Ĉefa Majstra DNS por LAN ĉe Debian 6.0 (V) kaj fina

Tiuj, kiuj sekvis la Unua2daUnua y 4a Parto de ĉi tiu artikolo kaj la enketoj al ilia BIND donis kontentigajn rezultojn, ili jam estas spertuloj pri la temo. :-) Kaj sen plue ni eniru en la lastan parton:

  • Kreo de la dosiero "Inversa" Ĉefa Majstra Zono 10.168.192.in-addr.arpa
  • Problemoj
  • Resumo

Kreo de la dosiero "Inversa" Ĉefa Majstra Zono 10.168.192.in-addr.arpa

La nomo de la regiono alportas ilin al vi, ĉu ne? Kaj estas, ke la Inversaj Zonoj devigas havi ĝustan nomrezolucion laŭ interretaj normoj. Ni havas neniun elekton krom krei tiun, kiu respondas al nia domajno. Por tio ni uzas kiel ŝablonon la dosieron /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

Ni redaktas la dosieron /var/cache/bind/192.168.10.rev kaj ni lasas ĝin tiel:

; /var/cache/bind/192.168.10.rev; ; BIND-inversa datuma dosiero por majstra zono 10.168.192.in-addr.arpa; BIND-datumaj dosieroj por Master Zone (Reverso) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. radiko.amigos.cu. (2; Seria 604800; Refreŝigu 86400; Ripetu 2419200; Eksvalidiĝu 604800); Negativa Kaŝmemoro TTL; @ IN NS ns. 10 EN PTR ns.amigos.cu. 1 EN PTR gandalf.amigos.cu. 9 EN PTR mail.amigos.cu. 20 EN PTR web.amigos.cu. 100 EN PTR fedex.amigos.cu. ; ni ankaŭ povas skribi la plenan IP-adreson. Ekz :; 192.168.10.1 EN PTR gandalf.amigos.cu.
  • Observu, kiel ĉi-kaze ni lasis la tempojn en sekundoj, ĉar ĝi estas kreita defaŭlte kiam la ligi9. Ĝi funkcias same. Ili estas samaj tempoj kiel tiuj indikitaj en la dosiero amikoj.cu.host. Kiam vi dubas, kontrolu.
  • Notu ankaŭ, ke ni nur deklaras la inversajn registrojn de gastigantoj, kiuj havas asignitan aŭ "realan" IP sur nia LAN, kaj kiu unike identigas ĝin.
  • Memoru ĝisdatigi la dosieron de Inversa Zono kun ĈIUJ la ĝustaj IP-adresoj deklaritaj en la Rekta Zono.
  • Memoru pliigi la Zona Seria Numero ĉiufoje kiam ili modifas la dosieron kaj antaŭ rekomenci la BIND.

Ni kontrolu la nove kreitan zonon:

named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

Ni kontrolas la agordon:

named-checkconf -z named-checkconf -p

Se ĉio funkciis, ni rekomencas la servon:

servo bind9 rekomencu

Ekde nun, ĉiufoje kiam ni modifas la zondosierojn, ni nur devas ekzekuti:

rndc reŝargi

Por tio ni deklaras la ŝlosilon /etc/bind/named.conf.options, ne?

Problemoj

Tre grava estas la ĝusta enhavo de la dosiero /etc/resolv.conf kiel ni vidis en la antaŭa ĉapitro. Memoru indiki en ĝi almenaŭ jenon:

serĉu amikojn.cu nomservilo 192.168.10.20

Komando fosi de la pakaĵo dnsutils. Sur konzolo, tajpu la komandojn antaŭitajn de #:

# dig -x 127.0.0.1 ..... ;; RESPONDA SEKCIO: 1.0.0.127.in-addr.arpa. 604800 EN PTR loka gastiganto. .... # dig -x 192.168.10.9 .... ;; RESPONDA SEKCIO: 9.10.168.192.in-addr.arpa. 604800 EN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu havas adreson 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu havas adreson 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalfo ;; tutmondaj opcioj: + cmd ;; konekto eksvalidiĝis; neniuj serviloj estis atingeblaj # dig gandalf.amigos.cu .... ;; RESPONDA SEKCIO: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Se ili havas aliron al la kuba aŭ tutmonda interreto, kaj la ekspedistoj estas ĝuste deklaritaj provu: # dig debian.org .... ;; DEMANDA SEKCIO :; debian.org. EN ;; RESPONDA SEKCIO: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # gastiganto bohemia.cu bohemia.cu havas adreson 190.6.81.130 # gastiganto yahoo.es yahoo.es havas adreson 77.238.178.122 yahoo.es havas adreson 87.248.120.148 yahoo.es poŝto estas pritraktita de 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; RESPONDA SEKCIO: 122.178.238.77.in-addr.arpa. 429 EN PTR w2.rc.vip.ird.yahoo.com.

