Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto
Hei ystävät!. Parin edellisen artikkelin jälkeen Domain Name System ja Dynamic Host Configuration Protocol julkaistu "DNS ja DHCP openSUSE 13.2 'Harlekiinissa"" ja "DNS ja DHCP CentOS 7: ssä«, Molemmat sarjasta Pk-yritykset, meidän on määritettävä nämä palvelut Debianissa.
Toistamme, että hyvä lähtökohta oppia DNS: n ja DHCP: n teoreettisista käsitteistä on Wikipedia.
Käyttöjärjestelmän asentaminen
Aloitamme Debian 8 "Jessie" -käyttöjärjestelmän palvelimen perusasennuksesta asentamatta mitään graafista ympäristöä tai muuta ohjelmaa. Virtuaalikone, jossa on 512 megatavua RAM-muistia ja 20 gigatavun kiintolevy, on enemmän kuin tarpeeksi.
Asennusprosessin aikana - mieluiten tekstitilassa - ja seuraavassa järjestyksessä näytöt valitsimme seuraavat parametrit:
- Kieli: Espanja - espanja
- Maa, alue tai alue: USA
- Avainkartta käytettäväksi: Amerikan englanti
- Määritä verkko manuaalisesti:
- IP-osoite: 192.168.10.5
- Verkkonaamio: 255.255.255.0
- Yhdyskäytävä: 192.168.10.1
- Nimipalvelimen osoitteet: 127.0.0.1
- Koneen nimi: dns
- Verkkotunnus: desdelinux.tuuletin
- Pääkäyttäjän salasana: SuClave (kysy sitten vahvistusta)
- Uuden käyttäjän koko nimi: Debianin ensimmäisen käyttöjärjestelmän Buzz
- Tilin käyttäjätunnus: surinaa
- Valitse salasana uudelle käyttäjälle: SuClave (kysy sitten vahvistusta)
- Valitse aikavyöhyke: Itään
- Osiointimenetelmä: Ohjattu - käytä koko levyä
- Valitse jaettava levy: Virtuaalilevy 1 (vda) - 21.5 Gt: n Virto Block -laite
- Osiointijärjestelmä: Kaikki osion tiedostot (suositellaan aloittelijoille).
- Viimeistele osiointi ja kirjoita muutokset levylle
- Haluatko kirjoittaa muutokset levyihin?
- Haluatko analysoida toisen CD- tai DVD-levyn?:
- Haluatko käyttää kopiotad?:
- Haluatko osallistua pakettien käyttöä koskevaan kyselyyn?:
- Valitse asennettavat ohjelmat:
[] Debianin työpöytäympäristö
[*] Vakiojärjestelmäapuohjelmat
- Haluatko asentaa GRUB-käynnistyslataimen pääkäynnistystietueeseen?
- / dev / vda
- "Asennus suoritettu":
Vaatimattomasta mielestäni, Debianin asentaminen on helppoa. Sitä tarvitaan vastaamaan vain kysymyksiin ennalta määritetyistä vaihtoehdoista ja joistakin muista tiedoista. Uskallan jopa sanoa, että edellisiä vaiheita on helpompi seurata kuin esimerkiksi videon kautta. Kun luen, en menetä keskittymistä. Toinen asia on katsella, lukea, tulkita ja antaa video edestakaisin, kun menetän tai en ymmärrä hyvin jotain tärkeää merkitystä. Käsinkirjoitettu arkki tai matkapuhelimeen kopioitu tekstitiedosto toimii täydellisenä tehokkaana oppaana.
Alkuasetukset
Kun perusasennus ja ensimmäinen uudelleenkäynnistys on suoritettu, ilmoitamme ohjelmasäilöt.
Kun muokkaat tiedostoa sources.list, kommentoimme oletusarvoisesti kaikki olemassa olevat merkinnät, koska toimimme vain paikallisten arkistojen kanssa. Tiedoston lopullinen sisältö, lukuun ottamatta kommentoituja rivejä, olisi:
root @ dns: ~ # nano /etc/apt/sources.list deb http://192.168.10.1/repos/jessie/debian/ jessie main contrib deb http://192.168.10.1/repos/jessie/debian-security/ jessie / päivitykset tärkein avustaja
Päivitämme järjestelmän
root @ dns: ~ # aptitude-päivitys root @ dns: ~ # kykyjen päivitys root @ dns: ~ # uudelleenkäynnistys
Asennamme SSH: n etäkäyttöä varten
root @ dns: ~ # aptitude asenna ssh
Antaa käyttäjän aloittaa etäistunnon SSH: n kautta juuri - vain Enterprise LAN: sta - muokkaamme sen kokoonpanotiedostoa:
root @ dns: ~ # nano / etc / ssh / sshd_config .... PermitRootLogin kyllä .... root @ dns: ~ # systemctl käynnistä ssh.service uudelleen root @ dns: ~ # systemctl-tila ssh.service
Aloitamme etäistunnon SSH: n kautta «dns: ssä» «sysadmin» -laitteesta:
buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... root@192.168.10.5's password: ... root @ dns: ~ #
Tärkeimmät määritystiedostot
Järjestelmän kokoonpanon päätiedostot ovat asennuksen aikana tekemiemme valintojen mukaan:
root @ dns: ~ # cat / etc / hosts 127.0.0.1 localhost 192.168.10.5 dns.desdelinux.fan dns # Seuraavat rivit ovat toivottavia IPv6-yhteensopivalle isännälle ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters root @ dns: ~ # kissa /etc/resolv.conf haku desdelinux.fan nameserver 127.0.0.1 root @ dns: ~ # isäntänimi dns root @ dns: ~ # isäntänimi -f dns.desdelinux.tuuletin root @ dns: ~ # cat / etc / network / interface # Tämä tiedosto kuvaa järjestelmässäsi # käytettävissä olevat verkkoliitännät ja kuinka ne aktivoidaan. Lisätietoja on kohdassa käyttöliittymät(5). lähde /etc/network/interfaces.d/* # Paluuverkkoliitäntä auto lo iface lo inet loopback # Ensisijainen verkkoliitäntä allow-hotplug eth0 iface eth0 inet staattinen osoite 192.168.10.5 verkkopeite 255.255.255.0 verkko 192.168.10.0 broadcast.192.168.10.255 192.168.10.1. 127.0.0.1-yhdyskäytävä XNUMX # dns-*-asetukset toteutetaan resolvconf-paketilla, jos asennettuna on dns-nameservers XNUMX dns-search desdelinux.tuuletin
Asennamme super kokemuspaketteja
root @ dns: ~ # aptitude asenna htop mc deborphan
Mahdollisten ladattujen pakettien puhdistaminen
root @ dns: ~ # aptitude install -f root @ dns: ~ # aptitude purge ~ c root @ dns: ~ # aptitude clean root @ dns: ~ # aptitude autoclean
Asennamme BIND9: n
- ENNEN BIND: n asentamista suosittelemme käy sivulla DNS-tietuetyypit Wikipediassa, sekä espanjaksi että englanniksi. Tämän tyyppisiä rekistereitä käytämme Zones-tiedostojen määrityksissä, sekä suorana että käänteisenä. On erittäin opettavaista tietää, mistä olemme tekemisissä.
