Ĉefa Majstra DNS por LAN ĉe Debian 6.0 (III)

Estas grandega peno redukti en 5 malgrandaj artikoloj la Antaŭan Scion, la Instaladon, la Agordon kaj la Kreadon de la Zonoj kaj Kontroloj de BIND, tiel ke ĝi povas esti komprenata de la plej granda nombro da legantoj, kio estas nia fundamenta celo.

Tiuj, kiuj havis la paciencon atente legi la Unua y 2da parto de ĉi tiu artikolo, ili pretas daŭrigi la agordon kaj agordon de Domajna Servilo por LAN.

Por la Nova, kaj tiuj, kiuj ne tre klaras pri la tre resumitaj konceptoj donitaj en la antaŭaj partoj, ni rekomendas al vi legi kaj studi ilin antaŭ ol daŭrigi. Kutimaj Suspektatoj de Malespero! reen se vi ne legis atente.

Ni vidos sube:

  • Ĉefaj datumoj de LAN
  • Minimumaj gastigaj agordoj
  • Modifoj al la dosiero /etc/resolv.conf
  • Modifoj al la dosiero /etc/bind/named.conf
  • Modifoj al la dosiero /etc/bind/named.conf.option
  • Modifoj al la dosiero /etc/bind/named.conf.local

 Ĉefaj datumoj de LAN

LAN Domajna Nomo: amigos.cu LAN Subreto: 192.168.10.0/255.255.255.0 BIND Servila IP: 192.168.10.10 Servilo NetBIOS Nomo: ns

Kvankam estas evidente, memoru ŝanĝi la antaŭajn datumojn por via propra.

Minimumaj gastigaj agordoj

Estas tre grave havi la dosierojn ĝuste agorditaj / etc / network / interfaces y/ ktp / gastigantoj por akiri bonan DNS-rendimenton. Se ĉiuj datumoj estis deklaritaj dum instalado, neniu modifo necesos. La enhavo de ĉiu el ili devas esti la sekva:

# enhavo de la dosiero / etc / network / interfaces # Ĉi tiu dosiero priskribas la retajn interfacojn haveblajn en via sistemo # kaj kiel aktivigi ilin. Por pliaj informoj, vidu interfacojn (5). # La bukla retinterfaco aŭtomate lo iface lo inet loopback # La ĉefa retinterfaco allow-hotplug eth0 iface eth0 inet statika adreso 192.168.10.10 retmasko 255.255.255.0 reto 192.168.10.0 elsendo 192.168.10.255 enirejo 192.168.10.2 efektivigita de la pako resolvconf, se instalita dns-nameservers 192.168.10.10 dns-search amigos.cu # enhavo de / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # La jenaj linioj estas dezirindaj por IPv6 kapablaj gastigantoj :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Modifoj al la dosiero /etc/resolv.conf

Por ke niaj demandoj kaj kontroloj funkciu ĝuste, necesas deklari en la loka agordo de la gastiganto, kiu estos nia serĉregiono kaj kiu estos nia loka DNS. Sen la supraj parametroj minimume, iu DNS-konsulto malsukcesos. Kaj ĉi tio estas eraro, kiun multaj komencantoj faras. Do ni redaktu la dosieron /etc/resolv.conf kaj ni lasas ĝin kun la jena enhavo:

# enhavo de /etc/resolv.conf serĉo friends.cu nomservilo 192.168.10.10

Sur la komputilo, kie ni havas la DNS-servilon instalita, ni povas skribi:

serĉu amikojn.cu nomservilo 127.0.0.1

En la supra enhavo, la deklaro nomservilo 127.0.0.1, indikas, ke enketoj estos faritaj al localhost.

Post kiam nia BIND ĝuste agordas, ni povas fari ajnan DNS-demandon de nia gastiganto, ĉu la servilo mem ligi9 aŭ alia konektita al la reto kaj kiu apartenas al la sama subreto kaj havas la saman retan maskon. Por lerni pli pri la dosiero, rulu viro resolv.conf.

Modifoj al la dosiero /etc/bind/named.conf

Limigi demandojn al nia BIND por ke ili nur respondu al nia subreto kaj malhelpu atakon Dispremado, ni deklaras en la dosiero nomita.konf la Alirkontrola Listo aŭ ACL (Alira Kontrola Listo) kaj ni nomas ĝin mired. La dosieronomita.konf devus esti jene:

// /etc/bind/named.conf // Ĉi tiu estas la ĉefa agorda dosiero por la BIND-DNS-servilo nomita. // // Bonvolu legi /usr/share/doc/bind9/README.Debian.gz por informoj pri la // strukturo de BIND-agordaj dosieroj en Debian, * ANTAE * vi agordigas // ĉi tiun agordan dosieron. // // Se vi nur aldonas zonojn, bonvolu fari tion en /etc/bind/named.conf.local // // La komentoj en la hispana estas niaj // Ni lasas la originalojn en la angla // ATENTU kopii kaj gluu // NE Lasu malplenajn spacojn ĉe la fino de ĉiu linio // // Alirkontrola Listo: // Permesos demandojn de la loka domajno kaj de nia subreto // En la dosiero inkluzivita named.conf.options ni aludos ĝin . acl mired {127.0.0.0/8; 192.168.10.0/24; }; inkluzivi "/etc/bind/named.conf.options"; inkluzivi "/etc/bind/named.conf.local"; inkluzivi "/etc/bind/named.conf.default-zones"; // fino de dosiero /etc/bind/named.conf

Ni kontrolu la BIND-agordon ĝis nun kaj rekomencu la servon:

named-checkconf -z service bind9 restart

Modifoj al la dosiero /etc/bind/named.conf.options

En la unua sekcio "opcioj"Ni nur deklaros la Transludantoj, kaj kiuj estos tiuj, kiuj povos konsulti nian BIND. Tiam ni deklaras la Ŝlosilon aŭ ŝlosilo per kiu ni povas kontroli la ligi9, kaj fine de kiu gastiganto ni povas regi ĝin. Por scii, kiu estas la ŝlosilo aŭ ŝlosilo, ni devas fari kato /etc/bind/rndc.key. Ni kopias la eliron kaj gluas ĝin en la dosieron nomita.konf.opcioj. Al la fino, nia dosiero aspektas tiel:

// /etc/bind/named.conf.options-opcioj {// ATENTU KOPI KAJ ALPIKI, BONVOLU ... // Defaŭlta dosierujo por lokalizi niajn dosierujojn "/ var / cache / bind"; // Se estas fajroŝirmilo inter vi kaj nomserviloj kun kiuj vi volas // paroli, vi eble devos ripari la fajromuron por permesi al pluraj // havenoj paroli. Vidu http://www.kb.cert.org/vuls/id/800113 // Se via ISP provizis unu aŭ plurajn IP-adresojn por stabilaj // nomserviloj, vi probable volas uzi ilin kiel plusendilojn. // Malkomentigu la sekvan blokon, kaj enmetu la adresojn anstataŭigante // la anstataŭilon de ĉiuj 0. // plusendantoj {// 0.0.0.0; // 0.0.0.0; //} // La Ekspedistoj. Mi ne havas pli bonan tradukon // La adresoj estas de la serviloj ceniai.net.cu // Se ĝi NE havas interretan aliron, NE necesas // deklari ilin, krom se vi havas pli kompleksan LAN // kun DNS-serviloj, kiuj funkcias kiel Forwarders. ekster // de la IP-adresaro de via subreto. Tiuokaze // vi devas deklari la IP (j) n de tiuj serviloj. // Demandoj pri ekspedistoj estas Kaskado. plusendantoj {169.158.128.136; 169.158.128.88; }; // En bone agordita LAN, ĈIUJ DNS-demandoj // estu faritaj al la loka DNS-servilo sur tiu LAN, // NE al serviloj ekster la LAN. // Precipe kiam vi havas interretan aliron, // ĉu Nacia aŭ Internacia. Por tio // ni deklaras la Forwarders-aŭt-domajnon ne; # konformi al RFC1035 aŭskultu-v6 {any; }; // Protekti kontraŭ falsa permeso-demando {enŝovita; }; }; // Enhavo de la dosiero / etc / bind / rndc-key // akirita per cat / etc / bind / rndc-key // Memoru ŝanĝi ĝin se ni regeneras la ŝlosilon "rndc-key" {algoritmo hmac-md5; sekreta "dlOFESXTp2wYLa86vQNU6w =="; }; // De kiu gastiganto ni kontrolos kaj per kiuj ŝlosilaj kontroloj {inet 127.0.0.1 permesas {localhost; } klavoj {rndc-klavo; }; }; // fina dosiero /etc/bind/named.conf.options

Ni kontrolu la BIND-agordon ĝis nun kaj rekomencu la servon:

named-checkconf -z service bind9 restart

Ni decidis inkluzivi kiel // Komentoj la fundamentaj aspektoj, kiuj povas servi kiel referenco por estontaj konsultoj.

La fakto deklari la plusendojn, konvertas nian BIND-lokan servilon en Caché-servilon, konservante sian Ĉefan Majstran funkcion. Kiam ni petas gastiganton aŭ eksteran domajnon, la respondo -se ĝi estas pozitiva- estos konservita en sia kaŝmemoro, tiel ke kiam ni denove petos ĝin por la sama gastiganto aŭ por la sama ekstera domajno, ni ricevos rapidan respondon ne konsultante reen al eksteraj DNS-oj.

