.255 -rw-r - r-- 1 radika radiko 353 Jun 30 2015 db.empty -rw- r - r-- 1 radika radiko 270 Jun 30 2015 db.local -rw-r - r-- 1 radika radiko 3048 Jun 30 2015 db.root -rw-r - r-- 1 radika ligo 463 Jun 30 2015 named.conf -rw-r - r-- 1 radika bind 490 Jun 30 2015 named.conf.default-zones -rw-r - r-- 1 radika bind 165 30 2015 Jun 1 named.conf.local -rw -r - r-- 890 radika bind 3 Feb 10 32:1 named.conf.options -rw-r ----- 77 bind bind 3 Feb 10 32:1 rndc.key -rw-r - r- - 1317 radika radiko 30 Jun 2015 1918 zones.rfcXNUMX

Ĉiuj supraj dosieroj estas en simpla teksto. Se ni volas scii la signifon kaj enhavon de ĉiu el ili, ni povas fari ĝin per la komandoj malpli o kato, kio estas bona praktiko.

Akompana dokumentaro

En la adresaro / usr / share / doc / bind9 ni havos:

root @ dns: ~ # ls -l / usr / share / doc / bind9
entute 56 -rw-r - r-- 1 radika radiko 5927 Jun 30 2015 kopirajto -rw-r - r-- 1 radika radiko 19428 30 Jun 2015 1 changelog.Debian.gz -rw-r - r-- 11790 radika radiko 27 Jan 2014 1 FAQ.gz -rw-r - r-- 396 radika radiko 30 Jun 2015 1 NOVASOJ.Debian.gz -rw-r - r-- 3362 radika radiko 30 Jun 2015 1 README.Debian. Gz -rw- r - r-- 5840 radika radiko 27 Jan 2014 XNUMX README.gz

En la antaŭa dokumentaro ni trovos Abundan Studan Materialon, kiun ni rekomendas legi ANTAE agordi la BIND, kaj eĉ ANTAFOR serĉi en la interreto artikolojn rilate al BIND kaj DNS ĝenerale.. Ni legos la enhavon de iuj el tiuj dosieroj:

FAQs o Frekompence Askedado Qdemandoj pri BIND 9

  1. Kompilaj kaj Instalaj Demandoj - Demandoj pri Kompilo kaj Instalado
  2. Demandoj pri Agordo kaj Agordo - Demandoj pri agordo kaj agordo
  3. Demandoj pri Operacioj - Demandoj pri la Operacio
  4. Eneralaj Demandoj - Ĝeneralaj enketoj
  5. Specifaj Demandoj pri Funkciiga Sistemo - Specifaj Demandoj pri ĉiu Operaciumo
    1. HPUX
    2. linux
    3. fenestroj
    4. FreeBSD
    5. Solaris
    6. Apple Mac OSX

NOVASOJ.Debian.gz

NOVASOJ.Debian resume diras al ni, ke la parametroj allow-query-cache y permesi-rekursion estas defaŭlte ebligitaj por ACL enigitaj en BIND -korpigita- 'lokaj retoj'kaj'localhost'. Ĝi ankaŭ informas nin, ke la defaŭltaj ŝanĝoj estis faritaj por fari la kaŝmemorajn servilojn malpli allogaj al atako de Dispremado de eksteraj retoj.

Por kontroli tion, kio estas skribita en la antaŭa paragrafo, se de maŝino en la reto mem 192.168.10.0 / 24 kiu estas tiu en nia ekzemplo, ni faras DNS-peton ĉe la domajno de linux.net, kaj samtempe ĉe la servilo mem dns.fromlinux.fan ni ekzekutas vosto -f / var / log / syslog ni ricevos la jenon:

buzz @ sysadmin: ~ $ dig localhost
.... ;; OPT PSEUDOSECTION :; EDNS: versio: 0, flagoj:; udp: 4096 ;; DEMANDA SEKCIO :; localhost. EN ;; RESPONDA SEKCIO: loka gastiganto. 604800 IN A 127.0.0.1 ;; Aŭtoritata Sekcio: loka gastiganto. 604800 EN NS loka gastiganto. ;; PLIA SEKCIO: loka gastiganto. 604800 EN AAAA :: 1

buzz @ sysadmin: ~ $ dig de linux.net
....
;; OPT PSEUDOSECTION :; EDNS: versio: 0, flagoj:; udp: 4096 ;; DEMANDA SEKCIO :; desdelinux.net. EN
....
root @ dns: ~ # tail -f / var / log / syslog ....
Feb 4 13:04:31 dns nomita [1602]: eraro (reto neatingebla) solvante 'desdelinux.net/A/IN': 2001: 7fd :: 1 # 53 Feb 4 13:04:31 dns nomita [1602]: eraro (reto neatingebla) solvante 'desdelinux.net/A/IN': 2001: 503: c27 :: 2: 30 # 53
....

La eligo de syslog ĝi multe pli longas pro la serĉo de la radikaj serviloj fare de BIND. Kompreneble la dosiero /etc/resolv.conf en la teamo sysadmin.fromlinux.fan montras al DNS 192.168.10.5.

El la plenumo de la antaŭaj komandoj ni povas eltiri plurajn konkludojn apriora:

  • La BIND estas agordita defaŭlte kiel funkcia kaŝmemora servilo sen bezono de postaj agordoj, kaj respondas DNS-demandojn pri la lokaj retoj kaj la localhost
  • Rekursio - rikuro estas ebligita por lokaj retoj kaj la localhost
  • Ankoraŭ ne aŭtoritatema servilo
  • Male al CentOS, kie ni devis deklari la parametron «Aŭskultu havenon 53 {127.0.0.1; 192.168.10.5; }; » eksplicite aŭskulti DNS-petojn per la retinterfaco 192.168.10.5 DNS mem, en Debian ĝi ne necesas, ĉar ĝi subtenas DNS-petojn por lokaj retoj kaj la localhost defaŭlte. Revizii la enhavon de la dosiero /etc/bind/named.conf.options kaj ili vidos, ke ne ekzistas deklaro aŭskultu.
  • Demandoj pri IPv4 kaj IPv6 estas ebligitaj

Se nur per legado kaj interpretado -stano kiel ni diras en Kubo- la arkivo NOVASOJ.Debian.gz Ni alvenis al interesaj konkludoj, kiuj permesas al ni scii iom pli pri la Defaŭlta Agorda Filozofio de Teamo Debian rilate al BIND, kiujn aliajn interesajn aspektojn ni povas scii, se ni daŭre legas la dosierojn de la Akompana Dokumentado?.

LEGUMIN.Debian.gz

LEGUMIN.Debian informas nin - inter multaj aliaj aspektoj - ke la Sekurecaj Etendaĵoj por la Domajna Sistemo - Sekurecaj Etendoj de Domajna Sistemo o DNSSEC, estas ebligitaj; kaj reasertas, ke la apriora agordo funkcias por plej multaj serviloj (foliaj serviloj - foliaj serviloj rilatante al la folioj de la domajna arbo) sen bezono de uzanto-interveno.

  • DNSSEC laŭ Vikipedio: La Sekurecaj Etendaĵoj de Domajna Sistemo (DNSSEC) estas aro de specifoj de la Interreta Inĝenieristika Specialtrupo (IETF) por sekurigi iujn specojn de informoj provizitaj de la noma sistemo domajna nomo (DNS) uzata en la Interreta Protokolo (IP). Ĝi estas aro de etendaĵoj al DNS, kiuj provizas DNS-klientojn (aŭ solvilojn) kun aŭtentikigo de la datuma fonto DNS, aŭtentikigita neado de la ekzisto kaj integreco de datumoj, sed ne havebleco aŭ konfidenco.