- myös me ehdotamme Lue seuraava Kommenttipyyntö RFC - Kommenttipyynnöt, jotka liittyvät läheisesti DNS-palvelun moitteettomaan toimintaan, erityisesti juuripalvelimille tapahtuvan rekursio:
- RFC: t 1912, 5735, 6303 ja BCP 32: liittyvä localhost
- RFC: t 1912, 6303: Tyylialue IPv6 localhost -osoitteelle
- RFC: t 1912, 5735 ja 6303: Paikallisverkkoon liittyvä - «Tämä» verkko
- RFC: t 1918, 5735 ja 6303: Yksityisen käytön verkot
- RFC 6598: Jaettu osoitetila
- RFC: t 3927, 5735 ja 6303: Link-local / APIPA
- RFC: t 5735 ja 5736: Internet Engineering Task Force -protokollan määritykset
- RFC: t 5735, 5737 ja 6303: TEST-NET- [1-3] dokumentointia varten
- RFC: t 3849 ja 6303: IPv6-esimerkkialue dokumentaatiota varten
- BCP 32: Verkkotunnukset dokumentointia ja testausta varten
- RFC: t 2544 ja 5735: Reitittimen vertailuarvojen testaus
- RFC 5735: IANA varattu - vanha luokan E tila
- RFC 4291: IPv6 Määrittämättömät osoitteet
- RFC: t 4193 ja 6303: IPv6 ULA
- RFC: t 4291 ja 6303: IPv6 Link Local
- RFC: t 3879 ja 6303: IPv6: n käytöstä poistetut sivusto-paikalliset osoitteet
- RFC 4159: IP6.INT on poistettu käytöstä
Asennus
root @ dns: ~ # aptitude-haku bind9 p bind9 - Internet-toimialueen nimipalvelin p bind9-doc - BIND i bind9-hostin dokumentaatio - BIND 9.X: n mukana toimitetun isännän versio p bind9utils - BIND: n apuohjelmat p gforge-dns-bind9 - yhteiskehitystyökalu - DNS-hallinta (käyttäen Bind9: ää) i A libbind9-90 - BIND: n käyttämä jaettu BIND9-kirjasto
Yritä myös juosta kelpoisuushaku ~ dbind9
root @ dns: ~ # aptitude asenna bind9 root @ dns: ~ # systemctl käynnistä bind9.service uudelleen root @ dns: ~ # systemctl-tila bind9.service ● bind9.service - BIND-verkkotunnuspalvelin ladattu: ladattu (/lib/systemd/system/bind9.service; käytössä) Pudotus: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktiivinen: aktiivinen (käynnissä) pe klo 2017-02-03 10:33:11 EST; 1 s sitten Docs: man: named (8) Prosessi: 1460 ExecStop = / usr / sbin / rndc stop (koodi = poistunut, status = 0 / MENESTYS) PID: 1465 (nimetty) CGroup: /system.slice/bind9.service └─1465 / usr / sbin / named -f -u bind helmikuu 03 10:33:11 dns nimetty [1465]: automaattinen tyhjä vyöhyke: 8.BD0.1.0.0.2.IP6.ARPA 03 helmikuu 10:33:11 dns nimetty [1465]: komentokanavan kuuntelu 127.0.0.1 # 953 helmikuu 03 10:33:11 dns nimeltä [1465]: komentokanavan kuuntelu :: 1 # 953 helmikuu 03 10:33:11 dns nimeltä [1465]: hallittu -näppäimet-vyöhyke: ladattu sarja 2. helmikuuta 03 10:33:11 dns nimeltä [1465]: vyöhyke 0.in-addr.arpa/IN: ladattu sarja 1. helmikuuta 03 10:33:11 dns nimeltä [1465]: vyöhyke paikallinen isäntä / IN: ladattu sarjakuva 2 03 10 33:11:1465 dns nimeltä [127]: vyöhyke 1.in-addr.arpa/IN: ladattu sarjakuva helmikuu 03 10 33:11:1465 dns nimeltä [255]: vyöhyke 1.in -addr.arpa/IN: ladattu sarja 03. helmikuuta 10 33:11:1465 dns nimeltään [03]: kaikki vyöhykkeet ladattu helmikuu 10 33:11:1465 dns nimeltään [XNUMX]: käynnissä Vihje: Jotkut rivit ellipsin muotoiset, käytä -l näyttää kokonaan.
BIND9: n asentamat määritystiedostot
Hieman eri tavalla kuin CentOS: n ja openSUSE: n DNS-palvelukokoonpano, Debianissa seuraavat tiedostot luodaan hakemistoon / etc / bind:
root @ dns: ~ # ls -l / etc / bind / yhteensä 52 -rw-r - r-- 1 juurihakemisto 2389 30. kesäkuuta 2015 bind. avaimet -rw-r - r-- 1 juurihakemisto 237 30. kesäkuuta 2015 db.0 -rw-r - r-- 1 juurihuippu 271 30. kesäkuuta 2015 db.127 -rw-r - r-- 1 juurihakemisto 237 30. kesäkuuta 2015 db.255 -rw-r - r-- 1 juurihakemisto 353 30. kesäkuuta 2015 db.empty -rw- r - r-- 1 juurihakemisto 270 db.local -rw-r - r-- 30 juurihakemisto 2015 db.root -rw-r - r-- 1 juurisidos 3048 30. kesäkuuta 2015 nimetty.conf -rw-r - r - 1 juurisidonta 463 30. kesäkuuta 2015 nimetty. vakio-oletus-alueet -rw-r - r - 1 juurisidos 490 kesäkuu 30. 2015 nimetty. aset. paikallinen -rw -r - r - 1 juurisidos 165 30. helmikuuta 2015:1 named.conf.options -rw-r ----- 890 sitova sidos 3 10. helmikuuta 32:1 rndc.key -rw-r - r- - 77 juurihakemisto 3 10. kesäkuuta 32 vyöhykkeet.rfc1
Kaikki yllä olevat tiedostot ovat pelkkää tekstiä. Jos haluamme tietää jokaisen merkityksen ja sisällön, voimme tehdä sen komentojen avulla vähemmän o miten, mikä on hyvä käytäntö.
Liiteasiakirjat
Osoitekirjassa / usr / share / doc / bind9 meillä tulee olemaan:
root @ dns: ~ # ls -l / usr / share / doc / bind9 yhteensä 56 -rw-r - r-- 1 juurihakemisto 5927 30. kesäkuuta 2015 tekijänoikeudet -rw-r - r-- 1 juurihakemisto 19428 30. kesäkuuta 2015 changelog.Debian.gz -rw-r - r-- 1 juurihakemisto 11790 27. tammikuuta 2014 FAQ.gz -rw-r - r-- 1 juurihakukenttä 396 30. kesäkuuta 2015 NEWS.Debian.gz -rw-r - r-- 1 juurijuuri 3362 30. kesäkuuta 2015 README.Debian. gz -rw-r - r-- 1 juurihakemisto 5840 27. tammikuuta 2014 README.gz
Aiemmasta dokumentaatiosta löydät runsaasti oppimateriaalia, jonka suosittelemme lukemaan ENNEN BIND: n määritystä ja jopa ENNEN BINDiin ja DNS: ään liittyvien artikkeleiden etsimistä Internetistä. Aiomme lukea joidenkin näiden tiedostojen sisällön:
UKK o Fvaatimalla tavalla ASKED Qarvioita BIND 9: stä
- Kokoamis- ja asennuskysymykset - Kysymyksiä kokoamisesta ja asennuksesta
- Kokoonpano- ja asennuskysymykset - Kysymyksiä kokoonpanosta ja virityksestä
- Toimintakysymykset - Kysymyksiä toiminnasta
- Yleisiä kysymyksiä - Yleiset tiedustelut
- Käyttöjärjestelmäkohtaiset kysymykset - Erityisiä kysymyksiä jokaisesta käyttöjärjestelmästä
- HPUX
- Linux
- Windows
- FreeBSD
- Solaris
- Apple Mac OS X
NEWS.Debian.gz
UUTISET.Debian kertoo meille lyhyesti, että parametrit salli-kysely-välimuisti y sallia rekursio ovat oletusarvoisesti käytössä BINDiin upotetuissa ACL-luetteloissa -sisäänrakennettu- 'paikalliset verkot'Ja'localhost". Se ilmoittaa meille myös, että oletusmuutokset tehtiin tekemään välimuistipalvelimista vähemmän houkuttelevia hyökkäykselle väärentämishyökkäyksen ulkoisista verkoista.
Voit tarkistaa edellisessä kappaleessa kirjoitetut, jos itse verkon koneelta 192.168.10.0/24 joka on esimerkissämme, teemme DNS-pyynnön toimialueelle desdelinux.net, ja samalla itse palvelimella dns.desdelinux.tuuletin me toteutamme tail -f / var / log / syslog saamme seuraavat:
buzz @ sysadmin: ~ $ dig localhost .... ;; VALITTAVA PSEUDOSSAATIO :; EDNS: versio: 0, liput:; udp: 4096 ;; KYSYMYSOSA :; paikallinen isäntä. JONKIN SISÄLLÄ ;; VASTAUSOSA: paikallinen isäntä. 604800 IN A 127.0.0.1 ;; VIRANOMAISOSA: paikallinen isäntä. 604800 IN NS -majoittaja. ;; LISÄOSA: paikallinen isäntä. 604800 AAAA: ssa: 1 buzz@sysadmin:~$ dig desdelinux. Net .... ;; OPT PSEUDOSEKTIO: ; EDNS: versio: 0, liput:; udp: 4096 ;; KYSYMYSOSA: ;desdelinux.netto. JONKIN SISÄLLÄ ....
root @ dns: ~ # tail -f / var / log / syslog .... 4. helmikuuta 13:04:31 dns named[1602]: virhe (verkkoon ei saada yhteyttä) ratkaistaandesdelinux.net/A/IN': 2001:7fd::1#53 4. helmikuuta 13:04:31 dns named[1602]: virhe (verkkoon ei saada yhteyttä) ratkaistaandesdelinux.net/A/IN': 2001:503:c27::2:30#53 ....
Tuotos syslog se on paljon pidempi johtuen BIND: n etsimästä juuripalvelimia. Tietysti tiedosto / Etc / resolv.conf joukkueessa sysadmin.desdelinux.tuuletin osoittaa DNS: ään 192.168.10.5.
Aikaisempien komentojen suorittamisesta voimme tehdä useita johtopäätöksiä a priori:
- BIND on oletusarvoisesti määritetty toimivaksi välimuistipalvelimeksi ilman myöhempiä määrityksiä, ja se vastaa DNS-kyselyihin paikalliset verkot ja localhost
- Rekursio - Rekursio on käytössä paikalliset verkot ja localhost
- Ei vielä autoritaarinen palvelin
- Toisin kuin CentOS, jossa meidän oli ilmoitettava parametri «Kuunteluportti 53 {127.0.0.1; 192.168.10.5; }; » nimenomaisesti kuunnella DNS-pyyntöjä verkkoliitännän kautta 192.168.10.5 DNS itse, Debianissa se ei ole välttämätöntä, koska se tukee DNS-pyyntöjä paikalliset verkot ja localhost oletuksena. Tarkista tiedoston sisältö /etc/bind/named.conf.options ja he näkevät, ettei lausuntoa ole kuuntele.