Modifoj al la dosiero /etc/bind/named.conf.local

En ĉi tiu dosiero ni deklaras la lokajn zonojn de nia domajno. Ni devas inkluzivi la Antaŭan kaj Inversan Zonojn kiel minimumon. Memoru tion en la agorda dosiero/etc/bind/named.conf.options Ni deklaras, en kiu dosierujo ni gastigos la dosierojn Zones per la dosierujo. Al la fino, la dosiero devas esti jena:

// /etc/bind/named.conf.local // // Faru iun ajn lokan agordon ĉi tie // // Konsideru aldoni la 1918-zonojn ĉi tie, se ili ne estas uzataj en via // organizo // include "/ etc / bind /zonoj.rfc1918 "; // La nomoj de la dosieroj en ĉiu zono plaĉas al // konsumanto. Ni elektis amigos.cu.hosts // kaj 192.168.10.rev ĉar ili donas al ni klarecon pri sia // enhavo. Ne plu estas mistero // // La Nomoj de la Zonoj NE ARBITRAS // kaj respondos al la nomo de nia domajno // kaj al la LAN-subreto // Ĉefa Majstra Zono: tajpu "Rekta" zono "amigos.cu" { tipmajstro; dosiero "amigos.cu.hosts"; }; // Majstra Ĉefa Zono: tajpu "Inversa" zono "10.168.192.in-addr.arpa" {tajpu majstron; dosiero "192.168.10.rev"; }; // Fino de named.conf.local-dosiero

Por kontroli la BIND-agordon ĝis nun:

named-checkconf -z

La antaŭa komando redonos eraron ĝis la zonaj dosieroj ne ekzistas. La ĉefa afero estas, ke ĝi avertas nin, ke la Zonoj deklaritaj en named.conf.local ne estos ŝarĝitaj, ĉar la DNS-dosieroj simple ne ekzistas, kio validas nuntempe. Ni povas pluiri.

Ni rekomencu la servon, por ke oni konsideru la ŝanĝojn:

servo bind9 rekomencu

Ĉar ni ne volas fari ĉiun afiŝon tre longa, ni traktos la problemon krei la dosierojn de Lokaj Zonoj en la sekva 4a parto. Ĝis tiam amikoj!


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

7 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   st0rmt4il diris

    Dankon viro!

    Hodiaŭ malfacilas vidi afiŝojn de ĉi tiu kvalito en la interreto!

    Dankon!

    1.    phico diris

      Koran dankon pro via komento .. Estas plezuro legi tiajn aferojn .. 😉

  2.   dasht0 diris

    Bonega artikolo!
    Dankon, Elav, KZ, ĉiuokaze ... De Linukso por ekzisti

    Kolektive aldonaĵo povus esti efektivigita, kiu permesas elŝuti la artikolojn kiel pdf (HumanOS-stilo)
    salutoj
    Dasht

    1.    federika diris

      Dankon al ĉiuj pro viaj komentoj. Ni lernas ĈIUJN.
      La elŝuto de la artikoloj en PDF ne inkluzivas la komentojn de amikoj kaj kolegoj, kiuj kompletigas la afiŝon kaj estas tre utilaj. Doni Gvidilon sen komentoj estas praktike neeble pro la amplekso de la temo. UNIX / Linukso estas ege vasta por forigi ĉies spertojn.

      1.    dasht0 diris

        Bonegaj artikoloj!
        Estas klare, ke la komentoj kompletigas la informojn de la artikoloj, ili eĉ sugestas aferojn, kiuj povas resti aŭ aldoneblaj, sed mi subtenas mian ideon, ke estus ideale se la artikolo povus esti konservita kiel pdf, almenaŭ por mi
        Brakumon el Kubo kaj daŭre antaŭĝojas pri ĝi

  3.   elpapineo diris

    Kurado:
    named-checkconf -z
    Mi sentas kiel:
    /etc/bind/named.conf.options:30: nekonata opcio 'kontrolas'

    1.    elpapineo diris

      Mi respondas al mi mem: vi devas meti la kontrolan sekcion ekster la elekta sekcio.

      Mi ankaŭ ŝatus kontribui ion: se anstataŭ kopii kaj alglui la dosieron named.conf.options

      ŝlosilo "rndc-ŝlosilo" {
      algoritmo hmac-md5;
      sekreta "dlOFESXTp2wYLa86vQNU6w ==";
      };

      Ni faras:

      inkluzivi "/etc/bind/rndc.key";

      en named.conf-dosiero mi pensas, ke ĝi ankaŭ funkcias.

      Salutojn.