Pri la Agorda Skemo diras al ni, ke ĉiuj Statikaj Agordaj Dosieroj, la Zonaj Dosieroj por la Radikaj Serviloj kaj la Antaŭaj kaj Inversaj Zonoj de la localhost ili eniras / etc / bind.

La Demona Laborista Adresaro nomita es / var / cache / bind tiel ke iu ajn pasema dosiero generita de la nomita kiel ekzemple datumbazoj por kiuj ĝi funkcias kiel Sklava Servilo, estas skribitaj en la Dosiersistemo / var, kiu estas kie ili apartenas.

Male al antaŭaj versioj de la BIND-pakaĵo por Debian, la dosiero nomita.konf kaj la db. * provizitaj, ili estas etikeditaj kiel agordaj dosieroj. Tiel, ke se ni bezonas DNS-Servilon, kiu funkcias ĉefe kiel Kaŝmemora Servilo kaj kiu ne estas Aŭtoritata por iu ajn alia, ni povas uzi ĝin kiel ĝi estas instalita kaj agordita defaŭlte.

Se vi bezonas efektivigi Aŭtoritatan DNS, ili sugestas meti la dosierojn de la Majstraj Zonoj en la saman adresaron / etc / bind. Se la komplekseco de la areoj por kiuj la nomita estos Aŭtoritata postulas ĝin, estas rekomendinde krei subdosierujan strukturon, aludante la zondosierojn absolute en la dosiero nomita.konf.

Ajna Zona Dosiero por kiu la nomita funkciu kiel Sklava Servilo devas troviĝi en / var / cache / bind.

La Zonaj Dosieroj submetataj al Dinamikaj Ĝisdatigoj per DHCP aŭ la komando ndatigo, devas esti konservita en / var / lib / bind.

Se la operaciumo uzas aparmisto, la instalita profilo funkcias nur kun la defaŭltaj BIND-agordoj. Postaj ŝanĝoj en la agordo de la nomita Ili eble postulos ŝanĝojn al la aparmora profilo. Vizitis https://wiki.ubuntu.com/DebuggingApparmor antaŭ ol plenigi formularon akuzantan a cimo en tiu servo.

Estas pluraj problemoj asociitaj kun funkciigado de Debian BIND en Chroot Cage - kroot malliberejo. Vizitu http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html por pliaj informoj.

Aliaj informoj

man named, man named.conf, man named-checkconf, man named-checkzone, man rndc, kaj tiel plu

root @ dns: ~ # named -v
BIND 9.9.5-9 + deb8u1-Debian (Plilongigita Subtena Versio)

root @ dns: ~ # nomita -V
BIND 9.9.5-9 + deb8u1-Debian (Plilongigita Subtena Versio) kreita de make kun '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' --enable-threads '' --enable-largefile '\' --with-libtool '' --enable-shared '' --enable-static '\' --with-openssl = / usr '' --with-gssapi = / usr '' --with-gnu-ld '\' --with-geoip = / usr '' --with-atf = no '' --enable-ipv9 '' --enable-rrl '\' --enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'kompilita de GCC 50 uzante OpenSSL-version : OpenSSL 6k 2 Jan 4.9.2 uzante libxml1.0.1-version: 8

root @ dns: ~ # ps -e | grep nomata
  408? 00:00:00 nomata

root @ dns: ~ # ps -e | grep ligi
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
nomita.pid sesio.ŝlosilo  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-rw-r - r-- 1 bind bind 4 Feb 4 13:20 /var/run/named/named.pid

root @ dns: ~ # rndc-stato
versio: 9.9.5-9 + deb8u1-Debian CPUoj trovitaj: 9 laboristaj fadenoj: 8 UDP-aŭskultantoj per interfaco: 50 nombro da zonoj: 1 senarariga nivelo: 1 xfers funkciantaj: 1 xfers prokrastitaj: 100 soa-demandoj en progreso: 0 demandoj-registrado estas malŝaltita rekursivaj klientoj: 0/0/0 tcp klientoj: 0/0-servilo funkcias
  • La graveco konsulti la Dokumentaron instalitan kun la pakaĵo BIND9 estas nekontestebla. antaŭ iu ajn alia.

bind9-doc

root @ dns: ~ # aptitude install bind9-doc links2
root @ dns: ~ # dpkg -L bind9-doc

Pako bind9-doc instalas, inter aliaj utilaj informoj, la Referencan Manlibron de BIND 9. Por aliri la manlibron -en la angla- ni ekzekutas:

root @ dns: ~ # links2 file: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
BIND 9 Administranto Referenca Manlibro Kopirajto (c) 2004-2013 Interreta Sistemo-Konsorcio, Inc. ("ISC") Kopirajto (c) 2000-2003 Interreta Programara Konsorcio.

Ni esperas, ke vi ĝuos legi ĝin.

  • Sen foriri de hejmo, ni havas mane Abundan Oficialan Dokumentaron pri la BIND kaj pri la DNS-servo ĝenerale.

Ni agordas la BIND laŭ la Debiana stilo

/etc/bind/named.conf "la ĉefa"

root @ dns: ~ # nano /etc/bind/named.conf
// Ĉi tiu estas la ĉefa agorda dosiero por la BIND-DNS-servilo nomita.
//
// Bonvolu legi /usr/share/doc/bind9/README.Debian.gz por informoj pri la
// strukturo de agordaj dosieroj de BIND en Debian, * ANTA * * vi agordas
// ĉi tiu agorda dosiero.
//
// Se vi simple aldonas zonojn, bonvolu fari tion en /etc/bind/named.conf.local

inkluzivi "/etc/bind/named.conf.options";
inkluzivi "/etc/bind/named.conf.local";
inkluzivi "/etc/bind/named.conf.default-zones";

Ĉu la komentita rubriko postulas tradukon?

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
opcioj {dosierujo "/ var / cache / bind"; // Se estas fajroŝirmilo inter vi kaj nomserviloj, kun kiuj vi volas // paroli, vi eble devos ripari la fajromuron por permesi al pluraj // havenoj paroli. Vidu http://www.kb.cert.org/vuls/id/800113 // Se via ISP provizis unu aŭ plurajn IP-adresojn por stabilaj // nomserviloj, vi probable volas uzi ilin kiel plusendilojn. // Malkomentigu la sekvan blokon, kaj enmetu la adresojn anstataŭigante // la anstataŭilon de ĉiuj 0. // plusendantoj {// 0.0.0.0; //}; // ================================================= ===================== $ // Se BIND registras erarmesaĝojn pri la radika ŝlosilo eksvalidiĝanta, // vi devos ĝisdatigi viajn ŝlosilojn. Vidu https://www.isc.org/bind-keys // ================================== =================================== $

    // Ni ne volas DNSSEC
        dnssec-enable ne;
        //dnssec-validado aŭtomata;

        auth-nxdomain ne; # konformas al RFC1035

 // Ni ne bezonas aŭskulti IPv6-adresojn
        // aŭskultu-v6 {iu ajn; };
    aŭskultu-ĉe-v6 {neniu; };

 // Por ĉekoj de localhost kaj sysadmin
    // through dig desdelinux.fan axfr // Ni ne havas Sklavan DNS ... ĝis nun
 permesi-translokigi {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

En la komentita titolo de ĉi tiu dosiero, ili rekomendas inkluzivi la Zonojn indikitajn en la RFC-1918 priskribita en la dosiero /etc/bind/zones.rfc1918. La inkluzivo de ĉi tiuj zonoj loke provizas, ke iu ajn demando pri ili ne forlasas la lokan reton al la radikaj serviloj, kio havas du signifajn avantaĝojn:

  • Pli rapida loka distingivo por lokaj uzantoj
  • Ĝi ne kreas nenecesan - aŭ falsan - trafikon al la radikaj serviloj.