- IPv4- ja IPv6-kyselyt ovat käytössä
Jos vain lukemalla ja tulkitsemalla - tinaa, kuten sanomme Kuubassa - arkistossa NEWS.Debian.gz Olemme päässeet mielenkiintoisiin johtopäätöksiin, joiden avulla voimme tietää hieman enemmän Team Debianin oletuskokoonpanofilosofiasta suhteessa BIND: hen, mitä muita mielenkiintoisia näkökohtia voimme tietää jatkoa mukana olevien asiakirjojen tiedostojen lukemista?.
README.Debian.gz
README.Debian ilmoittaa meille - monien muiden näkökohtien joukossa - että verkkotunnusjärjestelmän suojauslaajennukset - Verkkotunnusjärjestelmän suojauslaajennukset o DNSSEC, ovat käytössä; ja vahvistaa, että oletusasetukset toimivat useimmille palvelimille (lehtipalvelimet - lehtipalvelimet viitaten verkkotunnuspuun lehtiin) ilman käyttäjän toimia.
- DNSSEC Wikipedian mukaan: Domain Name System Security Extensions (DNSSEC) on joukko Internet Engineering Task Forcen (IETF) eritelmiä tietyntyyppisten nimijärjestelmän tarjoamien tietojen suojaamiseksi Internet-protokollassa (IP) käytetty verkkotunnus (DNS). Se on joukko DNS: n laajennuksia, jotka tarjoavat DNS-asiakkaille (tai ratkaisijoille) DNS-tietolähteen todentamisen, tietojen olemassaolon ja eheyden todennetun kieltämisen, mutta eivät saatavuutta tai luottamuksellisuutta.
Tietoja Kokoonpanokaavio kertoo meille, että kaikki staattiset määritystiedostot, juuripalvelimien vyöhyketiedostot sekä localhost he ovat sisällä / etc / bind.
Demonin työhakemisto nimeltään es / var / cache / bind niin, että kaikki nimeltään kuten tietokannat, joille se toimii orjapalvelimena, kirjoitetaan tiedostojärjestelmään / var, johon he kuuluvat.
Toisin kuin Debianin BIND-paketin aiemmat versiot, tiedosto nimetty ja db. * toimitetaan, ne on merkitty määritystiedostoiksi. Sillä tavalla, että jos tarvitsemme DNS-palvelinta, joka toimii pääasiassa välimuistipalvelimena ja joka ei ole aito muille, voimme käyttää sitä asennettuna ja oletusasetuksina.
Jos sinun on luotava aito DNS, ne suosittelevat Master Zone -tiedostojen sijoittamista samaan hakemistoon / etc / bind. Jos niiden alueiden monimutkaisuus, joille nimeltään on arvovaltainen vaatii sitä, on suositeltavaa luoda alihakemistorakenne viitaten ehdottomasti tiedostotiedostoon nimetty.
Mikä tahansa vyöhyketiedosto, jolle nimeltään toimi kuten orjapalvelimen on sijaittava / var / cache / bind.
Vyöhyketiedostot, joihin sovelletaan DHCP: n dynaamisia päivityksiä, tai komento päivitys, tulisi tallentaa / var / lib / bind.
Jos käyttöjärjestelmä käyttää päällikkö, asennettu profiili toimii vain BIND-oletusasetusten kanssa. Myöhemmät muutokset nimeltään Ne saattavat vaatia muutoksia apparmor-profiiliin. Vieraillut https://wiki.ubuntu.com/DebuggingApparmor ennen lomakkeen täyttämistä syyttämällä a vika palvelussa.
Debian BIND: n ajamiseen Chroot Cageen liittyy useita ongelmia - chroot-vankila. Lisätietoja on osoitteessa http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html.
Muut tiedot
mies nimeltä, mies nimeltä.conf, mies nimeltä-checkconf, mies nimeltä-checkzone, mies rndc, ja niin edelleen.
root @ dns: ~ # nimetty -v BIND 9.9.5-9 + deb8u1-Debian (laajennettu tukiversio) root @ dns: ~ # nimeltään -V BIND 9.9.5-9 + deb8u1-Debian (laajennettu tukiversio) rakensi merkki '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' --enable-threads '' --enable-largefile '\' --with-libtool '' --enable-shared '' --enable-static '\' --with-openssl = / usr '' --with-gssapi = / usr '' --with-gnu-ld '\' --with-geoip = / usr '' - with-atf = no '' --enable-ipv9 '' --enable-rrl '\' --enable-filter-aaaa '\' CFLAGS = -fno-tight-aliasing -fno-delete-null-pointer-check -DDIG_SIGCHASE -O8 ', jonka GCC 50 on koonnut OpenSSL-versiolla : OpenSSL 6k 2. tammikuuta 4.9.2 käyttäen libxml1.0.1-versiota: 8 root @ dns: ~ # ps -e | grep nimetty 408? 00:00:00 nimetty root @ dns: ~ # ps -e | grep sitoa 339? 00:00:00 rpcbind root @ dns: ~ # ps -e | grep-sidos 9 root @ dns: ~ # root @ dns: ~ # ls / var / run / named / named.pid istunto.avain root @ dns: ~ # ls -l /var/run/named/named.pid -rw-r - r-- 1 sitova sidos 4. helmikuuta 4 13:20 /var/run/named/named.pid root @ dns: ~ # rndc-tila versio: 9.9.5-9 + deb8u1-Debian Löydetyt suorittimet: 9 työläike: 8 UDP-kuuntelija liitäntää kohden: 50 silmukoiden lukumäärä: 1 virheenkorjaustaso: 1 xferiä käynnissä: 1 xferiä lykätty: 100 soa-kyselyä käynnissä: 0 kyselyjen kirjaaminen on pois päältä työasemat: 0/0-palvelin on käynnissä
- On kiistatonta, että on tärkeää tutustua BIND9-pakettiin asennetun dokumentaation kanssa ennen muita.
bind9-doc
root @ dns: ~ # aptitude asenna bind9-doc linkit2 root @ dns: ~ # dpkg -L bind9-doc
El paquete bind9-doc Asentaa muun hyödyllisen tiedon lisäksi BIND 9 Administrator Reference Manual -sovelluksen.
root @ dns: ~ # links2-tiedosto: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html BIND 9 Järjestelmänvalvojan käyttöopas Tekijänoikeudet (c) 2004-2013 Internet Systems Consortium, Inc. ("ISC") Tekijänoikeudet (c) 2000-2003 Internet-ohjelmistokonsortio.
Toivomme, että nautit sen lukemisesta.
- Poistumatta kotoa meillä on käsillä runsaasti virallisia asiakirjoja BIND: stä ja yleensä DNS-palvelusta.
Määritämme BIND: n Debian-tyyliin
/etc/bind/named.conf "päämies"
root @ dns: ~ # nano /etc/bind/named.conf // Tämä on BIND-nimipalvelimen ensisijainen määritystiedosto. // // Lue /usr/share/doc/bind9/README.Debian.gz saadaksesi lisätietoja // BIND-määritystiedostojen rakenne Debianissa, * ENNEN kuin * mukautat // tämä määritystiedosto. // // Jos lisäät vain vyöhykkeitä, tee se tiedostossa /etc/bind/named.conf.local sisältää "/etc/bind/named.conf.options"; sisältää "/etc/bind/named.conf.local"; sisältää "/etc/bind/named.conf.default-zones";
Edellyttääkö kommentoitu otsikko käännöstä?
/etc/bind/named.conf.options
root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original root @ dns: ~ # nano /etc/bind/named.conf.options vaihtoehdot {hakemisto "/ var / cache / bind"; // Jos sinun ja nimipalvelinten välillä, joiden kanssa haluat // puhua, on palomuuri, sinun on ehkä korjattava palomuuri sallimaan useiden // -porttien puhuminen. Katso http://www.kb.cert.org/vuls/id/800113 // Jos Internet-palveluntarjoajasi antoi yhden tai useamman IP-osoitteen vakaille // nimipalvelimille, haluat todennäköisesti käyttää niitä edelleenlähettäjinä. // Poista seuraava lohko kommentista ja lisää osoitteet korvaamaan // all-0: n paikkamerkki. // kuormatraktorit {// 0.0.0.0; //}; // ================================================= ===================== $ // Jos BIND kirjaa virheviestit pääavaimen vanhentumisesta, // sinun on päivitettävä avaimesi. Katso https://www.isc.org/bind-keys // =================================== =================================== $ // Emme halua DNSSEC: ää dnssec-enable ei; //dnssec-validation auto; auth-nxdomain ei; # noudattaa RFC1035-standardia // Meidän ei tarvitse kuunnella IPv6-osoitteita // kuuntele-v6 {any; }; kuuntele-v6 {ei mitään; }; // Tarkistuksia localhostilta ja sysadminilta // dig:n kautta desdelinux.fan axfr // Meillä ei ole Slave-DNS:tä... toistaiseksi allow-transfer {paikallinen isäntä; 192.168.10.1; }; }; root @ dns: ~ # named-checkconf root @ dns: ~ #
/etc/bind/named.conf.local
Tämän tiedoston kommentoidussa otsikossa he suosittelevat tiedostoon merkittyjen vyöhykkeiden sisällyttämistä RFC 1918 kuvattu tiedostossa /etc/bind/zones.rfc1918. Näiden vyöhykkeiden sisällyttäminen paikallisesti edellyttää, että kaikki niitä koskevat kyselyt eivät mene paikallisen verkon ulkopuolelle juuripalvelimille, jolla on kaksi merkittävää etua:
- Nopeampi paikallinen tarkkuus paikallisille käyttäjille
- Se ei luo tarpeetonta tai väärää liikennettä juuripalvelimille.
