Dnsmasq sur CentOS 7.3 - Retoj pri PYME

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Saluton, amikoj!. Ni dediĉas ĉi tiun artikolon al dnsmasq tre simpla programo, kiu provizas servojn DNS - DHCP uzante unu programon. La plej bona dokumento, kiu ekzistas pri ĉi tiu programaro, estas tiu instalita kun la pakaĵo mem situanta ĉe /usr/share/doc/dnsmasq-2.66/, la agorda dosiero -plena de ekzemploj- /etc/dnsmasq.conf, kaj tiu akirita per la komando viro dnsmasq. Ankaŭ estas tre sana viziti vian Oficiala retejo.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
entute 136 -rw-r - r--. 1 radika radiko 18007 Apr 17 2013 KOPI -rw-r - r--. 1 radika radiko 59811 11 nov 13:20 CHANGELOG -rw-r - r--. 1 radika radiko 5164 17 Apr 2013 1 DBus-interface -rw-r - r--. 5009 radika radiko 17 Apr 2013 1 doc.html -rw-r - r--. 25075 radika radiko 17 Apr 2013 1 Demandoj -rw-r - r--. 12019 radika radiko 17 Apr 2013 XNUMX setup.html
  • La procedo priskribita en la afiŝo validas ankaŭ por Debian 8 "Jessie". La agorda dosiero / etc / dnsmasq estas la sama. En Jessie, eble vi nur bezonas instali vian dnsmasq-pakon kaj nenion alian. Mi verkas ĝin, ĉar mi konsideras nenecesa fari apartan artikolon por Dnsmasq en Debian. Feliĉe, la dosierujoj rilataj al dokumentado kaj agordo samas. 😉

La Dnsmaq estas kreo de Simon Kelley.

Kio estas Dnsmasq?

Libera Programaro dnsmasq estas servilo DNS Antaŭen y DHCP por malgrandaj komputilaj retoj. Tipa ekzemplo estas la ekzistantaj retoj en niaj SMEs. Ĝi postulas malmultajn aparatajn rimedojn por sia funkciado kaj povas ruliĝi sur diversaj platformoj kiel Linukso, BSD, Android kaj OS X. Ĝi estas inkluzivita en preskaŭ ĉiuj deponejoj de Linukso kaj BSD-distribuoj.

La servilo DHCP de la dnsmasq Vi povas lizi IP-adresojn dinamike kaj statike, por multaj retoj kun malsamaj vicoj de IP-adresoj. Ĝi estas integrita kun la servilo DNS kaj permesas lokajn maŝinojn, kiuj akiras IP-adreson aperi kiel registritaj en DNS kun siaj ĝustaj DNS-registroj, kaj rektaj kaj inversaj.

La denaska labormaniero de la dnsmasq kaŝmemori DNS-rekordojn akiritajn per demandoj al iliaj Transludantoj, reduktas la ŝarĝon sur ĉi tiuj kaj plibonigas la ĝeneralan rendimenton de la responda rapido al diversaj DNS-demandoj.

Subtenas modernajn normojn kiel IPv6 y DNSSEC, Komenco - boot tra la reto kun subteno por la protokoloj BOOTP, TFTP, y PXE.

En la Linuksa universo, Dnsmasq estas vaste uzata en serviloj por Maŝinoj sen malmola disko kaj maldikaj klientoj. Ĉe Vindozo® kun la programaro ARDENCE®, ekvivalento -al Dnsmasq- estas uzata kiel DHCP-servilo nomata Telurian.

En kiu scenaro ni povas uzi Dnsmasq?

Se ni ekzekutos viro dnsmasq En CentOS, ni ricevos la paĝon por tiu manlibro en la angla lingvo. En la Dosiero dnsmasq.8.gz -hispanlingve- kiu estas instalita kun la distribuo Debian 8 «Jessie», ĝi estas reflektita ĝuste la sekva:

LIMOJ

  • La aprioraj valoroj por rimedlimoj estas ĝenerale konservativaj, kaj taŭgas por uzo sur enkursigilaj aparatoj. blokita per malrapidaj procesoroj kaj malmulta memoro. En aparataro pli  kapabla, eblas pliigi la limojn, kaj subteni multajn pli klientoj. La jeno validas por dnsmasq-2.37: antaŭaj versioj ne ili tiel bone grimpis.
  • Dnsmasq kapablas subteni DNS kaj DHCP almenaŭ mil (1,000) klientoj. Luaj tempoj ne devas esti tro mallongaj (malpli ol unu tempo). La valoro de –dns-forward-max povas esti pliigita: komencu per la ekvivalento de la nombro de klientoj kaj pliigu ĝin se la DNS. Notu, ke DNS-agado ankaŭ dependas de la serviloj Kontraŭflua DNS. DNS-kaŝmemoro povas esti pliigita: la limo Bezonata estas 10,000 nomoj kaj la apriora (150) estas tre malalta. Sendi SIGUSR1 al dnsmasq igas bitakorajn informojn utila por agordi kaŝmemoran grandecon. Vidu la sekcion NOTOJ por detaloj.
  • La enkonstruita TFTP-servilo kapablas subteni plurajn translokigojn samtempaj dosieroj: la absoluta limo rilatas al la nombro da dosieraj teniloj permesitaj al procezo kaj al la kapablo de la sistemoĈi tiu voko select () subtenas grandajn nombrojn da dosieraj teniloj. Se la limo estas tro alta kun –tftp-max ĝi estos malgrandigita kaj la efektiva limo estos mezurita ĉe la ekfunkciigo. Notu, ke pli da translokigoj eblas kiam la sama dosiero estas sendita kio kiam ĉiu transferencia sendas alian dosieron. Eblas uzi dnsmasq por nei retejan reklamadon per listo de konataj rubandaj serviloj, ĉiuj solvantaj al 127.0.0.1 aŭ 0.0.0.0 en / etc / hosts aŭ en aldona gastiga dosiero. La listo povas estu tre longa. Dnsmasq estis testita sukcese kun miliono da nomoj. Tiu grandeco de dosiero bezonas 1GHz-CPU kaj proksimuman60MB RAM.

Mi tute ne verkis aŭ redaktis la suprajn alineojn. Ili speguliĝas dum ili eniras viro en la hispana de dnsmasq 2.72 de la deponejo Debian 8.6. De ili kaj de la praktiko en la uzo de ĉi tiu programaro, ni povas konkludi, ke estas malofte - ne maleble - trovi scenaron en niaj retoj de SME, kiu superas la kvanton de 1000 klientoj aŭ komputiloj konektitaj al la LAN.

  • Dnsmasq kapablas subteni DNS kaj DHCP almenaŭ mil (1,000) klientoj.

Konsideroj pri rando

Ĉiam frapis min, ke la premiita programaro ClearOS Enterprise 5.2 SP1 uzos la Dnsmasq-asociitan kun ĝia NTP- defaŭlte kiel Infrastruktura Servilo, kaj daŭre uzi ĝin kiel tia-almenaŭ ĝis versioj 7.xxx- en liberigoj vi pagas por instali Active Directory® bazitan sur Samba 4. Domaĝe por ni, amantoj de Libera Programaro, ke la kompanio ClearFoundationĉesos provizi programon de tiu kvalito en versioj pli postaj ol 5.xxx evidente pro pli bonaj monaj gajnoj. Mi pensas, ke ĝi estas malutila por la kompanio mem.

Kvankam mi estas fano Debiano -kaj mi tute ne volas fari propagandon laŭ mia tre persona elekto- Mi ĉiam admiris la Kompanion Red Hat®, Inc. kies komerca modelo metis ĝin kiel la nediskuteblan gvidanton de Libera Programaro. Krome ĝi estas la Sponsoro de la binara klono CentOS - 100% libera programaro - de sia stela operaciumo Red Hat® Enterprise Linukso - RHEL. Por io oni diras, ke CentOS estas RHEL sen subteno ????

  • Mi havas kuradon a Samba Klasika NT 4.0 Stila Ĉefregiona Regilo surbaze de la ClearOS Enterprise 5.2 SP1 dum pli ol 4 jaroj en la reto de kompanio kun klientoj Windows XP, 7, 8, Windows Server 2003 kaj Windows Server 2012. Kio estas por tikli kelkajn registrajn valorojn de ĉiu Vindoza kliento de versio pli alta ol XP? Estas vere. Kio plej bone funkcias? Ĝi ankaŭ veras. Ke la nombro de teamoj ne atingas 100? Ankaŭ vere.

Komuna racio

  • Kvankam por mi «La Komuna Sento estas la malplej ofta el la sencoj», unue metu vin en Viajn Bezonojn kaj poste elektu la artan scenon laŭ tio, kion Vi bezonas esprimi kaj solvi laŭ Via Propra Skripto.
  • Ne uzu transkontinentan misilon por mortigi moskiton. Ne kompliku la vivon nenecese: komencu per la plej simpla solvo. Se vi ne solvas per tio, levu la kompleksecon unu punkton, ktp.

Ni instalu CentOS 7 kaj la Dnsmasq

Por la instalado de la baza sistemo nin gvidas la artikolo CentOS 7 Hipervizoro I kaj en la elekto de pakoj ni nur markas la opcion «Infrastruktura Servilo«. La ĝeneralaj parametroj, kiujn ni uzos en la preparado de ĉi tiu artikolo, estas jenaj:

FQDN-nomo de la virtuala maŝino: dns.fromlinux.fan
IP-adreso: 10.10.10.5

CentOS 7 instalas la aprioran dnsmasq

Jes Karaj Legantoj, en CentOS 7 la pakaĵo dnsmasq estas instalita dum la instalado de Infrastruktura Servilo kaj Mi supozas ol en aliaj ebloj ankaŭ.