Persone mi ne havas interretan konekton por testi Rekursion aŭ plusendadon. Tamen, kaj ĉar ni ne nuligis la Rekursion en la dosiero named.conf.options -per rekursio ne; - ni povas inkluzivi la menciitajn areojn kaj aliajn, kiujn mi klarigas sube..

Kiam vi instalas BIND 9.9.7 en la Mastruma Sistemo FreeBSD 10.0, kiu ankaŭ estas - kaj cetere - Libera Programaro, la agorda dosiero /usr/local/etc/namedb/named.conf.sample Ĝi enhavas tutan serion de areoj, kiuj rekomendas servi loke por -ankaŭ- akiri la menciitajn avantaĝojn.

Por ne ŝanĝi la originalan agordon BIND en Debian, ni sugestas krei la dosieron /etc/bind/zones.rfcFreeBSD kaj inkluzivi ĝin en la /etc/bind/named.conf.local kun la enhavo indikita sube, kaj kun la vojoj - vojoj al dosieroj jam adaptitaj al Debian:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// Komuna Adresspaco (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Ligo-loka / APIPA (RFCs 3927, 5735 kaj 6303)
zono "254.169.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IETF-protokolaj taskoj (RFCoj 5735 kaj 5736)
zono "0.0.192.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// TEST-NET- [1-3] por Dokumentado (RFC-oj 5735, 5737 kaj 6303)
zono "2.0.192.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "100.51.198.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "113.0.203.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IPv6 Ekzempla Areo por Dokumentado (RFC-oj 3849 kaj 6303)
zono "8.bd0.1.0.0.2.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// Domajnaj Nomoj por Dokumentado kaj Testado (BCP 32)
zono "testo" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "ekzemplo" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "malvalida" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "ekzemplo.com" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "ekzemplo.net" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "ekzemplo.org" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// Router Benchmark Testing (RFCs 2544 kaj 5735)
zono "18.198.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "19.198.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IANA Rezervita - Malnova Klaso E-Spaco (RFC 5735)
zono "240.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "241.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "242.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "243.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "244.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "245.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "246.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "247.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "248.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "249.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "250.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "251.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "252.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "253.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "254.in-addr.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IPv6 Neasignitaj Adresoj (RFC 4291)
zono "1.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "3.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "4.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "5.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "6.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "7.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "8.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "9.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "a.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "b.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "c.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "d.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "e.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "0.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "1.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "2.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "3.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "4.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "5.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "6.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "7.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "8.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "9.f.ip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "afip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "bfip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "0.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "1.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "2.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "3.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "4.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "5.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "6.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "7.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 kaj 6303)
zono "cfip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "dfip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IPv6-Ligo Loka (RFC-oj 4291 kaj 6303)
zono "8.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "9.efip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "aefip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "befip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IPv6 Malrekomendata Ejo-Lokaj Adresoj (RFC-oj 3879 kaj 6303)
zono "cefip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "defip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "eefip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; }; zono "fefip6.arpa" {tipo majstro; dosiero "/etc/bind/db.empty"; };

// IP6.INT estas kaduka (RFC 4159)
zono "ip6.int" {tipo majstro; dosiero "/etc/bind/db.empty"; };

Kvankam ni forigis la eblon aŭskulti IPv6-petojn en nia ekzemplo, indas inkluzivi la IPv6-zonojn en la antaŭa dosiero por tiuj, kiuj bezonas ilin.

La fina enhavo de /etc/bind/named.conf.local estas:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Faru iun ajn lokan agordon ĉi tie // // Konsideru aldoni la 1918 zonojn ĉi tie, se ili ne estas uzataj en via // organizo
inkluzivi "/etc/bind/zones.rfc1918"; inkluzivi "/etc/bind/zones.rfcFreeBSD";

// Deklaro pri la nomo, tipo, loko kaj ĝisdatiga permeso
// de la DNS-Rekordaj Zonoj // Ambaŭ Zonoj estas MASTERS
zono "desdelinux.fan" {
 tipmajstro;
 dosiero "/var/lib/bind/db.desdelinux.fan";
};

zono "10.168.192.in-addr.arpa" {
 tipmajstro;
 dosiero "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

Ni kreas la dosierojn por ĉiu Zono

La enhavo de la dosieroj en ĉiu areo povas esti kopiita laŭvorte el la artikolo «DNS kaj DHCP ĉe CentOS 7«, Se ni zorgas ŝanĝi la celan adresaron al / var / lib / bind:

[root @ dns ~] # nano /var/lib/bind/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; seria 1D; refreŝigu 1H; reprovu 1W; eksvalidiĝu 3H); minimuma aŭ; Negativa kaŝmemora tempo por vivi; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, via Blogo dediĉita al Libera Programaro"; sysadmin IN A 192.168.10.1 ad-dc IN A 192.168.10.3 dosierservilo IN A 192.168.10.4 dns EN A 192.168.10.5 proxyweb IN A 192.168.10.6 blogo EN A 192.168.10.7 ftpservilo EN A 192.168.10.8 poŝto EN A 192.168.10.9

[root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; seria 1D; refreŝigu 1H; reprovu 1W; eksvalidiĝu 3H); minimuma aŭ; Negativa konservado de tempo; @ IN NS dns.fromlinux.fan. ; 1 EN PTR sysadmin.fromlinux.fan. 3 EN PTR ad-dc.fromlinux.fan. 4 EN PTR-dosierservilo.fromlinux.fan. 5 EN PTR dns.fromlinux.fan. 6 EN PTR proxyweb.desdelinux.fan. 7 EN PTR-blogo.desdelinux.fan. 8 EN PTR ftpserver.fromlinux.fan. 9 EN PTR mail.fromlinux.fan.

Ni kontrolas la sintakson de ĉiu zono

root @ dns: ~ # named-checkzone from linux.fan / var / lib / bind / db. from linux.fan 
zono de linux.fan/IN: ŝarĝita seria 1 Bone

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
zono 10.168.192.in-addr.arpa/IN: ŝarĝita seria 1 OK

Kontrolante la ĝeneralajn agordojn de BIND

root @ dns: ~ # named-checkconf -zp
  • Sekvante la procedon por modifi la nomita.konf Laŭ niaj bezonoj kaj kontrolo, kaj kreu ĉiun zondosieron kaj kontrolu ĝin, ni dubas, ke ni devos alfronti gravajn agordajn problemojn. Fine ni konstatas, ke ĝi estas knaba ludo, kun multaj konceptoj kaj malfacila sintakso. 😉

La ĉekoj donis kontentigajn rezultojn, tial ni povas rekomenci la BIND - nomita.