Henkilökohtaisesti minulla ei ole Internet-yhteyttä rekursio- tai edelleenlähetystestien testaamiseen. Kuitenkin, ja koska emme ole mitätöineet Recursion-tiedostoa named.conf.options-tiedostossa - ei rekursiomenetelmällä; - voimme sisällyttää edellä mainitut alueet ja muut, jotka selitän alla.
Asennettaessa BIND 9.9.7 FreeBSD 10.0 -käyttöjärjestelmään, joka on myös - ja satunnaisesti - ilmainen ohjelmisto, määritystiedosto /usr/local/etc/namedb/named.conf.sample se sisältää kokonaisen sarjan vyöhykkeitä, jotka suosittelevat paikallista palvelua, jotta myös saataisiin edellä mainitut edut.
Suosittelemme tiedoston luomista, jotta alkuperäistä BIND-kokoonpanoa ei muutettaisi Debianissa /etc/bind/zones.rfcFreeBSD ja sisällytä se /etc/bind/named.conf.local alla ilmoitetun sisällön ja polkujen kanssa - polut tiedostoihin, jotka on jo mukautettu Debianille:
root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD // Jaettu osoiteavaruus (RFC 6598) zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; // Link-local / APIPA (RFC: t 3927, 5735 ja 6303) vyöhyke "254.169.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IETF-protokollan määritykset (RFC: t 5735 ja 5736) vyöhyke "0.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // TEST-NET- [1-3] dokumentaatiota varten (RFC: t 5735, 5737 ja 6303) vyöhyke "2.0.192.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "100.51.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "113.0.203.in-addr.arpa" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; }; // IPv6-esimerkkialue dokumentaatiota varten (RFC: t 3849 ja 6303) vyöhyke "8.bd0.1.0.0.2.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // Verkkotunnukset dokumentointia ja testausta varten (BCP 32) vyöhyke "testi" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki" {type master; tiedosto "/etc/bind/db.empty"; }; zone "virheellinen" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.com" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "esimerkki.net" {tyypin päällikkö; tiedosto "/etc/bind/db.empty"; }; zone "esimerkki.org" {type master; tiedosto "/etc/bind/db.empty"; }; // Reitittimen vertailutestaus (RFC: t 2544 ja 5735) vyöhyke "18.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "19.198.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IANA varattu - vanhan luokan E tila (RFC 5735) vyöhyke "240.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "241.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "242.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "243.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "244.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "245.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "246.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "247.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "248.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "249.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "250.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "251.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "252.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "253.in-addr.arpa" {tyyppi isäntä; tiedosto "/etc/bind/db.empty"; }; vyöhyke "254.in-addr.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6: n määrittelemättömät osoitteet (RFC 4291) vyöhyke "1.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "a.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "b.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "c.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "d.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "e.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "8.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.f.ip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "afip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "bfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "0.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "1.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "2.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "3.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "4.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "5.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "6.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "7.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6 ULA (RFC: t 4193 ja 6303) vyöhyke "cfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "dfip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6-linkin paikallinen (RFC: t 4291 ja 6303) vyöhyke "8.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "9.efip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "aefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "befip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IPv6: n käytöstä poistetut sivusto-paikalliset osoitteet (RFC: t 3879 ja 6303) vyöhyke "cefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "defip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "eefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; vyöhyke "fefip6.arpa" {type master; tiedosto "/etc/bind/db.empty"; }; // IP6.INT on poistettu käytöstä (RFC 4159) vyöhyke "ip6.int" {type master; tiedosto "/etc/bind/db.empty"; };
Vaikka esimerkissämme on poistettu mahdollisuus kuunnella IPv6-pyyntöjä, kannattaa sisällyttää IPv6-vyöhykkeet edelliseen tiedostoon niitä tarvitseville.
Lopullinen sisältö /etc/bind/named.conf.local on:
root @ dns: ~ # nano /etc/bind/named.conf.local // // Tee täällä kaikki paikalliset määritykset // // Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // -organisaatiossasi sisältää "/etc/bind/zones.rfc1918"; sisältää "/etc/bind/zones.rfcFreeBSD"; // Ilmoitus nimen, tyypin, sijainnin ja päivitysoikeudesta // DNS-tietueiden vyöhykkeistä // Molemmat vyöhykkeet ovat MASTERS vyöhyke"desdelinux.fani" { tyypin päällikkö; tiedosto "/var/lib/bind/db.desdelinux.tuuletin"; }; vyöhyke "10.168.192.in-addr.arpa" { tyypin päällikkö; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa"; }; root @ dns: ~ # named-checkconf root @ dns: ~ #
Luomme tiedostot jokaiselle vyöhykkeelle
Kunkin alueen tiedostojen sisältö voidaan kopioida kirjaimellisesti artikkelista «DNS ja DHCP CentOS 7: ssä«, Niin kauan kuin olemme varovaisia vaihtamaan kohdehakemistoon / var / lib / bind:
[root@dns ~]# nano /var/lib/bind/db.desdelinux.tuuletin $TTL 3H @ IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhene 3H); minimi tai ; Negatiivinen välimuistin elämisaika ; @ IN NS dns.desdelinux.tuuletin. @ IN MX 10 sähköposti.desdelinux.tuuletin. @ TXT:ssä"DesdeLinux, hänen ilmaisille ohjelmistoilleen omistettu bloginsa "; Sysadmin A 192.168.10.1 AD-DC IN A 192.168.10.3 TIEDOSTOPALVELIN 192.168.10.4 DNS 192.168.10.5 PROXYWEB IN A 192.168.10.6 IN A 192.168.10.7 PROXYWEB IN A 192.168.10.8. VER A:ssa 192.168.10.9 posti IN A XNUMX [root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa $TTL 3H @ IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhene 3H); minimi tai ; Negatiivinen välimuistin elämisaika ; @ IN NS dns.desdelinux.tuuletin. ; 1 IN PTR sysadmin.desdelinux.tuuletin. 3 IN PTR ad-dc.desdelinux.tuuletin. 4 IN PTR tiedostopalvelin.desdelinux.tuuletin. 5 IN PTR dns.desdelinux.tuuletin. 6 IN PTR-välityspalvelin.desdelinux.tuuletin. 7 IN PTR -blogi.desdelinux.tuuletin. 8 IN PTR ftpserver.desdelinux.tuuletin. 9 PTR-postissa.desdelinux.tuuletin.
Tarkistamme kunkin vyöhykkeen syntaksin
root@dns:~# named-checkzone desdelinux.fan /var/lib/bind/db.desdelinux.tuuletin vyöhyke desdelinux.fan/IN: ladattu sarja 1 OK root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa vyöhyke 10.168.192.in-addr.arpa/IN: ladattu sarja 1 OK
Yleisten BIND-asetusten tarkistus
root @ dns: ~ # named-checkconf -zp
- Noudata menettelyä muuttaa nimetty Tarpeidemme mukaan ja tarkista, luo kukin vyöhyketiedosto ja tarkista se, epäilemme, että joudumme kohtaamaan suuria kokoonpano-ongelmia. Lopulta ymmärrämme, että se on poikapeli, jossa on monia käsitteitä ja kova syntaksi,
Tarkastukset tuottivat tyydyttävät tulokset, joten voimme käynnistää BIND: n uudelleen - nimeltään.
Käynnistämme BIND: n uudelleen ja tarkistamme sen tilan
[root @ dns ~] # systemctl käynnistä bind9.service uudelleen [root @ dns ~] # systemctl-tila bind9.service ● bind9.service - BIND-verkkotunnuspalvelin ladattu: ladattu (/lib/systemd/system/bind9.service; käytössä) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Aktiivinen: aktiivinen (käynnissä) su 2017-02-05 07:45:03 EST lähtien; 5 s sitten Docs: man: named (8) Prosessi: 1345 ExecStop = / usr / sbin / rndc stop (koodi = poistunut, status = 0 / MENESTYS) PID: 1350 (nimetty) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / named -f -u bind helmikuu 05 07:45:03 dns nimetty [1350]: vyöhyke 1.f.ip6.arpa/IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimetty [1350]: vyöhyke afip6.arpa/IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltä [1350]: vyöhykkeen paikallinen isäntä / IN: ladattu sarja 2. helmikuuta 05 07:45:03 dns nimeltä [1350]: vyöhyketesti / IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltä [1350]: vyöhykeesimerkki / IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltä [1350]: vyöhyke 5.efip6.arpa/IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltään [1350]: vyöhyke bfip6.arpa/IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltä [1350]: vyöhyke ip6.int/IN: ladattu sarja 1. helmikuuta 05 07:45:03 dns nimeltä [1350]: kaikki vyöhykkeet ladattu 05.