[root @ dns ~] # yum info dnsmasq
Ŝarĝitaj kromprogramoj: fastestmirror, langpacks Ŝarĝante spegulajn rapidojn de kaŝmemora dosierujo Instalitaj pakoj Nomo: dnsmasq Arkitekturo: x86_64 Versio: 2.66 Eldono: 21.el7 Grandeco: 464 k
Deponejo: instalita
El deponejo: centos-base Resumo: Malpeza DHCP / kaŝmemora DNS-servila URL: http://www.thekelleys.org.uk/dnsmasq/ Permesilo: GPLv2 Priskribo: Dnsmasq estas malpeza, facile agordi DNS-plusendilon kaj DHCP: servilon. . Ĝi estas desegnita por provizi DNS kaj, laŭvole, DHCP, al: malgranda reto. Ĝi povas servi la nomojn de lokaj maŝinoj, kiuj estas: ne en la tutmonda DNS. La DHCP-servilo integriĝas kun la DNS: servilo kaj permesas aperi maŝinojn kun DHCP-asignitaj adresoj: en la DNS kun nomoj agorditaj aŭ en ĉiu gastiganto aŭ en: centra agorda dosiero. Dnsmasq subtenas statikan kaj dinamikan: DHCP-lizkontraktojn kaj BOOTP por reta startado de sendiskaj maŝinoj.

La versio de la dnsmasq instalita estas 2.66, kaj respondas al la versio de CentOS:

[root @ dns ~] # cat / proc / version
Linukso-versio 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc-versio 4.8.5 20150623 (ruĝa Ĉapelo 4.8.5-11) (GCC)) # 1 SMP Wed Jan 18 13:06:36 UTC 2017

Ni ebligu kaj agordu la dnsmasq

[root @ dns ~] # nano / ktp / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5 dns.fromlinux.fan dns

[root @ dns ~] # gastiganta nomo
dns
[root @ dns ~] # gastiganta nomo -f
dns.fromlinux.fan


[root @ dns ~] # systemctl ebligi dnsmasq
[root @ dns ~] # systemctl start dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-kaŝmemora servilo. Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dnsmasq.service; ebligita; vendita antaŭdifinita: malŝaltita) Aktiva: aktiva (kuranta) ekde Sab 2017-02-18 11:47:19 EST; Antaŭ 4 jaroj Ĉefa PID: 1179 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1179 / usr / sbin / dnsmasq -k 18 Feb 11:47:19 dns systemd [1]: Lanĉita DNS-kaŝmemora servilo .. Feb 18 11:47:19 dns systemd [1]: Ekfunkciigo de DNS-konservado de servilo .... 18 Feb 11:47:19 dns dnsmasq [1179]: startita, versio 2.66 kaŝmemoro 150 Feb 18 11:47:19 dns dnsmasq [1179 ]: kompili tempajn eblojn: IPv6 GNU-getopt DB ... th Feb 18 11:47:19 dns dnsmasq [1179]: reading /etc/resolv.conf 18 Feb 11:47:19 dns dnsmasq [1179]: ignorante nomservilon 127.0.0.1 - loka en ... ce Feb 18 11:47:19 dns dnsmasq [1179]: read / etc / hosts - 3 adresoj Konsilo: Iuj linioj estis elipsigitaj, uzu -l por montri komplete.

Ne forgesu la sekvan paŝon:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Fiksitaj IP-adresoj

Kun Dnsmasq, la adresoj de la serviloj aŭ komputiloj, kiuj bezonas fiksan IP-kaj IPv4 kaj IPv6- estas deklaritaj en la dosiero / ktp / gastigantoj:

[root @ dns ~] # nano / ktp / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 # Servers 10.10.10.1 sysadmin.desdelinux.fan sysadmin 10.10.10.3 ad-dc.desdelinux.fan ad-dc .fromlinux.fan dosierservilo 10.10.10.4 dns. fromlinux.fan dns 10.10.10.5 proxyweb.fromlinux.fan proxyweb 10.10.10.6 blog.desdelinux.fan blog 10.10.10.7 ftpserver.desdelinux.fan ftpserver 10.10.10.8 mail.desdelinux.fan mail