Ni rekomencas la BIND kaj kontrolas ĝian staton

[root @ dns ~] # systemctl rekomencu bind9.service
[root @ dns ~] # systemctl status bind9.service
● bind9.service - BIND Domajna Servilo Ŝarĝita: ŝarĝita (/lib/systemd/system/bind9.service; ebligita) Eniro: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktiva: aktiva (kuranta) ekde Suno 2017-02-05 07:45:03 EST; Antaŭ 5s Dokumentoj: man: named (8) Procezo: 1345 ExecStop = / usr / sbin / rndc stop (kodo = eliris, stato = 0 / SUKCESO) Ĉefa PID: 1350 (nomita) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / named -f -u bind Feb 05 07:45:03 dns named [1350]: zone 1.f.ip6.arpa/IN: ŝarĝita seria 1 Feb 05 07:45:03 dns named [1350]: zone afip6.arpa/IN: ŝarĝita seria 1 Feb 05 07:45:03 dns nomata [1350]: zone localhost / IN: ŝarĝita seria 2 Feb 05 07:45:03 dns nomita [1350]: zona testo / IN: ŝarĝita serio 1 Feb 05 07:45:03 dns nomata [1350]: zona ekzemplo / IN: ŝarĝita seria 1 Feb 05 07:45:03 dns nomata [1350]: zono 5.efip6.arpa/IN: ŝarĝita seria 1 Feb 05 07:45:03 dns nomita [1350]: zono bfip6.arpa/IN: ŝarĝita seria 1 Feb 05 07:45:03 dns nomita [1350]: zono ip6.int/IN: ŝarĝita seria 1 Feb 05 07:45:03 dns nomata [1350]: ĉiuj zonoj ŝarĝitaj 05 Feb 07:45:03 dns nomata [1350]: kurante

Se ni ricevas ian eraron en la eliro de la lasta komando, ni devas rekomenci la nomita.servo kaj rekontrolu vian statuso. Se la eraroj malaperis, la servo sukcese komenciĝis. Alie, ni devas fari ĝisfundan revizion de ĉiuj modifitaj kaj kreitaj dosieroj, kaj ripeti la procedon.

Kontroloj

La ĉekoj povas ruliĝi sur la sama servilo aŭ sur maŝino konektita al la LAN. Ni preferas fari ilin de la teamo sysadmin.fromlinux.fan al kiu ni donis eksplicitan permeson fari Zonajn Translokigojn. La dosiero /etc/resolv.conf de tiu teamo estas la sekva:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generita de NetworkManager-serĉo de linux.fan nomservilo 192.168.10.5

buzz @ sysadmin: ~ $ dig de linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; tutmondaj opcioj: + cmd de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 de linux.fan. 10800 EN NS dns.fromlinux.fan. de linux.fan. 10800 IN MX 10 mail.fromlinux.fan. de linux.fan. 10800 EN TXT "FromLinux, via Blogo dediĉita al Libera Programaro" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 mail.fromlinux.fan. 10800 IN A 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN A 192.168.10.6 sysadmin.fromlinux.fan. 10800 IN Ĝis 192.168.10.1 de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Demanda tempo: 1 msek ;; SERVIDO: 192.168.10.5 # 53 (192.168.10.5) ;; KIAM: Suno Feb 05 07:49:01 EST 2017
;; XFR-grandeco: 13 registroj (mesaĝoj 1, bajtoj 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; tutmondaj opcioj: + cmd 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 EN NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 EN PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 EN PTR-dosierservilo.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 IN PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 EN PTR-blogo.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 EN PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Demanda tempo: 1 msek ;; SERVIDO: 192.168.10.5 # 53 (192.168.10.5) ;; KIAM: Suno Feb 05 07:49:47 EST 2017
;; XFR-grandeco: 11 registroj (mesaĝoj 1, bajtoj 333)

buzz @ sysadmin: ~ $ dig IN SOA de linux.fan
buzz @ sysadmin: ~ $ dig IN MX de linux.fan buzz @ sysadmin: ~ $ dig IN TXT de linux.fan

buzz @ sysadmin: ~ $ host proxyweb
proxyweb.desdelinux.fan havas adreson 192.168.10.6

buzz @ sysadmin: ~ $ host ftpserver
ftpserver.desdelinux.fan havas adreson 192.168.10.8

buzz @ sysadmin: ~ $ gastiganto 192.168.10.9
9.10.168.192.in-addr.arpa domajna montrilo mail.fromlinux.fan.

... Kaj iujn aliajn kontrolojn ni bezonas.

Ni instalas kaj agordas DHCP

Ĉe Debian, la DHCP-servo estas provizita de la pako isc-dhcp-servilo:

root @ dns: ~ # aptitude search isc-dhcp
i isc-dhcp-client - DHCP-kliento por aŭtomate akiri IP-adreson p isc-dhcp-client-dbg - ISC-DHCP-servilo por aŭtomata IP-adreso (klienta senararigo) i isc-dhcp-common - oftaj dosieroj uzataj de ĉiuj pakoj isc-dhcp p isc-dhcp-dbg - Servilo ISC DHCP por aŭtomata IP-adreso (elpenda simbolo p isc-dhcp-dev - API por aliri kaj modifi la DHCP-servilon kaj klientan staton p isc-dhcp-relay - ISC DHCP relay demono p isc-dhcp-relay-dbg - ISC DHCP-servilo por aŭtomata IP-adreso (relajso-elpurigado) p isc-dhcp-server - ISC DHCP-servilo por aŭtomata IP-adreso p isc-dhcp-server-dbg - ISC DHCP-servilo por aŭtomata IP-adreso (servila senararigo) p isc-dhcp-server-ldap - DHCP-servilo, kiu uzas LDAP kiel sian backend

root @ dns: ~ # aptitude install isc-dhcp-server

Post la instalado de la pakaĵo, la -ĉeestanta- sistemo plendas, ke ĝi ne povis komenci la servon. En Debian, ni devas eksplicite deklari super kiu retinterfaco ĝi luos IP-adresojn kaj respondos al petoj, la isc-dhcp-servilo:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # Sur kiaj interfacoj la DHCP-servilo (dhcpd) devas servi DHCP-petojn? # Apartigu plurajn interfacojn kun spacoj, ekz. "Eth0 eth1".
INTERFACES = "eth0"

Instalita dokumentaro

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
entute 44 -rw-r - r-- 1 radika radiko 1235 14 Dec 2014 kopirajto -rw-r - r-- 1 radika radiko 26031 13 Feb 2015 changelog.Debian.gz drwxr-xr-x 2 radika radiko 4096 Feb 5 08 : 10 ekzemploj -rw-r - r-- 1 radika radiko 592 14 Dec 2014 NOVASOJ.Debian.gz -rw-r - r-- 1 radika radiko 1099 14 Dec 2014 README.Debian

TSIG-ŝlosilo "dhcp-ŝlosilo"

La generacio de la ŝlosilo rekomendas TSIG o Transakcia Subskribo - Telaĉeto GISnaturo, por aŭtentikigo de dinamikaj DNS-ĝisdatigoj per DHCP. Kiel ni vidis en la antaŭa artikolo «DNS kaj DHCP ĉe CentOS 7«Ni konsideras, ke la generado de ĉi tiu ŝlosilo ne estas tiel esenca, precipe kiam ambaŭ servoj estas instalitaj sur la sama servilo. Tamen ni ofertas la ĝeneralan procedon por ĝia aŭtomata generado:

root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Kdhcp-ŝlosilo. + 157 + 11088

root @ dns: ~ # cat Kdhcp-key. +157 + 11088.private 
Private-key-format: v1.3 Algorithm: 157 (HMAC_MD5) Key: TEqfcx2FUMYBQ1hA1ZGelA == Bits: AAA = Created: 20170205121618 Publish: 20170205121618 Activate: 20170205121618

root @ dns: ~ # nano dhcp.key
ŝlosilo dhcp-ŝlosilo {
        algoritmo hmac-md5;
        sekreta "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ dns: ~ # ls -l /etc/bind/*.key
-rw-r ----- 1 radika bind 78 Feb 5 08:21 /etc/bind/dhcp.key -rw-r ----- 1 bind bind 77 Feb 4 11:47 / etc / bind / rndc .ŝlosilo
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-rw-r ----- 1 radika radiko 78 Feb 5 08:21 /etc/dhcp/dhcp.key