Jos saamme minkäänlaista virhettä viimeisen komennon lähdössä, meidän on käynnistettävä se uudelleen nimetty. palvelu ja tarkista tila. Jos virheet hävisivät, palvelu alkoi onnistuneesti. Muussa tapauksessa meidän on tarkistettava kaikki muokatut ja luodut tiedostot perusteellisesti ja toistettava menettely.
Tarkastukset
Tarkistukset voidaan suorittaa samalla palvelimella tai lähiverkkoon liitetyllä koneella. Haluamme tehdä ne mieluummin joukkueelta sysadmin.desdelinux.tuuletin jolle annoimme nimenomaisen luvan, jotta se voi tehdä vyöhykekuljetuksia. Tiedosto / Etc / resolv.conf kyseisen joukkueen jäsen on seuraava:
buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Luonut NetworkManager-haun desdelinux.fan nameserver 192.168.10.5 buzz@sysadmin:~$ dig desdelinux.fan axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; yleiset asetukset: +cmd desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 desdelinux.tuuletin. 10800 IN NS dns.desdelinux.tuuletin. desdelinux.tuuletin. 10800 IN MX 10 sähköposti.desdelinux.tuuletin. desdelinux.tuuletin. 10800 IN TXT"DesdeLinux, vapaalle ohjelmistolle omistettu blogisi" ad-dc.desdelinux.tuuletin. 10800 192.168.10.3 blogissa.desdelinux.tuuletin. 10800 IN A 192.168.10.7 dns.desdelinux.tuuletin. 10800 SISÄÄN 192.168.10.5 tiedostopalvelimeen.desdelinux.tuuletin. 10800 192.168.10.4 ftp-palvelimessa.desdelinux.tuuletin. 10800 192.168.10.8 postissa.desdelinux.tuuletin. 10800 IN A 192.168.10.9 välityspalvelin.desdelinux.tuuletin. 10800 IN A 192.168.10.6 sysadmin.desdelinux.tuuletin. 10800 SISÄÄN 192.168.10.1 desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 1 ;; Kyselyaika: 192.168.10.5 ms ;; PALVELIN: 53#192.168.10.5(XNUMX) ;; MILLOIN: su 05. helmikuuta 07:49:01 EST 2017 ;; XFR-koko: 13 tietuetta (viestit 1, tavua 385) buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; yleiset asetukset: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.tuuletin. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.tuuletin. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.tuuletin. 4.10.168.192.in-addr.arpa. 10800 IN PTR tiedostopalvelin.desdelinux.tuuletin. 5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.tuuletin. 6.10.168.192.in-addr.arpa. 10800 IN PTR-välityspalvelin.desdelinux.tuuletin. 7.10.168.192.in-addr.arpa. 10800 IN PTR blogi.desdelinux.tuuletin. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.desdelinux.tuuletin. 9.10.168.192.in-addr.arpa. 10800 PTR-postissa.desdelinux.tuuletin. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 1 ;; Kyselyaika: 192.168.10.5 ms ;; PALVELIN: 53#192.168.10.5(XNUMX) ;; MILLOIN: su 05. helmikuuta 07:49:47 EST 2017 ;; XFR-koko: 11 tietuetta (viestit 1, tavua 333) buzz@sysadmin:~$ kaivaa SOA:ssa desdelinux.tuuletin buzz@sysadmin:~$ dig IN MX desdelinux.fan buzz@sysadmin:~$ dig IN TXT desdelinux.tuuletin buzz @ sysadmin: ~ $ isännän välityspalvelin välityspalvelin.desdelinux.fanin osoite on 192.168.10.6 buzz @ sysadmin: ~ $ isäntä ftpserver ftpserver.desdelinux.fanin osoite on 192.168.10.8 buzz @ sysadmin: ~ $ isäntä 192.168.10.9 9.10.168.192.in-addr.arpa verkkotunnuksen nimen osoitinposti.desdelinux.tuuletin.
… Ja muut tarvitsemamme tarkastukset.
Asennamme ja konfiguroimme DHCP: n
Debianissa paketti tarjoaa DHCP-palvelun ISC-dhcp-palvelin:
root @ dns: ~ # aptitude-haku isc-dhcp i isc-dhcp-client - DHCP-asiakas IP-osoitteen saamiseksi automaattisesti p isc-dhcp-client-dbg - ISC DHCP -palvelin automaattista IP-osoitteen määritystä varten (client debug) i isc-dhcp-common - kaikkien tiedostojen käyttämät yleiset tiedostot isc-dhcp -paketit p isc-dhcp-dbg - ISC DHCP -palvelin automaattiseen IP-osoitteen määritykseen (virheenkorjaussymboli p isc-dhcp-dev - API DHCP-palvelimen ja asiakastilan käyttämiseen ja muokkaamiseen p isc-dhcp-rele - ISC DHCP -rele daemon p isc-dhcp-relay-dbg - ISC DHCP -palvelin automaattista IP-osoitteen määritystä varten (releen virheenkorjaus) p isc-dhcp-palvelin - ISC DHCP-palvelin automaattista IP-osoitteen määritystä varten p isc-dhcp-server-dbg - ISC DHCP -palvelin automaattinen IP-osoitteen määritys (palvelimen virheenkorjaus) p isc-dhcp-server-ldap - DHCP-palvelin, joka käyttää LDAP: ta taustana root @ dns: ~ # aptitude asenna isc-dhcp-palvelin
Paketin asennuksen jälkeen -omnipresent- systemd valittaa, ettei se voinut käynnistää palvelua. Debianissa meidän on nimenomaisesti ilmoitettava, minkä verkon käyttöliittymän kautta se vuokraa IP-osoitteita ja vastaa pyyntöihin ISC-dhcp-palvelin:
root @ dns: ~ # nano / etc / default / isc-dhcp-palvelin .... # Missä rajapinnoissa DHCP-palvelimen (dhcpd) tulisi palvella DHCP-pyyntöjä? # Erota useita rajapintoja välilyönneillä, esim. "Eth0 eth1". LIITÄNNÄT = "eth0"
Asennetut asiakirjat
root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-palvelin / yhteensä 44 -rw-r - r-- 1 juurihakemisto 1235 14 copyright -rw-r - r-- 2014 juurihakemisto 1 26031. helmikuuta 13 changelog.Debian.gz drwxr-xr-x 2015 juurihakemisto 2 helmikuu 4096 5:08 esimerkkejä -rw-r - r-- 10 juurihakemisto 1 592 NEWS.Debian.gz -rw-r - r-- 14 juurijuuri 2014 1 README.Debian
TSIG-avain "dhcp-avain"
Avaimen luomista suositellaan TSIG o Kaupan allekirjoitus - Trajoitus SIGluonto, dynaamisten DNS-päivitysten todentamiseksi DHCP: llä. Kuten näimme edellisessä artikkelissa «DNS ja DHCP CentOS 7: ssä«, Mielestämme kyseisen avaimen luominen ei ole niin välttämätöntä, varsinkin kun molemmat palvelut on asennettu samalle palvelimelle. Tarjoamme kuitenkin yleisen menettelyn sen automaattiselle tuotannolle:
root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n KÄYTTÄJÄ dhcp-avain Kdhcp-avain. + 157 + 11088 root @ dns: ~ # cat Kdhcp-avain. +157 + 11088. yksityinen Yksityisen avaimen muoto: v1.3-algoritmi: 157 (HMAC_MD5) Avain: TEqfcx2FUMYBQ1hA1ZGelA == Bittiä: AAA = Luotu: 20170205121618 Julkaise: 20170205121618 Aktivoi: 20170205121618 root @ dns: ~ # nano dhcp.key avain dhcp-avain { algoritmi hmac-md5; salainen "TEqfcx2FUMYBQ1hA1ZGelA =="; }; root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key-juuren @ dns: ~ # ls -l /etc/bind/*.key -rw-r ----- 1 juurisidos 78 helmikuu 5 08:21 /etc/bind/dhcp.key -rw-r ----- 1 sidos sidos 77 helmikuu 4 11:47 / etc / bind / rndc .näppäin root @ dns: ~ # ls -l /etc/dhcp/dhcp.key -rw-r ----- 1 juurihakemisto 78 5. helmikuuta 08:21 /etc/dhcp/dhcp.key
BIND-alueiden päivittäminen dhcp-näppäimellä