Ni kreu la dosieron /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ # ĜENERALAJ OPCIOJ # ----------------------------- -------------------------------------- domajno-bezonata # Ne pasigu nomojn sen la domajna parto bogus-priv # Ne transdoni adresojn en senrutigita spaco expand-hosts # Aŭtomate aldoni domajnon al gastiga interfaco = eth0 # Interfaco. ATENTU pri la Interfaco # krom-interfaco = eth1 # NE A listenskultu ĉi tiun NIC-striktan ordon # Ordo, en kiu vi konsultas la dosieron /etc/resolv.conf # Inkluzivas multajn pliajn agordajn opciojn # per dosiero aŭ trovante la agordajn # dosierojn aldona en dosierujo # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # Rilate al la Domajna Domajno = desdelinux.fan # Domajna nomo # La Tempa Servilo estas 10.10.10.1. 10.10.10.1 address = / time.windows.com / 7 # Sendas malplenan opcion de la valoro WPAD. Postulita por # Windos 252 kaj postaj klientoj konduti ĝuste. ;-) dhcp-option = 10.10.0.7, "\ n" # Dosiero, kie ni deklaros la Gastigantojn, kiuj estos "malpermesitaj" addn-hosts = / etc / banner_add_hosts # ----------------- -------------------------------------------------- # REGISTROSCNAMEMXTXT # ----------------------------------------------- -------------------- # Ĉi tiu tipo de registriĝo postulas eniron # en la dosiero / etc / hosts # ekz: 10 blog.desdelinux.fan blogo # cname = ALIAS, REAL_NAME cname = www.desdelinux.fan, blog.desdelinux.fan # MX RECORDS # Redonas MX-rekordon kun la nomo "desdelinux.fan" kun celloko # al la maŝino mail.desdelinux.fan kaj prioritato de 10 mx- gastiganto = desdelinux.fan, mail.desdelinux.fan, 1 # La defaŭlta celloko por kreitaj MX-rekordoj # uzante la lokan opcion estos: mx-target = mail.desdelinux.fan # Liveras MX-rekordon montrantan al mx- celo por ĈIUJ # lokaj maŝinoj localmx # TXT-registroj. Ni ankaŭ povas deklari SPF-registron txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "DesdeLinux, via Blogo dediĉita al Libera Programaro" -------------------------------------------------- -------- # ----------------------------------------- -------------------------- # GAMO KAJ UZOJ # --------------------- ---------------------------------------------- # IPv1 Range kaj Liza tempo # 29 ĝis 10.10.10.30,10.10.10.250,8 estas por Serviloj kaj aliaj bezonoj dhcp-range = XNUMXh

dhcp-lease-max = 222 # Maksimuma nombro de luigendaj adresoj
                        # defaŭlte estas 150
# IPV6 Range # dhcp-range = 1234 ::, ra-only # Options for RANGE # OPTIONS dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5 .15 # DNS-Serviloj dhcp-option = 19,1, de linux.fan # DNS Domajna Nomo dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.5 # NTP # dhcp-option = 4, DCH # NIS Domajna Nomo # dhcp-option = 44,10.10.10.5 # NIS-Servilo # EXTERNAL WINS SAMBA45,10.10.10.5 SERVER # # dhcp-option = 4 # WINS # dhcp-option = 46,8 # NetBIOS Datagrams # EXTERNAL SAMBA73,10.10.10.3 WINS SERVER # # dhcp-option = XNUMX # NetBIOS Node # dhcp-option = XNUMX # Fingra Servilo dhcp-aŭtoritata # Aŭtoritata DHCP en la subreto # - -------------------------------------------------- ---------------- # --------------------------------- ---------------------------------- # LOGGINGAL / var / log / messages # ------- -------------------------------------------------- ---------- protokolaj demandoj

# FINO de la dosiero /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Ni kontrolu la sintakson kaj rekomencu la servon

[root @ dns ~] # dnsmasq --test
dnsmasq: sintaksa kontrolo OK.
[root @ dns ~] # systemctl restart dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - DNS-kaŝmemora servilo. Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dnsmasq.service; ebligita; antaŭdifinita vendisto: malŝaltita) Aktiva: aktiva (funkcianta) ekde Sat 2017-02-18 12:48:05 EST; Antaŭ 5 jaroj Ĉefa PID: 1288 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1288 / usr / sbin / dnsmasq -k 18 Feb 12:48:05 dns systemd [1]: Lanĉita DNS-kaŝmemora servilo .. Feb 18 12:48:05 dns systemd [1]: Ekfunkciigo de DNS-konservado de servilo .... Feb 18 12:48:05 dns dnsmasq [1288]: startita, versio 2.66 kaŝmemoro 150 Feb 18 12:48:05 dns dnsmasq [1288 ]: kompili tempajn eblojn: IPv6 GNU-getopt DB ... th Feb 18 12:48:05 dns dnsmasq-dhcp [1288]: DHCP, IP-intervalo 10.10.10.30 - 10.10 .... h 18 Feb 12:48 : 05 dns dnsmasq [1288]: reading /etc/resolv.conf 18 Feb 12:48:05 dns dnsmasq [1288]: ignorante nomservilon 127.0.0.1 - lokan en ... ce 18 Feb 12:48:05 dns dnsmasq [ 1288]: legu / etc / hosts - 11 adresoj
Feb 18 12:48:05 dns dnsmasq [1288]: malsukcesis ŝarĝi nomojn de /etc/banner_ad...ry
Konsilo: Iuj linioj estis elipsigitaj, uzu -l por montri komplete.