Ĝisdatigi la BIND-Zonojn per la dhcp-klavo

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Faru iun ajn lokan agordon ĉi tie // // Konsideru aldoni la 1918 zonojn ĉi tie, se ili ne estas uzataj en via // organizaĵo inkluzivas "/etc/bind/zones.rfc1918"; inkluzivi "/etc/bind/zones.rfcFreeBSD"; inkluzivi "/etc/bind/dhcp.key"; // Deklaro pri la nomo, tipo, loko kaj ĝisdatiga permeso // de la DNS-Rekordaj Zonoj // Ambaŭ Zonoj estas MASTER-zono "desdelinux.fan" {tipa majstro; dosiero "/var/lib/bind/db.desdelinux.fan";
 permesi-ĝisdatigi {ŝlosilo dhcp-ŝlosilo; };
}; zono "10.168.192.in-addr.arpa" {tipo majstro; dosiero "/var/lib/bind/db.10.168.192.in-addr.arpa";
 permesi-ĝisdatigi {ŝlosilo dhcp-ŝlosilo; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

Ni agordas la isc-dhcp-servilon

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
ddns-ĝisdatigi-stilan provizoran; ddns-ĝisdatigoj pri; ddns-domajna nomo "desdelinux.fan."; ddns-rev-domajna nomo "in-addr.arpa."; ignori klientajn ĝisdatigojn; aŭtoritata; opcio ip-plusendado; opcio domajna nomo "desdelinux.fan"; inkluzivi "/etc/dhcp/dhcp.key"; zono de linux.fan. {ĉefa 127.0.0.1; ŝlosilo dhcp-ŝlosilo; } zono 10.168.192.in-addr.arpa. {ĉefa 127.0.0.1; ŝlosilo dhcp-ŝlosilo; } dividita-retloka {subreto 192.168.10.0 retmasko 255.255.255.0 {opcio-enkursigiloj 192.168.10.1; opcio subreto-masko 255.255.255.0; opcio elsendadreso 192.168.10.255; opcio domajnonomaj serviloj 192.168.10.5; opcio netbios-name-servers 192.168.10.5; gamo 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

Ni kontrolas la dosieron dhcpd.conf

root @ dns: ~ # dhcpd -t
Interreta Sistemo-Konsorcio DHCP-Servilo 4.3.1 Kopirajto 2004-2014 Interreta Sistemo-Konsorcio. Ĉiuj rajtoj rezervitaj. Por informoj, bonvolu viziti https://www.isc.org/software/dhcp/ Agordan dosieron: /etc/dhcp/dhcpd.conf Datumbaza dosiero: /var/lib/dhcp/dhcpd.leases PID-dosiero: / var / run /dhcpd.pid

Ni rekomencas la BIND kaj startas la isc-dhcp-servilon

root @ dns: ~ # systemctl rekomencu bind9.service 
root @ dns: ~ # systemctl status bind9.service 

root @ dns: ~ # systemctl start isc-dhcp-server.service
root @ dns: ~ # systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: DHCP-servilo Ŝarĝita: ŝarĝita (/etc/init.d/isc-dhcp-server) Aktiva: aktiva (funkcianta) ekde Suno 2017-02-05 08:41:45 EST; Antaŭ 6s Procezo: 2039 ExecStop = / etc / init.d / isc-dhcp-server stop (kodo = eliris, stato = 0 / SUKCESO) Procezo: 2049 ExecStart = / etc / init.d / isc-dhcp-server start ( kodo = eligita, stato = 0 / SUCCESS) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 Feb 05 08:41:43 dns dhcpd [2056]: Verkis 0 luojn al luoj-dosiero. Feb 05 08:41:43 dns dhcpd [2057]: Servilo startanta servon. Feb 05 08:41:45 dns isc-dhcp-server [2049]: Startanta ISC-DHCP-servilo: dhcpd.

Kontroloj kun klientoj

Ni kreis klienton per la operaciumo Windows 7, kun la nomo «LAGER».

buzz @ sysadmin: ~ $ host lager
LAGER.desdelinux.fan havas adreson 192.168.10.30

buzz @ sysadmin: ~ $ dig en txt lager.fromlinux.fan

Ni ŝanĝas la nomon de tiu kliento al "sep" kaj rekomencas la klienton

buzz @ sysadmin: ~ $ host lager
;; konekto eksvalidiĝis; neniuj serviloj estis atingeblaj

zumado@sysadmin: ~ $ gastiganto sep
seven.fromlinux.fan havas adreson 192.168.10.30
buzz @ sysadmin: ~ $ gastiganto 192.168.10.30
30.10.168.192.in-addr.arpa domajna nomo montrilo seven.fromlinux.fan.

buzz @ sysadmin: ~ $ dig en txt seven.fromlinux.fan

Ni renomis la klienton Windows 7 reen al "win7"

buzz @ sysadmin: ~ $ gastiganto sep
;; konekto eksvalidiĝis; neniuj serviloj estis atingeblaj

buzz @ sysadmin: ~ $ host win7
win7.fromlinux.fan havas adreson 192.168.10.30
buzz @ sysadmin: ~ $ gastiganto 192.168.10.30
30.10.168.192.in-addr.arpa domajna nomo montrilo win7.fromlinux.fan.

buzz @ sysadmin: ~ $ dig en txt win7.fromlinux.fan
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> en txt win7.fromlinux.fan ;; tutmondaj opcioj: + cmd ;; Ricevis respondon: ;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 11218 ;; flagoj: qr aa rd ra; DEMANDO: 1, RESPONDO: 1, AUTHTORITATO: 1, ALDONA: 2 ;; OPT PSEUDOSECTION :; EDNS: versio: 0, flagoj:; udp: 4096 ;; DEMANDA SEKCIO :; win7.fromlinux.fan. EN TXT ;; RESPONDA SEKCIO: win7.fromlinux.fan. 3600 EN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ;; Aŭtoritata Sekcio: desdelinux.fan. 10800 EN NS dns.fromlinux.fan. ;; ALDONA SEKCIO: dns.fromlinux.fan. 10800 IN A 192.168.10.5 ;; Demanda tempo: 0 msec ;; SERVIDO: 192.168.10.5 # 53 (192.168.10.5) ;; KIAM: Suno Feb 05 09:13:20 EST 2017 ;; MSG-GRANDO rcvd: 129

buzz @ sysadmin: ~ $ dig de linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; tutmondaj opcioj: + cmd de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 de linux.fan. 10800 EN NS dns.fromlinux.fan. de linux.fan. 10800 IN MX 10 mail.fromlinux.fan. de linux.fan. 10800 EN TXT "FromLinux, via Blogo dediĉita al Libera Programaro" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 mail.fromlinux.fan. 10800 IN A 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN A 192.168.10.6 sysadmin.fromlinux.fan. 10800 IN A 192.168.10.1
win7.fromlinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.fromlinux.fan. 3600 EN A 192.168.10.30
de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 ;; Demanda tempo: 2 msec ;; SERVIDO: 192.168.10.5 # 53 (192.168.10.5) ;; KIAM: Suno Feb 05 09:15:13 EST 2017 ;; XFR-grandeco: 15 registroj (mesaĝoj 1, bajtoj 453)

En la supera eligo, ni elstarigis plu aŭdaca la TTL -en sekundoj- por la komputiloj kun IP-adresoj donitaj de la DHCP-servo, tiuj, kiuj havas eksplicitan deklaron de la TTL 3600 donitan de la DHCP. Fiksaj IP-oj estas gvidataj de la $ TTL de 3H -3 horoj = 10800 sekundoj- deklarita en la SOA-registro de ĉiu zondosiero.