root @ dns: ~ # nano /etc/bind/named.conf.local // // Tee mitä tahansa paikallisia asetuksia tässä // // Harkitse 1918 vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä // organisaatiossasi include "/etc/bind/zones.rfc1918"; sisältää "/etc/bind/zones.rfcFreeBSD"; sisältää "/etc/bind/dhcp.key"; // Ilmoitus DNS-tietuealueiden nimestä, tyypistä, sijainnista ja päivitysluvasta // // Molemmat vyöhykkeet ovat MASTER-vyöhyke "desdelinux.fan" { type master; tiedosto "/var/lib/bind/db.desdelinux.tuuletin"; salli-päivitä {avain dhcp-avain; }; }; vyöhyke "10.168.192.in-addr.arpa" {type master; tiedosto "/var/lib/bind/db.10.168.192.in-addr.arpa"; salli-päivitä {avain dhcp-avain; }; };
root @ dns: ~ # named-checkconf root @ dns: ~ #
Määritämme isc-dhcp-palvelimen
root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original root @ dns: ~ # nano /etc/dhcp/dhcpd.conf ddns-update-tyylinen väliaikainen; ddns-päivitykset päällä; ddns-verkkotunnus "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; ohita asiakaspäivitykset; arvovaltainen; vaihtoehto ip-forwarding off; option domain-namedesdelinux.fan"; sisältää "/etc/dhcp/dhcp.key"; vyöhyke desdelinux.tuuletin. { ensisijainen 127.0.0.1; avain dhcp-avain; } vyöhyke 10.168.192.in-addr.arpa. { ensisijainen 127.0.0.1; avain dhcp-avain; } jaetun verkon redlocal { aliverkko 192.168.10.0 verkkopeite 255.255.255.0 { vaihtoehto reitittimet 192.168.10.1; vaihtoehto aliverkon peite 255.255.255.0; vaihtoehto lähetysosoite 192.168.10.255; option domain-name-palvelimet 192.168.10.5; vaihtoehto netbios-name-servers 192.168.10.5; alue 192.168.10.30 192.168.10.250; } } # LOPETA dhcpd.conf
Tarkistamme dhcpd.conf-tiedoston
root @ dns: ~ # dhcpd -t Internet Systems Consortium DHCP Server 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Kaikki oikeudet pidätetään. Lisätietoja on osoitteessa https://www.isc.org/software/dhcp/ Config file: /etc/dhcp/dhcpd.conf Database file: /var/lib/dhcp/dhcpd.leases PID file: / var / run /dhcpd.pid
Käynnistämme BIND: n uudelleen ja käynnistämme isc-dhcp-palvelimen
root @ dns: ~ # systemctl käynnistä bind9.service uudelleen root @ dns: ~ # systemctl-tila bind9.service root @ dns: ~ # systemctl start isc-dhcp-server.service root @ dns: ~ # systemctl-tila isc-dhcp-server.service ● isc-dhcp-server.service - LSB: DHCP-palvelin ladattu: ladattu (/etc/init.d/isc-dhcp-server) Aktiivinen: aktiivinen (käynnissä) su 2017-02-05 08:41:45 EST; 6 s sitten Prosessi: 2039 ExecStop = / etc / init.d / isc-dhcp-server stop (code = exit, status = 0 / SUCCESS) Prosessi: 2049 ExecStart = / etc / init.d / isc-dhcp-server start ( koodi = poistunut, tila = 0 / MENESTYS) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 05 helmikuu 08:41:43 dns dhcpd [2056]: Kirjoitti 0 vuokrasopimusta vuokrasopimustiedostoon. 05 helmikuu 08:41:43 dns dhcpd [2057]: Palvelin käynnistää palvelun. 05 helmikuu 08:41:45 dns isc-dhcp-server [2049]: ISC DHCP -palvelimen käynnistäminen: dhcpd.
Tarkastukset asiakkaiden kanssa
Aloitimme asiakkaan Windows 7 -käyttöjärjestelmällä nimellä LAGER.
buzz @ sysadmin: ~ $ isäntä lager LAGER.desdelinux.fanin osoite on 192.168.10.30 buzz@sysadmin:~$ kaivaa txt-laageriin.desdelinux.tuuletin
Vaihdamme kyseisen asiakkaan nimeksi "seitsemän" ja käynnistämme asiakkaan uudelleen
buzz @ sysadmin: ~ $ isäntä lager ;; yhteyden aikakatkaisu; palvelimia ei löytynyt sirinä@sysadmin: ~ $ isäntä seitsemän seitsemän.desdelinux.fanin osoite on 192.168.10.30 buzz @ sysadmin: ~ $ isäntä 192.168.10.30 30.10.168.192.in-addr.arpa verkkotunnuksen nimen osoitin seitsemän.desdelinux.tuuletin. buzz@sysadmin:~$ kaivaa txt-tekstiin seitsemän.desdelinux.tuuletin
Nimeimme Windows 7 -asiakkaan takaisin "win7"
buzz @ sysadmin: ~ $ isäntä seitsemän ;; yhteyden aikakatkaisu; palvelimia ei löytynyt buzz @ sysadmin: ~ $ isäntä win7 win7.desdelinux.fanin osoite on 192.168.10.30 buzz @ sysadmin: ~ $ isäntä 192.168.10.30 30.10.168.192.in-addr.arpa verkkotunnuksen nimen osoitin win7.desdelinux.tuuletin. buzz@sysadmin:~$ kaivaa txt:ssä win7.desdelinux.tuuletin ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> txt win7:ssä.desdelinux.fani ;; yleiset valinnat: +cmd ;; Sain vastauksen: ;; ->>HEADER<<- opcode: QUERY, tila: NOERROR, id: 11218 ;; liput: qr aa rd ra; KYSYMYS: 1, VASTAUS: 1, VALTUUS: 1, LISÄTIETOJA: 2 ;; OPT PSEUDOSEKTIO: ; EDNS: versio: 0, liput:; udp: 4096 ;; KYSYMYSOSIO: ;win7.desdelinux.tuuletin. TXT:ssä ;; VASTAUSOSIO: win7.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ;; VALTUUSOSA: desdelinux.tuuletin. 10800 IN NS dns.desdelinux.tuuletin. ;; LISÄOSA: dns.desdelinux.tuuletin. 10800 IN A 192.168.10.5 ;; Kyselyaika: 0 ms ;; PALVELIN: 192.168.10.5#53(192.168.10.5) ;; MILLOIN: su 05. helmikuuta 09:13:20 EST 2017 ;; MSG-KOKO rcvd: 129 buzz@sysadmin:~$ dig desdelinux.fan axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; yleiset asetukset: +cmd desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 8 86400 3600 604800 10800 desdelinux.tuuletin. 10800 IN NS dns.desdelinux.tuuletin. desdelinux.tuuletin. 10800 IN MX 10 sähköposti.desdelinux.tuuletin. desdelinux.tuuletin. 10800 IN TXT"DesdeLinux, vapaalle ohjelmistolle omistettu blogisi" ad-dc.desdelinux.tuuletin. 10800 192.168.10.3 blogissa.desdelinux.tuuletin. 10800 IN A 192.168.10.7 dns.desdelinux.tuuletin. 10800 SISÄÄN 192.168.10.5 tiedostopalvelimeen.desdelinux.tuuletin. 10800 192.168.10.4 ftp-palvelimessa.desdelinux.tuuletin. 10800 192.168.10.8 postissa.desdelinux.tuuletin. 10800 IN A 192.168.10.9 välityspalvelin.desdelinux.tuuletin. 10800 IN A 192.168.10.6 sysadmin.desdelinux.tuuletin. 10800 SISÄÄN 192.168.10.1 win7.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" win7.desdelinux.tuuletin. 3600 IN A 192.168.10.30 desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 8 86400 3600 604800 10800 ;; Kyselyaika: 2 ms ;; PALVELIN: 192.168.10.5#53(192.168.10.5) ;; MILLOIN: su 05. helmikuuta 09:15:13 EST 2017 ;; XFR-koko: 15 tietuetta (viestejä 1, tavua 453)
Yllä olevassa tuotoksessa korostimme lihavoitu niitä TTL - sekunnissa - tietokoneille, joilla on DHCP-palvelun myöntämä IP-osoite, niille, joilla on DHCP: n antama selkeä TTL 3600 -ilmoitus. Kiinteitä IP-osoitteita ohjaa kunkin vyöhyketiedoston SOA-tietueessa ilmoitettu $ TTL 3H -3 tuntia = 10800 sekuntia.
He voivat tarkistaa taaksepäin vyöhykkeen samalla tavalla.