Notu, ke en la antaŭa eligo la systemctl statuso dnsmasq redonas la eraron:

Feb 18 12:48:05 dns dnsmasq [1288]: malsukcesis ŝarĝi nomojn de /etc/banner_ad...ry

plendante, ke vi ne povas trovi la dosieron / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # systemctl rekomencu dnsmasq.service 
[root @ dns ~] # systemctl rekomencu dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service 
● dnsmasq.service - DNS-kaŝmemora servilo. Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dnsmasq.service; ebligita; vendita antaŭdifinita: malebligita) Aktiva: aktiva (funkcianta) ekde Sat 2017-02-18 12:54:26 EST; Antaŭ 7 jaroj Ĉefa PID: 1394 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1394 / usr / sbin / dnsmasq -k 18 Feb 12:54:26 dns systemd [1]: Lanĉita DNS-kaŝmemora servilo .. Feb 18 12:54:26 dns systemd [1]: Ekfunkciigo de DNS-konservado de servilo .... Feb 18 12:54:26 dns dnsmasq [1394]: startita, versio 2.66 kaŝmemoro 150 Feb 18 12:54:26 dns dnsmasq [1394 ]: kompili tempajn eblojn: IPv6 GNU-getopt DB ... th Feb 18 12:54:26 dns dnsmasq-dhcp [1394]: DHCP, IP-intervalo 10.10.10.30 - 10.10 .... h 18 Feb 12:54 : 26 dns dnsmasq [1394]: reading /etc/resolv.conf 18 Feb 12:54:26 dns dnsmasq [1394]: ignorante nomservilon 127.0.0.1 - lokan en ... ce Feb 18 12:54:26 dns dnsmasq [ 1394]: read / etc / hosts - 11 adresoj Feb 18 12:54:26 dns dnsmasq [1394]: read / etc / banner_add_hosts - 0 adresoj Konsilo: Iuj linioj estis elipsigitaj, uzu -l por montri komplete.

Kaj ni jam havas la DNS- kaj DHCP-servojn funkciantajn.

Grava

  • Se ni modifas la dosieron /etc/dnsmasq.conf, ni devas rekomenci la servon por ke la ŝanĝoj efektiviĝu.
  • Se ni modifas la dosieron / etc / hosts por forigi, modifi aŭ aldoni fiksan IP kun ĝia responda gastiga nomo, ni devas rekomenci la servon por ke la ŝanĝoj efektiviĝu..
  • systemctl reŝargi dnsmasq.service ne uzeblas kun ĉi tiu servo.

Ni malfermas la necesajn havenojn en la Firewall

En la artikolo de mia amiko kaj kolego Luigys Toro -alinome lacerto- "Kiel malfermi havenojn en Centos 7 Firewall»La procedo, kiun ni devas sekvi por malfermi la havenojn en la Firewall, kiun CentOS instalas defaŭlte, estas tre bone klarigita. Mi ankoraŭ ne scias kiel apliki la kuntekstajn regulojn de Selinux al la servo dnsmasq en CentOS. Se iu konas lin, bonvolu klerigi nin.

Dosieroj / etc / protocols y / etc / services Ili estas tre bona gvidilo por scii kiujn havenojn ni devas malfermi por ke la servoj DNS kaj DHCP provizitaj de Dnsmasq bone funkciu.

[root @ dns ~] # firewall-cmd --get-active-zones
publikaj interfacoj: eth0

Servo havaĵo Servilo de Domajna Nomo (dns). Protokolo swipe «IP kun Ĉifrado»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
sukceso

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
sukceso

Servo botoj o BOOTP-servilo (dhcp). Protokolo ippc «Interreta Pluribus-Paka Kerno»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
sukceso

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
sukceso

[root @ dns ~] # firewall-cmd --reload
sukceso

[root @ dns ~] # firewall-cmd --list-all
publika (aktiva) celo: defaŭlta icmp-block-inversion: neniuj interfacoj: eth0-fontoj: servoj: dhcpv6-client ssh-havenoj: 53 / udp 67 / tcp 53 / tcp 67 / udp-protokoloj: maskerado: neniu antaŭen-havenoj: fontportoj: icmp-blokoj: riĉaj reguloj:

Grava

  • Se ni provizos IPv6-adresajn lizajn servojn, ni ankaŭ devas malfermi havenojn dhcpv6-servilo 547 / tcp kaj dhcpv6-servilo 547 / udp.