Ili povas kontroli la inversan zonon same.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

Aliaj ekstreme interesaj komandoj estas:

[root @ dns ~] # named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 aldoni desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 aldonu LAGER.fromlinux.fan. 3600 IN A 192.168.10.30 aldonu LAGER.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 de LAGER.fromlinux.fan. 3600 IN A 192.168.10.30 aldonu de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 de LAGER.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" aldonu desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 aldoni desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 aldonu sep.fromlinux.fan. 3600 IN A 192.168.10.30 aldonu sep.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 de seven.fromlinux.fan. 3600 IN A 192.168.10.30 aldonu de linux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 de seven.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" aldonu desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 de desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 aldoni desdelinux.fan. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 aldonu win7.fromlinux.fan. 3600 IN A 192.168.10.30 aldonu win7.fromlinux.fan. 3600 EN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
de 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 aldonu 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 aldonu 30.10.168.192.in-addr.arpa. 3600 EN PTR LAGER.fromlinux.fan. de 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 el 30.10.168.192.in-addr.arpa. 3600 EN PTR LAGER.fromlinux.fan. aldonu 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 del 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 aldonu 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 aldonu 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.fromlinux.fan. de 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 el 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.fromlinux.fan. aldonu 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 del 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 aldonu 10.168.192.in-addr.arpa. 10800 EN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 aldonu 30.10.168.192.in-addr.arpa. 3600 IN PTR win7.fromlinux.fan.

[root @ dns ~] # journalctl -f

Mana modifo de dosieroj de Zonoj

Post kiam DHCP eniros la ludon por dinamike ĝisdatigi la BIND-zonajn dosierojn, se ni iam bezonas permane modifi zonan dosieron, ni devas plenumi la sekvan procedon, sed ne antaŭ ol scii iom pli pri la funkciado de la zono. rndc -viro rndc- por la kontrolo de nomita.

  • rndc frosti [zono [klaso [vido]]], suspendas la dinamikan ĝisdatigon de zono. Se oni ne specifas, ĉiuj frostiĝos. La komando permesas manan redaktadon de la frosta zono aŭ ĉiuj zonoj. Ĉiu dinamika ĝisdatigo estos rifuzita dum frostiĝo.
  • rndc degeli [zono [klaso [vido]]], ebligas dinamikajn ĝisdatigojn sur antaŭe frosta zono. La DNS-servilo reŝargas la zondosieron de disko, kaj dinamikaj ĝisdatigoj reaktiviĝas post kiam la reŝarĝo finiĝas.

Singardoj, kiujn ni prenas kiam ni permane redaktas zondosieron? Same kiel se ni kreus ĝin, sen forgesi pliigi la serian numeron per 1 aŭ seria antaŭ ol konservi la dosieron kun la finaj ŝanĝoj.

Ni frostigas la zonojn

Ĉar ni faros ŝanĝojn al la Antaŭaj kaj Inversaj Zonoj dum DNS kaj DHCP funkcias, la plej sana afero estas frostigi la DNS-Zonojn:

[root @ dns ~] # rndc frosti

Areo de linux.fan enhavas la jenajn rekordojn:

[root @ dns ~] # cat /var/lib/bind/db.fromlinux.fan
$ ORIGINO. $ TTL 10800; 3 horoj de linux.fan EN SOA dns.de linux.fan. root.dns.fromlinux.fan. (
                                8; seria
                                86400; refreŝigi (1 tago) 3600; reprovi (1 horo) 604800; eksvalidiĝi (1 semajno) 10800; minimuma (3 horoj)) NS dns.fromlinux.fan. MX 10 mail.fromlinux.fan. TXT "FromLinux, via Blogo dediĉita al Libera Programaro" $ ORIGIN fromlinux.fan. ad-dc Al 192.168.10.3 blogo Al 192.168.10.7 dns Al 192.168.10.5 dosierservilo Al 192.168.10.4 ftpservilo Al 192.168.10.8 poŝto Al 192.168.10.9 proxyweb Al 192.168.10.6 sysadmin Al 192.168.10.1 $ TTL 3600; 1 horo win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

Ni aldonu la servilon «bordmuro»Kun la IP 192.168.10.10:

root @ dns: ~ # nano /var/lib/bind/db.fromlinux.fan
$ ORIGINO. $ TTL 10800; 3 horoj de linux.fan EN SOA dns.de linux.fan. root.dns.fromlinux.fan. (
                9; seria
                86400; refreŝigi (1 tago) 3600; reprovi (1 horo) 604800; eksvalidiĝi (1 semajno) 10800; minimuma (3 horoj)) NS dns.fromlinux.fan. MX 10 mail.fromlinux.fan. TXT "FromLinux, via Blogo dediĉita al Libera Programaro" $ ORIGIN fromlinux.fan. ad-dc Al 192.168.10.3 blogo Al 192.168.10.7 dns Al 192.168.10.5 dosierservilo Al 192.168.10.4 ftpservilo Al 192.168.10.8 poŝto Al 192.168.10.9 proxyweb Al 192.168.10.6
bordmuro A 192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; 1 horo win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

Ni supozeble ankaŭ modifas la inversan zonon:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ ORIGINO. $ TTL 10800; 3 horoj 10.168.192.in-addr.arpa IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (
                                7; seria
                                86400; refreŝigi (1 tago) 3600; reprovi (1 horo) 604800; eksvalidiĝi (1 semajno) 10800; minimuma (3 horoj)) NS dns.fromlinux.fan. $ ORIGINO 10.168.192.in-addr.arpa. 1 PTR sysadmin.fromlinux.fan. 3 PTR ad-dc.fromlinux.fan. $ TTL 3600; 1 horo 30 PTR win7.fromlinux.fan. $ TTL 10800; 3 horoj 4 PTR fileserver.fromlinux.fan. 5 PTR dns.fromlinux.fan. 6 PTR proxyweb.fromlinux.fan. 7 PTR-blogo.desdelinux.fan. 8 PTR ftpserver.fromlinux.fan. 9 PTR mail.fromlinux.fan.
10 PTR shorewall.fromlinux.fan.

Ni degelas kaj reŝargas la zonojn

[root @ dns ~] # rndc degelo

root @ dns: ~ # journalctl -f
- Registroj komenciĝas je Suno 2017-02-05 06:27:10 EST. - Feb 05 12:00:29 dns nomata [1996]: ricevis kontrolan kanalon ordonon 'degelo' Feb 05 12:00:29 dns nomita [1996]: degelo ĉiuj zonoj: sukceso Feb 05 12:00:29 dns nomata [1996 ]: zono 10.168.192.in-addr.arpa/IN: ĵurnala dosiero malaktualas: forigo de ĵurnala dosiero Feb 05 12:00:29 dns nomita [1996]: zono 10.168.192.in-addr.arpa/ IN : ŝarĝita seria 7 Feb 05 12:00:29 dns nomita [1996]: zone desdelinux.fan/IN: ĵurnala dosiero malaktualiĝis: forigo de ĵurnala dosiero Feb 05 12:00:29 dns nomita [1996]: zone desdelinux. ventumilo / IN: ŝarĝita seria 9

buzz @ sysadmin: ~ $ host shorewall
shorewall.fromlinux.fan havas adreson 192.168.10.10

buzz @ sysadmin: ~ $ gastiganto 192.168.10.10
10.10.168.192.in-addr.arpa domajna nomo montrilo shorewall.fromlinux.fan.

buzz @ sysadmin: ~ $ dig de linux.fan axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr

root @ dns: ~ # journalctl -f
.... Feb 05 12:03:05 dns nomita [1996]: kliento 192.168.10.1 # 37835 (desdelinux.fan): translokigo de 'desdelinux.fan/IN': AXFR komenciĝis 05 Feb 12:03:05 dns nomata [1996]: kliento 192.168.10.1 # 37835 (desdelinux.fan): translokigo de 'desdelinux.fan/IN': AXFR finiĝis la 05-an de februaro 12:03:20 dns nomata [1996]: kliento 192.168.10.1 # 46905 (10.168.192. 10.168.192.in-addr.arpa): translokigo de '05 .12.in-addr.arpa / IN ': AXFR komenciĝis la 03-an de februaro 20:1996:192.168.10.1 dns nomata [46905]: kliento 10.168.192 # 10.168.192 (XNUMX .in-addr.arpa): translokigo de 'XNUMX .XNUMX.in-addr.arpa / IN ': AXFR finiĝis

Resumo

Ĝis nun ni havas servilon Caché DNS funkcianta, kiu subtenas Rekursion, kiu estas Aŭtoritata por la Zono de linux.fan, kaj tio permesas al DHCP ĝisdatigi la Antaŭajn kaj Inversajn Zonojn kun la nomoj de komputiloj kaj IP, kiujn ĝi donas.