... Kaj ĝenerale kun aliaj domajnoj ekster nia LAN. Konsultu kaj eksciu pri interesaj aferoj en la interreto.

Unu el la plej bonaj manieroj kontroli la rendimenton de servilo ligi9, kaj ĝenerale pri iu ajn alia instalita servo, legas la rezulton de la Sistemaj Registraj Mesaĝoj uzante la komandon vosto -f / var / log / syslog kuri kiel uzantoradikon.

Estas tre interese vidi la rezulton de tiu komando kiam ni demandas nian lokan BIND pri ekstera domajno aŭ gastiganto. En tiu kazo, pluraj scenaroj povas esti prezentitaj:

  • Se ni ne havas aliron al la interreto, nia konsulto malsukcesos.
  • Se ni havas aliron al la interreto kaj ni NE deklaris plusendantojn, ni plej verŝajne ne ricevos respondon.
  • Se ni havas aliron al la interreto kaj ni deklaris la ekspedistojn, ni ricevos respondon, ĉar ili respondecos konsulti la DNS-servilon aŭ servilojn necesajn.

Se ni laboras pri a LAN Fermita en kiu iel maleblas iri eksteren kaj ni ne havas iajn plusendilojn, ni povas forigi la serĉmesaĝojn de la Radikaj Serviloj "Malplenigante" la dosieron /etc/bind/db.root. Por fari tion, ni unue konservas la dosieron kun alia nomo kaj poste forigas ĝian tutan enhavon. Poste ni kontrolas la agordon kaj rekomencas la servon:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart

Resumo

Ĝis nun, homoj, eta enkonduko al la DNS-servo. Kion ni faris ĝis nun povas servi al ni perfekte por nia malgranda komerco. Ankaŭ por la domo, se ni kreas virtualajn maŝinojn kun malsamaj operaciumoj kaj malsamaj IP-adresoj, kaj ni ne volas raporti al ili per IP sed per nomo. Mi ĉiam instalas BIND sur mia hejma gastiganto por instali, agordi kaj testi servojn, kiuj forte dependas de DNS-servo. Mi multe uzas komputilajn komputilojn kaj virtualajn servilojn, kaj mi ne ŝatas konservi dosieron / ktp / gastigantoj sur ĉiu el la maŝinoj. Mi tro malpravas.

Se vi neniam instalis kaj agordis BIND, bonvolu ne senkuraĝiĝi se io fiaskas dum la unua provo kaj vi devas rekomenci. Ni ĉiam rekomendas en ĉi tiuj kazoj komenci per pura instalado. Indas provi!

Por tiuj, kiuj bezonas altan haveblecon en la nomo-rezolucia servo, atingebla per agordo de Sekundara Majstra servilo, ni rekomendas, ke vi daŭrigu kun ni dum la sekva aventuro: Malĉefa Majstra DNS por LAN.

Gratulon al tiuj, kiuj sekvis ĉiujn artikolojn kaj akiris la atenditajn rezultojn!


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

11 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   st0rmt4il diris

    Finfine! .. la fina afiŝo: D!

    Dankon pro dividado de mia amiko!

    Dankon!

  2.   Rafaelo Hernandez diris

    Tre interesa, viaj artikoloj, mi havas aŭtoritatan DNS muntitan sur freeBSD por domajno .edu.mx, ĝis nun ĝi funkciis perfekte por mi, sed en la lasta monato mi detektis plurajn atakojn al la servilo, kio estus la defendaj metodoj por ĉu elmontrita DNS? kaj mi ne scias, ĉu ĝi povas esti, ĉu la mastro estas eksponita al interreto kaj sekundara, kiu servas malgrandan lan de ĉirkaŭ 60 komputiloj, ambaŭ DNS interkonektitaj, aŭ por povi difini du zonojn, unu internan kaj unu eksteran, dankon en la mastro

  3.   PIKKORO diris

    La pakaĵo squeeze bind9 havas problemon funkcianta kun sambo, versio 9.8.4 jam haveblas en la backports-branĉo de squeeze, la wheeze-versio ne havas ĉi tiun problemon, ĉar lenny venenux.net reenportas la pakaĵon.

    Tre bona artikolo.