Kontroloj

Ni kontrolu plurajn DNS-demandojn, kiel funkcias nia tute nova Dnsmasq. Por tio ni elektas la konatan teamon sysadmin.fromlinux.fan, kaj de tiu komputilo, kiu estas konektita al la LAN, ni plenumos plurajn demandojn, sed ne antaŭ ol kontroli, ke la dosiero estas ĝuste agordita /etc/resolv.conf:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generita de NetworkManager-serĉo de linux.fan nomservilo 10.10.10.5

Dosieraj agordoj /etc/resolv.conf ĝi estas ĝusta. Ni komencu la konsultojn

buzz @ sysadmin: ~ $ host dns
dns.desdelinux.fan havas adreson 10.10.10.5 Gastiganto dns.desdelinux.fan ne trovita: 5 (RIFUZITA) poŝto dns.desdelinux.fan estas pritraktita de 1 mail.desdelinux.fan.

Kun la proponita agordo, ni povas forĵeti la eliron de la komando gastiganto sen ebloj kiam temas pri Dnsmasq, kiam vi redonas liniojn kiel jene:

Gastiganto dns.desdelinux.fan ne trovita: 5 (RIFUZITA)

Se ni ne volas tian produktaĵon, ni devas uzi la komandon gastiganto kun ebloj -t A, -t CNAME, -t NS, -t SOA, -t SIG, -t AXFR. Vidu virgastiganto por pliaj informoj:

buzz @ sysadmin: ~ $ host -t Al dns.fromlinux.fan
dns.fromlinux.fan havas adreson 10.10.10.5

[root @ dns ~] # host -t To dns
dns.fromlinux.fan havas adreson 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ gastiganto 10.10.10.5
5.10.10.10.in-addr.arpa domajna montrilo dns.fromlinux.fan.

Dnsmasq ne estas destinita por mastro-sklavo

buzz @ sysadmin: ~ $ host -t AXFR de linux.fan
Provante "desdelinux.fan" Gastiganton desdelinux.fan ne trovitan: 5 (RIFUZITA); Translokigo malsukcesis.

Ĝi ankaŭ ne celas resendi NS kaj SOA-registrojn

buzz @ sysadmin: ~ $ host -t NS de linux.fan
Gastiganto de linux.fan ne trovita: 5 (RIFUZITA)

buzz @ sysadmin: ~ $ host -t SOA de linux.fan
Gastiganto de linux.fan ne trovita: 5 (RIFUZITA)

buzz @ sysadmin: ~ $ dig IN SOA de linux.fan
buzz @ sysadmin: ~ $ dig IN NS de linux.fan

Se ĝi subtenas registrojn MX, CNAME kaj TXT

buzz @ sysadmin: ~ $ gastiganto -t Al www
www.desdelinux.fan estas kaŝnomo por blog.desdelinux.fan. blog.desdelinux.fan havas adreson 10.10.10.7
buzz @ sysadmin: ~ $ host -t MX de linux.fan
desdelinux.fan-poŝto estas pritraktita per 10 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host -t CNAME www
www.desdelinux.fan estas kaŝnomo por blog.desdelinux.fan.

buzz @ sysadmin: ~ $ host -t To blog.fromlinux.fan
blog.desdelinux.fan havas adreson 10.10.10.7

buzz @ sysadmin: ~ $ host -t TXT de linux.fan
priskriba teksto desdelinux.fan "FromLinux, via Blogo dediĉita al Libera Programaro" priskriba teksto desdelinux.fan "v = spf1 a -all"

PTR registras enketojn

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa domajna nomo montrilo blog.desdelinux.fan.

buzz @ sysadmin: ~ $ gastiganto 10.10.10.7
7.10.10.10.in-addr.arpa domajna nomo montrilo blog.desdelinux.fan.

Klientoj Microsoft® Windows

Tre sana estas kuri sur servila konzolo dns.fromlinux.fan la ordono journalctl -f ANTAE ol ŝalti maŝinon, kiu funkciigas operaciumon Microsoft® Windows, por vidi la grandegan kvanton de DNS-demandoj, kiujn ĝi faras al diversaj retejoj. Ĝi vere tre amuzas. 😉

Se ni volas malhelpi demandojn rilate al iuj el ĉi tiuj retejoj vojaĝi al la serviloj Roots - Radikaj Serviloj aŭ al Transludantoj tion ni deklaras en la dosiero /etc/resolv.conf, ni povas bone uzi la dosieron / etc / banner_add_host, plenigante ĝin per tiom multaj retejoj, kiujn ni devas deklari. Ekzemplo:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: sintaksa kontrolo OK.

[root @ dns ~] # systemctl rekomencu dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

[root @ dns ~] # host -t Al spynet4.microsoft.com
spynet4.microsoft.com havas adreson 127.0.0.1

[root @ dns ~] # host -t Al www.download.windowsupdate.com
www.download.windowsupdate.com havas adreson 127.0.0.1
  • La formato de la dosiero / etc / banner_add_hosts estas la sama kiel la dosiero / etc / hosts. Memoru, ke la listo de "malpermesotaj" domajnoj povas esti tiel longa, kiel ni bezonas, laŭ tio, kio estas dirita en la sekcio LIMOJ de ĉi tiu artikolo.