Ĉi tiu artikolo kaj la antaŭaj du «DNS kaj DHCP en openSUSE 13.2 'Arlekeno'"kaj"DNS kaj DHCP ĉe CentOS 7»Ĉu praktike estas unu. Vi trovos ĝeneralajn konceptojn pri DNS kaj DHCP, kaj apartaĵojn de ĉiu distribuo en ĉiu el ili. Ili estas Enirpunkto al la temo, kaj bazo por pli kompleksaj evoluoj.

Ni ne hezitos insisti - ankoraŭfoje - pri la graveco legi la teknikan dokumentaron instalitan defaŭlte kun ĉiu pakaĵo, ANTAE agordi iun ajn detalon. Ni diras ĝin laŭ nia propra sperto.

Sekva transdono

Ĝi probable estas "Microsoft® Active Directory + BIND"


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

23 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   lacerto diris

    Kia lernilo, kiun vi sendis kunulo, mi ne scias, de kie venas tiom da kapablo por detalo kaj ordo en temoj tiel kompleksaj.

    Miaj plej sinceraj gratuloj, honoro povi legi vin

  2.   bafo diris

    Mi devas diri al vi, ke la lerniloj, kiujn vi publikigas, estas HOSTIA, mi amas ilin.
    Mi ĉiam atendas vian sekvan ĉapitron.
    Kiam vi finos, ĉu vi metos ĝin en pdf? Ĝi estas dokumentado, kiu laŭ mi estas tre valora, ĝi meritas esti bone konservita.
    Koran dankon kaj grandan saluton.
    Bafo.

  3.   federika diris

    Bafo: Koran dankon pro via taksado kaj komento. La plej bona rekompenco por la tempo, laboro kaj penado, kiun mi dediĉas al ĉiu instruisto, estas la komento. Ĉu ĝi estas pozitiva aŭ negativa, sed ĝi estas la signo, ke ĝi ne pasas nerimarkite. Mi supozas, ke multaj legantoj simple elŝutas kaj konservas, aŭ legosignas ĝin. Sed mi povas nur supozi tion laŭ la nombro de vizitoj. Domaĝe, ke ne multaj komentas, kvankam mi scias, ke la temoj, kiujn mi traktas, estas esence por Sysadmins. Saluton ankaŭ al vi kaj mi atendos vin en miaj venontaj artikoloj.

  4.   federika diris

    Lagarto: Dankon pro via honesta taksado, kiun mi ĉiam memoros.

  5.   artus diris

    Kiel estus la agordo se mi havas du retajn interfacojn kaze de bind
    Dankon kaj gratulon pro la materialo.

  6.   federika diris

    Artus: Dankon pro via komento kaj gratulon.
    La respondo al via demando meritas apartan artikolon pri la uzo de Vidpunktoj - Vidoj en la LIGA.

    Se vi havas Delegitan Zonon sub via respondeco, kaj vi volas havi ununuran BIND por ĉeesti internajn demandojn de via LAN kaj eksterajn demandojn de la Interreto -kun la BIND protektita per Fajromuro kompreneble- oni rekomendas uzi la Vidojn .

    La Vidoj, ekzemple, permesas al vi prezenti agordon por via SME-Reto kaj alian por la Interreto. Kiam ni ne agordas iun ajn vidpunkton eksplicite, la BIND implicite kreas unu, kiu montras ĉiujn komputilojn, kiuj ĝin konsultas.

    Kiel la uzo de Vidpunktoj mi konsideras ĝin progresinta temo povas kaj verki artikolon pri ĝi, antaŭ aŭ post la promesita afiŝo anoncita fine de ĝi.

    Nun, se vi havas du retajn interfacojn alfrontitajn al via SME-reto - formita de du privataj retoj - pro kia ajn kialo de projektado, ŝarĝa ekvilibro, nombro da ekipaĵoj aŭ alia, kaj vi volas prezenti ĉiujn viajn zonojn al ambaŭ retoj, vi povas solvi per aserto:

    aŭskulti {
    127.0.0.1;
    IP-Privata-Interfaco1;
    IP-interfaco-Privata2;
    };

    Tiel la BIND aŭskultas petojn ĉe ambaŭ interfacoj.

    Se ĉiuj viaj komputiloj estas en Privata Reto Klaso C 192.168.10.0/255.255.240.0 -ĝis 4094-gastigantoj- ekzemple, vi ankaŭ povas uzi la aserton:

    aŭskulti {127.0.0.1; 192.168.10.0/20; };

    Kaj vi daŭre montras ununuran vidon al ĉiuj komputiloj konektitaj al via privata LAN.

    Mi esperas, ke mia mallonga respondo helpos vin. Salutojn kaj sukceson.

    1.    artus diris

      Dankon pro respondo tiel baldaŭ. Vi vidas, ke mi muntas Debian-Servilon kun versio 9 (Strech), ĝi havas DNS, dhcp kaj squid kiel prokurilo, por la enhavaj filtriloj mi uzos e2guardian.

      La komputilo havas du retajn interfacojn, kiuj permesos al komputiloj en la LAN eliri al la interreto.
      enkursigilo: 192.168.1.1
      eth0: 192.168.1.55 (per ĉi tiu interfaco ĝi iros al la interreto)
      eth1: 192.168.100.1 (LAN)

      La ideo estas, ke la komputiloj povas iri al la interreto per ĉi tiu prokura servilo, kiu ankaŭ provizos IPs kaj DNS al la komputiloj en la interna reto.

      Ĉi-kaze mi ne bezonas, ke la servilo aŭskultu dns-petojn per la interfaco eth0 (mi ne volas prezenti miajn zonojn al ambaŭ retoj, nur al mia LAN); do se mi forigos la private-interface-IP1, ĉu tio sufiĉus?

      Dankon denove kaj salutojn.

  7.   Edward Claus diris

    Tre bona artikolo mia amiko
    Vi havas la LIGANTON en viaj vejnoj, eĉ se vi diras kaj pensas alie 🙂
    Feliĉoj

  8.   federika diris

    Artus: Forigu interfacon 192.168.1.55 de la aŭskultinda deklaro kaj iru. Aŭ deklaru nur aŭskultilon {127.0.0.1; 192.168.100.1; }; kaj jen ĝi. La BIND aŭskultos nur per tiuj interfacoj.

    1.    artus diris

      Bone dankon.

  9.   federika diris

    Eduardo: mia amiko, mi ankoraŭ preferas dnsmasq por "malgrandaj" retoj, kaj ni devos vidi kiom "grandaj" ili povas esti. 😉 Kvankam mi rekonas, ke la BIND + isc-dhcp-servilo estas la BIND + isc-dhcp-servilo. 😉

  10.   federika diris

    Eduardo: Mi forgesis diri al vi, ke la BIND-Specialisto estas vi, Majstro.