[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr
Muita erittäin mielenkiintoisia komentoja ovat:
[root@dns ~]# named-journalprint /var/lib/bind/db.desdelinux.fan.jnl ja desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 add desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 2 86400 3600 604800 10800 lisää LAGER.desdelinux.tuuletin. 3600 IN A 192.168.10.30 lisää LAGER.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" alkaen desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 2 86400 3600 604800 10800 LAGER.desdelinux.tuuletin. 3600 IN A 192.168.10.30 lisäys desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 3 86400 3600 604800 10800 del desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 3 86400 3600 604800 10800 LAGER.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" lisää desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 4 86400 3600 604800 10800 del desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 4 86400 3600 604800 10800 add desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 5 86400 3600 604800 10800 lisää seitsemän.desdelinux.tuuletin. 3600 IN A 192.168.10.30 lisää seitsemän.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" alkaen desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 5 86400 3600 604800 10800 seitsemästä.desdelinux.tuuletin. 3600 IN A 192.168.10.30 lisäys desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 6 86400 3600 604800 10800 del desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 6 86400 3600 604800 10800 seitsemästä.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" lisää desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 7 86400 3600 604800 10800 del desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 7 86400 3600 604800 10800 add desdelinux.tuuletin. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 8 86400 3600 604800 10800 lisää win7.desdelinux.tuuletin. 3600 IN A 192.168.10.30 lisää win7.desdelinux.tuuletin. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" [root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl alkaen 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 1 86400 3600 604800 10800 lisää 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 2 86400 3600 604800 10800 add 30.10.168.192.in-addr.arpa. 3600 PTR LAGER.desdelinux.tuuletin. alkaen 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 2 86400 3600 604800 10800 del 30.10.168.192.in-addr.arpa. 3600 PTR LAGER.desdelinux.tuuletin. lisää 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 3 86400 3600 604800 10800 del 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 3 86400 3600 604800 10800 lisää 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 4 86400 3600 604800 10800 add 30.10.168.192.in-addr.arpa. 3600 PTR seitsemän.desdelinux.tuuletin. alkaen 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 4 86400 3600 604800 10800 del 30.10.168.192.in-addr.arpa. 3600 PTR seitsemän.desdelinux.tuuletin. lisää 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 5 86400 3600 604800 10800 del 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 5 86400 3600 604800 10800 lisää 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. 6 86400 3600 604800 10800 add 30.10.168.192.in-addr.arpa. 3600 IN PTR win7.desdelinux.tuuletin. [root @ dns ~] # journalctl -f
Vyöhyketiedostojen manuaalinen muokkaus
Kun DHCP on aloittanut BIND-vyöhyketiedostojen dynaamisen päivittämisen pelin, jos joudumme koskaan muokkaamaan vyöhyketiedostoa manuaalisesti, meidän on suoritettava seuraava toimenpide, mutta emme ennen kuin tiedämme hieman enemmän alueen toiminnasta. apuohjelma rndc -mies rndc- nimeltään.
- rndc jäädyttää [vyöhyke [luokka [näkymä]]], keskeyttää vyöhykkeen dynaamisen päivityksen. Jos sellaista ei ole määritetty, kaikki jäätyvät. Komento sallii jäätyneen vyöhykkeen tai kaikkien vyöhykkeiden manuaalisen muokkaamisen. Dynaaminen päivitys estetään jäädytettynä.
- rndc sulaa [vyöhyke [luokka [näkymä]]], mahdollistaa dynaamiset päivitykset aiemmin jäädytetyllä vyöhykkeellä. DNS-palvelin lataa vyöhyketiedoston levyltä, ja dynaamiset päivitykset otetaan uudelleen käyttöön, kun uudelleenlataus on valmis.
Ole varovainen, kun muokkaamme vyöhyketiedostoa manuaalisesti? Sama kuin luisimme sen unohtamatta lisätä sarjanumeroa 1 tai sarja ennen tiedoston tallentamista viimeisillä muutoksilla.
Jäädytämme vyöhykkeet
Kun aiomme tehdä muutoksia eteen- ja taaksepäin vyöhykkeisiin, kun DNS ja DHCP ovat käynnissä, terveellisin asia on jäädyttää DNS-vyöhykkeet:
[root @ dns ~] # rndc jäätyy
Alue desdelinux.tuuletin sisältää seuraavat tiedot:
[root@dns ~]# cat /var/lib/bind/db.desdelinux.tuuletin $ALKUPERÄ . 10800 3 TTL; XNUMX tuntia desdelinux.fan IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. ( 8; sarja 86400 ; päivitä (1 päivä) 3600 ; yritä uudelleen (1 tunti) 604800 ; päättyy (1 viikko) 10800 ; vähintään (3 tuntia) ) NS dns.desdelinux.tuuletin. MX 10 sähköposti.desdelinux.tuuletin. TXT"DesdeLinux, blogisi, joka on omistettu vapaille ohjelmistoille" $ORIGIN desdelinux.tuuletin. ad-dc 192.168.10.3 blogiin 192.168.10.7 dns 192.168.10.5 tiedostopalvelimeen 192.168.10.4 ftpserveriin 192.168.10.8 postiin osoitteeseen 192.168.10.9 sy.192.168.10.6 sadmin To 192.168.10.1 $TTL 3600 ; 1 tunti win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
Lisätään palvelin «rantaseinä»IP-osoitteen kanssa 192.168.10.10:
root@dns:~# nano /var/lib/bind/db.desdelinux.tuuletin $ALKUPERÄ . 10800 3 TTL; XNUMX tuntia desdelinux.fan IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. ( 9; sarja 86400 ; päivitä (1 päivä) 3600 ; yritä uudelleen (1 tunti) 604800 ; päättyy (1 viikko) 10800 ; vähintään (3 tuntia) ) NS dns.desdelinux.tuuletin. MX 10 sähköposti.desdelinux.tuuletin. TXT"DesdeLinux, blogisi, joka on omistettu vapaille ohjelmistoille" $ORIGIN desdelinux.tuuletin. ad-dc 192.168.10.3 blogiin 192.168.10.7 dns 192.168.10.5 tiedostopalvelimeen 192.168.10.4 ftpserveriin 192.168.10.8 postiin osoitteeseen 192.168.10.9. pr.192.168.10.6we.XNUMX. rantaseinä A 192.168.10.10 sysadmin A 192.168.10.1 $ TTL 3600; 1 tunti win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
Meidän on tarkoitus muuttaa myös käänteistä vyöhykettä:
root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa $ALKUPERÄ . 10800 3 TTL; 10.168.192 tuntia XNUMX.in-addr.arpa IN SOA dns.desdelinux.tuuletin. root.dns.desdelinux.tuuletin. ( 7; sarja 86400 ; päivitä (1 päivä) 3600 ; yritä uudelleen (1 tunti) 604800 ; päättyy (1 viikko) 10800 ; vähintään (3 tuntia) ) NS dns.desdelinux.tuuletin. $ORIGIN 10.168.192.in-addr.arpa. 1 PTR-järjestelmänvalvoja.desdelinux.tuuletin. 3 PTR ad-dc.desdelinux.tuuletin. 3600 TTL ; 1 tunti 30 PTR win7.desdelinux.tuuletin. 10800 3 TTL; 4 tuntia XNUMX PTR-tiedostopalvelinta.desdelinux.tuuletin. 5 PTR dns.desdelinux.tuuletin. 6 PTR-välityspalvelin.desdelinux.tuuletin. 7 PTR-blogi.desdelinux.tuuletin. 8 PTR ftpserver.desdelinux.tuuletin. 9 PTR-posti.desdelinux.tuuletin. 10 PTR rantamuurin.desdelinux.tuuletin.
Sulatamme ja lataamme vyöhykkeet
[root @ dns ~] # rndc sulaa root @ dns: ~ # journalctl -f -- Lokit alkavat su 2017-02-05 06:27:10 EST. -- Feb 05 12:00:29 dns named[1996]: vastaanotettu ohjauskanavan komento 'thaw' Feb 05 12:00:29 dns named[1996]: sulattaa kaikki vyöhykkeet: onnistui Feb 05 12:00:29 dns named[ 1996]: vyöhyke 10.168.192.in-addr.arpa/IN: päiväkirjatiedosto on vanhentunut: poistetaan päiväkirjatiedostoa 05. helmikuuta 12:00:29 dns named[1996]: vyöhyke 10.168.192.in-addr.arpa/ IN: ladattu sarja 7 Feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: päiväkirjatiedosto on vanhentunut: poistetaan päiväkirjatiedosto Feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: ladattu sarja 9 buzz @ sysadmin: ~ $ isäntä rantaseinä rantamuurin.desdelinux.fanin osoite on 192.168.10.10 buzz @ sysadmin: ~ $ isäntä 192.168.10.10 10.10.168.192.in-addr.arpa verkkotunnuksen nimiosoittimen shorewall.desdelinux.tuuletin. buzz@sysadmin:~$ dig desdelinux.fan axfr buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr root @ dns: ~ # journalctl -f .... Feb 05 12:03:05 dns named[1996]: asiakas 192.168.10.1#37835 (desdelinux.fan): siirtodesdelinux.fan/IN': AXFR aloitti 05. helmikuuta 12:03:05 dns named[1996]: asiakas 192.168.10.1#37835 (desdelinux.fan): siirtodesdelinux.fan/IN': AXFR päättyi 05. helmikuuta 12:03:20 dns named[1996]: asiakas 192.168.10.1#46905 (10.168.192.in-addr.arpa): siirto '10.168.192.in-addr. arpa/IN': AXFR aloitti 05. helmikuuta 12:03:20 dns named[1996]: asiakas 192.168.10.1#46905 (10.168.192.in-addr.arpa): '10.168.192.in-addr. /IN': AXFR päättyi
Yhteenveto
Toistaiseksi meillä on käytössä välimuistin DNS-palvelin, joka tukee Recursionia, joka on autoritaarinen vyöhykkeelle desdelinux.tuuletin, ja tämä sallii DHCP: n päivittää eteenpäin- ja taaksepäin-vyöhykkeet antamiensa tietokoneiden nimillä ja IP-osoitteilla.