Por kontroli de la kliento seven.fromlinux.fan kiu donis la IP-adreson:

buzz @ sysadmin: ~ $ host -t A seven
seven.desdelinux.fan havas adreson 10.10.10.115

ni plenumas la komandon en la Windows-kliento mem cmd:

Vindozo [Versio 6.1.7601]
Kopirajto (c) 2009 Microsoft Corporation. Ĉiuj rajtoj rezervitaj.

C: \ Uzantoj \ buzz> nslookup
Defaŭlta Servilo: dns.desdelinux.fan Adreso: 10.10.10.5> dns Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: dns.desdelinux.fan Adreso: 10.10.10.5> ftpserver Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: ftpserver.desdelinux.fan Adreso: 10.10.10.8> www Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: blog.desdelinux.fan Adreso: 10.10.10.7 Kaŝnomoj: www.desdelinux.fan> poŝto Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: mail.desdelinux.fan Adreso: 10.10.10.9> sysadmin Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: sysadmin.desdelinux.fan Adreso: 10.10.10.1 > www.download.windowsupdate.com Servilo: dns.desdelinux.fan Adreso: 10.10.10.5 Nomo: www.download.windowsupdate.com Adreso: 127.0.0.1> forlasu C: \ Users \ buzz>

Resumo

Ĝis nun ni vidis kelkajn ĉefajn ecojn de la Dnsmasq. Mi sugestas Legu kaj studu la dosierojn menciitajn en la unua paragrafo de ĉi tiu artikolo, se vi volas scii pli pri ĉi tiu grandioza -kaj surpriza- programo. Per ĝia uzo ni povas multe faciligi niajn vivojn.

Ĉirkaŭ 2014 mi legis la artikolon «Kiel: Samba4 AD PDC + Vindozo XP, Vista kaj 7«. La kreinto de la artikolo deklaras sen ruĝiĝo: «Mi malamas ligi, do estas dnsmasq savi»(Sic) kiu pli-malpli signifas«Mi malamas BIND, do Dnsmasq savas«. Por la memoro, tiu frazo ne estas dirita de mi.

Preterpase, mi komentos, ke en tiu artikolo la Aŭtoro ne klarigas la originon de iuj DNS-registroj kaj ĝenerale ne estas bona gvidilo efektivigi Active Directory® bazitan sur Samba 4. Se mi estis frapita de via fanatika prefero por la Dnsmasq.

Mi tute ne malamas BIND. Tion montras miaj kvar -4- antaŭaj artikoloj:

Kiel mi skribis en antaŭaj okazoj, preskaŭ neniam mi rekomendassed mi sugestas. En la kazo de Dnsmasq jes mi rekomendas ĝia uzo en SME-Retoj.

Sekva transdono

La sekva transdono -mi pensas, ke mi pensas- Mi dediĉos ĝin al la integriĝo de Dnsmasq kun Microsoft® Active Directory®. Ĝi estos bona enirpunkto por artikolo -tre- poste tio traktos kiel fari AD-DC kun Samba 4 kaj Dnsmasq.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

12 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Joan Hernandez diris

    Bonan matenon sovaĝa !!! Mi konfirmas ĉion, kion vi diras kaj vere, ke la ĝisnuna funkciado de tiu reto ne kaŭzas plendon. Mi ne plu estas administranto de tiu reto, ĉar vi scias la problemojn, kiujn mi havis ... sed dum mi respondecis pri tiu reto kaj ĝis nun, kiam mi komunikas kun la antaŭ ĝi, ne ekzistas kialo por plendi. Miaj plej bonaj spertoj kun ClearOS kaj DNSmasq.

  2.   federika diris

    Amiko Joan, Dankon pro via helpo por konfirmi tion, kion mi skribis pri la kompanio kun ClearOS.

  3.   ĉasisto diris

    Kio plej plaĉas al mi pri dnsmasq estas kiom multflanka ĝi povas esti, en unu dosiero vi agordas DNS kaj DHCP. Pri agado mi havas neniujn plendojn, antaŭ iom da tempo mi malŝaltis servilon 2003R2, kiu funkciis kiel DC, pluraj Linuksaj klientoj de malproksimaj municipoj estis "pendigitaj" kaj ĉar mi ne havis manieron modifi iliajn DNS-preferojn, mi faris estis levi Jessie kun tiu IP kaj dnsmasq kaŝi la novan DNS, ĉio bone.
    Tre bona artikolo Fico, miajn salutojn.

    1.    federika diris

      Kion vi pensas pri la konservativa limo servi ĝis 1000 komputiloj? Mi havas la eblon kontroli la datumojn kun amiko dediĉita al ofertado de servoj de «Kaptita» retejo per WiFi, kaj lastatempe donis la servon -kun BIND + Isc-dhcp- al pli ol 1000 poŝtelefonoj ĉe la teatro Karl Marx. Li dungis min por fari lin servilo kun la plej malalta ebla konsumado de rimedoj, por tiu laboro.