  11.   ĉasisto diris

    Jaroj uzante BIND kaj mi daŭre lernas de via verkado, koran dankon Federico, kun ĉi tiu serio de lerniloj administranto estas maldungita. Mi revenas kaj ripetas, ke la ideo ampleksi ĉi ĉiujn sciojn en oficiala portebla formato tute ne malbonas, donu al ĝi la kapon, ke io tre bona povas aperi. Saluto.

  12.   federika diris

    Amiko Dhunter: Viaj komentoj estas ĉiam bonvenaj. Ĉirkaŭpreni ĉion malfacilas kaj preskaŭ maleblas, ĉar ĉiam venas nova temo. Laŭ ĉapitroj, ĝi iras kaj eblas. Iu artikolo devus esti reskribita por akiri konsekvencon en agordoj. Mi promesas nenion, sed ni vidos.

  13.   Ismael Alvarez Wong diris

    saluton federico, jen miaj komentoj:
    1) La emfazo, kiun vi faras pri «... legu antaŭ agordi la BIND kaj eĉ ANTAE serĉi en la interreto artikolojn rilatajn al BIND kaj DNS ...» serĉi ilin en nia propra komputilo kaj ĉio ĉi «... sen foriri de hejmo ...» por uzi vian propraj vortoj.
    2) En ĉi tiu afiŝo ni trovas pli da teorio pri DNS, kiu kompletigas tiun provizitan en la du antaŭaj afiŝoj kaj ĉiam dankas; ekzemple: la DNSSEC (Domajna Nomo-Sekurecaj Etendaĵoj) kaj por kio ĝi estas uzata; same kiel la BIND-Agorda Skemo kun ĝiaj Senmovaj Agordaj Dosieroj, Zonaj Dosieroj por la Radikaj Serviloj, kaj la Antaŭaj kaj Inversaj Zonoj de localhost en Debian.
    3) GRANDA la konsilo de ne malfunkciigi rekursion (uzante la linion "recursion no;") tiam inkluzivi en la agorda dosiero /etc/bind/named.conf.local, la zondosierojn / etc / bind / zones. Rfc1918 kaj / etc /bind/zones.rfcFreeBSD por malebligi, ke iuj demandoj rilataj al ili lasu la lokan reton al la radikaj serviloj.
    4) Male al la antaŭa afiŝo pri CentOS 7, en ĉi tiu afiŝo se la TSIG-ŝlosilo "dhcp-ŝlosilo" estas generita por dinamikaj DNS-ĝisdatigoj de DHCP; por permesi ĝin en la dosiero /etc/bind/named.conf.local, inkluzivu "allow-update {key dhcp-key; }; » en la agordo de la rektaj kaj inversaj zonoj de nia domajno.
    5) La bonega detalo (egala al la antaŭa afiŝo en CentOS 7) pri ĉio rilate al la kontroloj de la funkciado de DNS, DHCP kaj kun la klientoj.
    6) GRANDA la konsilo uzi la komandon "instali" (se kiel vi skribas ĝin, mi ne celas la samnoman opcion uzatan en aliaj komandoj), mi ne sciis ĝin, ĉar ĝi estas vera "3 en 1" ĉar grupoj kopio (cp), starigo de posedantoj (chown) kaj permesoj (chmod).
    . Fine, via respondo al Artus pri la uzo de Vidpunktoj en BIND estas tre bona, unu por la LAN (privata reto) kaj la alia por la Interreto, tiel ke nur la publikaj servoj konsulteblas. Espereble poste vi havos tempon prepari afiŝon, ĉar ĝi estas tre praktika aplika temo por multaj administrantoj.
    Nenio Federico, kiun mi daŭre pli kaj pli entuziasmas pri la serio PYMES, kaj mi antaŭĝojas pri la sekva afiŝo "Microsoft Active Directory + BIND"

  14.   federika diris

    Wong: Kolego kaj amiko, viaj komentoj kompletigas miajn artikolojn kaj montras, ke ili estas kompreneblaj. La komando "instali" havas multajn pliajn eblojn. Demando viro instalas. Dankon mil pro komento !!!

  15.   krespo88 diris

    Mi ankoraŭ ne legis la komentojn, mi faros tion post eldiro de miaj kriterioj.
    Vi faris kaj atingis multon, vi donis al ni lumon, sed ne tiun, kiu videblas ĉe la "fino de la tunelo", kiam ne plu ekzistas espero, kiel ni kutimas diri; ne por nenio, vi donis la kompletan lumon por povi diri "Fine ni rimarkas, ke ĝi estas knaba ludo, kun multaj konceptoj kaj malfacila sintakso" kiel vi klarigas en la afiŝo.
    POST TRUNK kaj kune kun la antaŭaj por paro da pli famaj distroj. Vi plenumis la vastiĝon de konceptoj kaj teorio, kiuj multfoje influas nin. Mi legis detale, trankvile kaj estas neeble ne komenti kaj senti TUTE DANKAN pro tia sindediĉo kaj sindediĉo.
    Sen plue, ni deziras al vi sanon kaj ke vi daŭre kontribuu; Ni dankas vin kaj bonŝanco, ekonomio, sano (ni deziras al vi duoblon) kaj amo akompanu vin (kun Sandra por pli, hahaha).
    Mi scias, ke la komento iom preterpasas la enhavon de la afiŝo, ĝi iras al la persona ĉar ni estas amikoj kaj mi admiras vian sindoneman transdonon. Neniu NENIU faras tion, kion vi faras por tiuj el ni, kiuj volas lerni pli kaj pli kaj ni havas la respondecon administri retojn de SME sur niaj ŝultroj, ne facila tasko.
    Sl2 ĉiuj.

  16.   federika diris

    crespo88: Koran dankon pro viaj taksoj pri ĉi tiu kaj aliaj publikigitaj artikoloj. Iuj legantoj eble pensos, ke mi donas ĉion, kiam ĝi ne veras. Mi ĉiam raportas al Enira Punkto, eĉ se la ekzemploj estas plene funkciaj. BIND estas La Elektronika Industrio kaj DHCP ne restas malantaŭe. Por koni ilin super la averaĝo, vi devas diplomiĝi postdiplomulo ĉe la Universitato de Helsinko, 😉

  17.   Miguel Guaramato lokokupilo bildo diris

    Mi trovas ĉi tiun temon interesa kaj tre grava. Mi interesiĝas pri ĉi tiu studo pri kio temas pri administrado de linuksaj retoj kaj precipe serviloj: dns, dinamikaj kaj statikaj dhcp kaj virtualaj retoj, bin9, sambo, presiloj, ldap, retkontrolo kun aplikaĵoj, muntoj de datumbazoj por programistoj. aplikoj kaj vlan, ktp. Tial ĝi gravas kaj ĉi tiuj konsiloj estas tre bonaj kaj kun praktikoj kaj ekzemploj.

  18.   federika diris

    Saluton miguel !!!
    Dankon pro komento kaj mi esperas, ke la serio helpos vin pri tio, kio interesas vin. Salutojn.

  19.   jorge diris

    Koran dankon pro la artikolo Federico, ĝi montras, ke vi scias pri Debian. Brakumon.

  20.   federika diris

    Koran dankon Jorge, pro via komento. Mi esperas, ke miaj artikoloj helpos vin.

  21.   Salono Pablo Raul Vargas diris

    Koran dankon pro la afiŝo, kiu estas bone dokumentita kaj instigas nin legi, legi kaj legi denove. Nun kun la sekva afiŝo, kiun vi publikigos, mi ŝatus, ke vi konsideru la punktojn de konverĝo, kiujn ĝi havus:
    Microsoft Active Directory kun Samba4 kiel Active Directory

    Cetere mi volis konsulti la jenon:
    Kiel la efektivigo de Bind + Isc-dhcp estus en la FW en dmz kie la domajna regilo estus en la dmz kun sambo 4 AD

bool (vera)