    Ĉi tiu estas la sola artikolo, kiu faras ĉion bone klarigitan ..

    Notindas, ke la acl por spofing ne funkcias, ĉar same kiel ĝi estos injektita de la interna reto, la solvo estus nei la alidirektilojn por la klientoj, kaj krei kompleksan ACL, kiu malebligas reasignon de nomoj (io simila al statikaj dns)

    SPECIALA KONSILO:

    Estus bona kroma agordo pri kiel fari la filtrilon de enhavo anstataŭ la fajroŝirmilo

    1.    Federico Antonio Valdes Toujague diris

      Dankon pro komento @PICCORO !!!.
      Mi deklaras komence de ĉiuj miaj artikoloj, ke mi ne konsideras min specialisto. Multe malpli pri la DNS-afero. Ĉi tie ni ĉiuj lernas. Mi konsideros viajn rekomendojn dum instalado de DNS frontanta interreton kaj ne por normala kaj simpla LAN.

  4.   Frank davila diris

    EXCELLENT TUTORIAL !!! Ĝi estis bonega helpo al mi, ĉar mi ĵus komencis ĉi tiun vicon de serviloj, ĉio funkciis bone. Dankon kaj daŭre afiŝu tiajn bonegajn lernilojn !!!

  5.   Jesuo Fenández Toledo diris

    Fico, denove mi gratulas vin pro ĉi tiu bonega materialo.

    Mi ne estas spertulo pri BIND9, pardonu min se mi eraras pri la komento, sed mi pensas, ke vi ne difinis la zonon por inversaj serĉoj en la named.conf.local dosiero

    1.    elav diris

      Domaĝe, ke Fico ne povas respondi al vi nun.

      1.    Federico Antonio Valdes Toujague diris

        Saluton kaj Dankon, Elav, kaj jen mi respondas. Kiel ĉiam, mi rekomendas al vi legi malrapide ... 🙂

    2.    Federico Antonio Valdes Toujague diris

      En la afiŝo: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      Mi skribas la jenon:
      Modifoj al la dosiero /etc/bind/named.conf.local

      En ĉi tiu dosiero ni deklaras la lokajn zonojn de nia domajno. Ni devas inkluzivi la Antaŭan kaj Inversan Zonojn kiel minimumon. Memoru, ke en la agorda dosiero /etc/bind/named.conf.options ni deklaras, en kiu dosierujo ni gastigos la dosierojn Zones per la dosierujo. Al la fino, la dosiero devas esti jena:

      // /etc/bind/named.conf.local
      //
      // Faru iun ajn lokan agordon ĉi tie
      //
      // Konsideru aldoni la 1918-zonojn ĉi tie, se ili ne estas uzataj en via
      // organizo
      // inkluzivi "/etc/bind/zones.rfc1918";
      // La nomoj de la dosieroj en ĉiu zono estas a
      // gusto de konsumanto. Ni elektis friends.cu.hosts
      // kaj 192.168.10.rev ĉar ili donas al ni klarecon pri ili
      // enhavo. Ne plu estas mistero 😉
      //
      // La Nomoj de la Zonoj NE ESTAS ARBITRA
      // kaj ili respondos al la nomo de nia domajno
      // kaj al la LAN-subreto
      // Majstra Ĉefa Zono: «Rekta» tipo
      zono «amigos.cu» {
      tipmajstro;
      dosiero "amigos.cu.hosts";
      };
      // Majstra Ĉefa Zono: «Inversa» tipo
      zono "10.168.192.in-addr.arpa" {
      tipmajstro;
      dosiero "192.168.10.rev";
      };
      // Fino de named.conf.local-dosiero

  6.   Fabian Valery diris

    Bone, tre interesa via afiŝo pri dns, ili helpis min komenci la temon, dankon. Mi klarigas, ke mi estas novulo ĉi-rilate. Sed legante viajn publikigitajn informojn, mi konstatis, ke ĝi funkcias kun fiksaj adresoj en la gastigantoj de interna reto. Mia demando estas, kiel vi farus kun interna reto kun dinamikaj IP-adresoj, atribuita de dhcp-servilo, por krei la dosierojn de la ĉefa majstra zono de tipo "rekta" kaj "inversa"?

    Mi dankos pro la lumo, kiun vi povas doni pri la levita afero. Dankon. Fv

    1.    Federico A. Valdes Toujague diris

      Dankon pro komento, @fabian. Vi povas konsulti la jenajn artikolojn, kiuj mi esperas helpos vin efektivigi reton kun dinamikaj adresoj:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      salutoj