      1.    ĉasisto diris

        Devus esti klare, ke ĉi tiuj tiel nomataj "limoj" estis mezuritaj antaŭ kelkaj jaroj kaj kun aparataro tre sub la nuna normo, kaj la dnsmasq kaj la klientoj multe evoluis, mi tute certas, ke ĝi tenos la ŝarĝon de ĉi tiuj uzantoj. Ĉiam dokumentu kaj bloku la mil kaj unu demandojn, kiujn Android provas telefoni hejmen, hehe. Saluton

  4.   federika diris

    Mi tre serioze traktos viajn konsilojn, ĉasisto. Redankon

  5.   IWO diris

    Kiel ofte en ĉi tiu serio de PYMoj, ĉi tiu afiŝo pri "DNSMASQ" estas alia bonega artikolo, kiun la aŭtoro donas al administrantoj por disvolvi nin teicallynike kaj teorie.
    En mia persona kazo mi malklare sciis pri dnsmasq, ĉar mi prioritatis DNS (Bind) kaj DHCP kiel du sendependajn servojn. Por mi ĝi estas GRANDA! La dnsmasq-aĵo permesi agordi ambaŭ en unu sola servo (per la dosiero /etc/dnsmasq.conf).
    Bonege! tio kapablas subteni almenaŭ 1,000 klientojn per DNS kaj DHCP sen influi ĝian rendimenton.
    Ankaŭ tre bona estas la KONSILO pri kiel eviti demandojn rilate al Radikaj Serviloj aŭ Ekspedistoj uzante la dosieron / etc / banner_add_host kie ni enmetas la "N" retejojn, kiujn ni devas deklari kvazaŭ ili estus "lokaj gastigantoj".
    Fine kaj kiel estis ofta ĉe la aŭtoro per sia sekcio "Sekva transdono", li nun planas liveri alian juvelon "la integriĝo de Dnsmasq kun Microsoft® Active Directory®".
    Nu, ni jam antaŭĝojas pri ĝi.

  6.   Zodiac diris

    Mi estis okupata kaj ne povis sekvi viajn artikolojn. Mi maltrafis iujn. Ĉiu nova via verkado estas agrabla surprizo, kiu enhavas novajn instruojn. Daŭrigu ĝin, amiko Fico

  7.   krespo88 diris

    Dnsmasq, mi atestas ĝian funkciadon ĉiutage, ĝi estas la plej bona. Mi ĉiam diris al vi kaj insistis pri la integriĝo de bind9 kaj la isc-dhcp-servilo (solvo, kiun mi multe ŝatas, ĉar provante tiom multajn fojojn, mi lernis kaj vidis kaj akiris tion, kion malmulton mi scias pri dns kaj dhcp, VIIII, mi povis vidi, kion Microsoft ne lasas vin observi, kion ili ne volas, ke vi lernu kaj tenu vin en malluma kaj ŝlosita ĉambro, ili vere estas servoj pri kiuj oni parolis kvazaŭ monstroj kaj ili estas bonaj homoj, vi povas trakti kun ili la veron), kaj dankon Por tio vi estis devigita plibonigi vin eĉ pli, fakte ni jam vidas ĉiujn rezultojn de ĉi tiu penado kaj ni dankas vin pro la kvalito de viaj afiŝoj.
    Ĉi tiu precipe estas bonega, mi ne prenas krediton de la resto, kompreneble NE, EĈ NE PENSAS pri ĝi; sed pro vi mi renkontis mian amikon dnsmasq kaj la reto de mia Loĝejo vivas pli ol feliĉe renkonti nian novan kolegon kreitan de Simon Kelley. Dankon al li ankaŭ.

  8.   federika diris

    IWO: Vi ne longe atendos la sekvan afiŝon. Mi ankoraŭ ne finis ĝin, ĉar mi tre okupiĝas pri mia ĉiutaga laboro. La tempo ... Sed certe vi havos ĝin por la venonta semajno.

  9.   federika diris

    Crespo88: Mi ne povas aldoni ion alian al via kompleta komento. Kaj al mi jam mankas tempo, ĉar je la 7a horo mankas al mi navigado 😉
    Dankon!.

  10.   cesareli diris

    Saluton, FICO. Tre bona artikolo.
    Mi ŝatus scii kiel efektivigi dnsmasq sur baremetalo (HP Proliant gen 8) gastiganta KVM-virtualajn maŝinojn.
    Ĉu la dnsmasq-agordo devas esti farita ĉe la gastiganto aŭ en unu el la VM-oj, kiuj funkcias kiel dnsmasq-servilo?
    Mi estas en malordo.
    Salutojn.