Tämä artikkeli ja kaksi edellistä «DNS ja DHCP openSUSE 13.2 'Harlekiinissa"" ja "DNS ja DHCP CentOS 7: ssä»Ovat käytännössä yhtä. Löydät yleiset käsitteet DNS: stä ja DHCP: stä sekä kunkin jakelun erityispiirteet. Ne ovat Sisääntulopiste aiheeseen ja perusta monimutkaisemmalle kehitykselle.
Emme epäröi vielä kerran painottaa, että on tärkeää lukea jokaisen paketin oletusarvoisesti asennettu tekninen dokumentaatio, ENNEN kuin asetat yksityiskohtia. Sanomme sen omasta kokemuksestamme.
Seuraava toimitus
Se on luultavasti "Microsoft® Active Directory + BIND"
Mikä oppitunti oletkin lähettänyt kumppanin, en tiedä, mistä niin monimutkaisten aiheiden kapasiteetti yksityiskohtiin ja järjestykseen tulee.
Vilpittömimmät onnitteluni, kunnia lukea sinua
Minun on sanottava, että julkaisemasi oppaat ovat HOSTIA, rakastan niitä.
Odotan aina seuraavaa lukua.
Kun olet valmis, laitatko sen pdf-tiedostoon? Se on mielestäni erittäin arvokasta dokumentaatiota, joka ansaitsee hyvän pidon.
Paljon kiitoksia ja iso tervehdys.
Bafo.
Bafo: Kiitos paljon arvioinnistasi ja kommenteistasi. Paras palkinto ajasta, työstä ja vaivasta, jonka omistan jokaiselle tutorille, on kommentti. Olipa se positiivinen tai negatiivinen, mutta se on merkki siitä, että se ei jää huomaamatta. Luulen, että monet lukijat vain ladata ja tallentaa tai lisätä kirjanmerkkeihin. Mutta voin vain olettaa, että käyntien määrän mukaan. Harmi, ettei moni kommentoi, vaikka tiedän, että käsittelemäni kysymykset ovat pohjimmiltaan Sysadminsille. Terveisiä myös sinulle ja odotan sinua seuraavissa artikkeleissani.
Lisko: Kiitos rehellisestä arvioinnistasi, jonka pidän aina mielessä.
Millainen kokoonpano olisi, jos minulla on kaksi verkkoliitäntää sidonnan tapauksessa
Kiitos ja onnittelut materiaalista.
Artus: Kiitos kommentista ja onnittelut.
Vastaus kysymykseesi ansaitsee erillisen artikkelin Näkymien käytöstä - Näyttökerrat SIDOSSA.
Jos sinulla on vastuullasi delegoitu vyöhyke ja haluat, että sinulla on yksi BIND, jotta voit osallistua lähiverkkosi sisäisiin kyselyihin ja Internetin ulkoisiin kyselyihin - tietysti palomuurin suojaaman BIND: n kanssa - on suositeltavaa käyttää näkymiä .
Esimerkiksi Näkymien avulla voit esittää kokoonpanon pk-yrityksellesi ja toiselle Internetille. Kun emme määritä mitään näkymää nimenomaisesti, BIND luo implisiittisesti yhden, joka näyttää kaikki sitä käyttävät tietokoneet.
Näkymien käytöstä pidän sitä edistyneenä aiheena puede ja kirjoita siitä artikkeli ennen luvattua viestiä, joka ilmoitettiin sen lopussa.
Jos sinulla on kaksi verkkoliitäntää, jotka ovat pk-verkon edessä - kahden yksityisen verkon muodostamana - suunnittelusta, kuormituksen tasapainosta, laitteiden lukumäärästä tai muusta syystä ja haluat näyttää kaikki vyöhykkeet molemmille verkoille, voit ratkaise lausunnolla:
kuuntele
127.0.0.1;
IP-Private-Interface1;
IP-rajapinta-Yksityinen2;
};
Tällä tavalla BIND kuuntelee pyyntöjä molemmista rajapinnoista.
Jos kaikki tietokoneesi ovat esimerkiksi luokan C yksityisissä verkoissa 192.168.10.0/255.255.240.0 - jopa 4094 isäntää, voit käyttää myös lausetta:
kuuntelu {127.0.0.1; 192.168.10.0/20; };
Ja näytät edelleen yhden näkymän kaikille yksityiseen lähiverkkoon liitetyille tietokoneille.
Toivon, että lyhyt vastaukseni auttaa sinua. Terveisiä ja menestystä.
Kiitos vastauksesta niin pian. Näet, että asennan Debian-palvelimen versiolla 9 (Strech), sillä on DNS, dhcp ja kalmari välityspalvelimena. Sisältösuodattimille käytän e2guardiania.
Tietokoneessa on kaksi verkkoliitäntää, joiden avulla lähiverkossa olevat tietokoneet voivat siirtyä Internetiin.
reititin: 192.168.1.1
eth0: 192.168.1.55 (tämän käyttöliittymän kautta se siirtyy Internetiin)
eth1: 192.168.100.1 (lähiverkko)
Ajatuksena on, että tietokoneet voivat siirtyä Internetiin tämän välityspalvelimen kautta, joka tarjoaa myös ips: n ja dns: n sisäisen verkon tietokoneille.
Tässä tapauksessa en tarvitse palvelinta kuuntelemaan DNS-pyyntöjä eth0-liitännän kautta (en halua esittää vyöhykkeitäni molempiin verkkoihin, vain lähiverkkoon); joten jos poistan IP-private-interface1: n, riittäisikö se?
Kiitos vielä kerran ja terveisin.
Erittäin hyvä artikkeli ystäväni
Sinulla on BIND suonissasi, vaikka sanot ja ajattelet toisin 🙂
felicidades
Artus: Poista 192.168.1.55-käyttöliittymä kuuntelulausekkeesta ja siirry. Tai ilmoita vain kuuntelu {127.0.0.1; 192.168.100.1; }; ja siinä kaikki. BIND kuuntelee vain näitä rajapintoja.
Hyvin kiitos.
Eduardo: ystäväni, pidän yhä parempana dnsmasqia "pienissä" verkoissa, ja meidän on nähtävä, kuinka "suuret" ne voivat olla. 😉 Vaikka tunnistan, että BIND + isc-dhcp-palvelin on BIND + isc-dhcp-palvelin. 😉
Eduardo: Unohdin kertoa sinulle, että BIND-asiantuntija olet sinä, mestari.
Vuosia BIND: n kanssa ja jatkan oppimista kirjoituksissasi, kiitos paljon Federico, tällä oppaiden sarjalla sysadmin ammutaan. Palaan takaisin ja toistan, että ajatus kaiken tämän tiedon sisällyttämisestä viralliseen kannettavaan muotoon ei ole ollenkaan huono, anna sille, että jotain erittäin hyvää voi tulla esiin. Tervehdys.
Dhunter-ystävä: Kommenttisi ovat aina hyvin vastaan. Kaiken käsitteleminen on vaikeaa ja melkein mahdotonta, koska uusi aihe tulee aina esiin. Lukujen mukaan se menee ja on mahdollista. Joitakin artikkeleita olisi kirjoitettava uudelleen kokoonpanojen yhdenmukaisuuden lisäämiseksi. En lupaa mitään, mutta näemme.
hei federico, tässä ovat kommenttini:
1) Painopiste, jonka asetat «... lukemaan ennen BIND: n määritystä ja edes ENNEN Internetistä hakemista BIND: ään ja DNS: ään liittyviä artikkeleita ...» etsimällä niitä omalta tietokoneeltamme ja kaikesta tästä ... ... poistumatta kotoa ... »käyttää omia sanojasi.
2) Tässä viestissä on lisää teoriaa DNS: stä, joka täydentää kahdessa edellisessä viestissä annettua teoriaa, ja sitä arvostetaan aina; esimerkiksi: DNSSEC (Domain Name System Security Extensions) ja mihin sitä käytetään; samoin kuin BIND-määritysjärjestelmä sen staattisilla määritystiedostoilla, juuripalvelimien vyöhyketiedostoilla sekä paikallisen isännän eteen- ja taaksepäin-vyöhykkeillä Debianissa.
3) SUURI vinkki, jonka mukaan rekursiota ei poisteta käytöstä (käyttämällä riviä "rekursio no;") sisällytä sitten määritystiedostoon /etc/bind/named.conf.local, vyöhyketiedostot / etc / bind / zone. Rfc1918 ja / jne /bind/zones.rfcFreeBSD estää kaikkia niihin liittyviä kyselyjä jättämästä paikallista verkkoa juuripalvelimille.
4) Toisin kuin edellinen viesti CentOS 7: stä, tässä viestissä, jos TSIG-avain "dhcp-avain" luodaan DHCP: n dynaamisille DNS-päivityksille; jos haluat sallia sen tiedostossa /etc/bind/named.conf.local, sisällytä "allow-update {key dhcp-key; }; » verkkotunnuksemme suorien ja käänteisten vyöhykkeiden kokoonpanossa.
5) Kaikki yksityiskohdat (yhtä suuret kuin edellinen viesti CentOS 7: ssä) kaikesta, joka liittyy DNS: n, DHCP: n toiminnan tarkastamiseen ja asiakkaiden kanssa.
6) SUURI vinkki "install" -komennon käyttämiseen (jos kirjoitat sen, en tarkoita saman nimistä vaihtoehtoa, jota käytetään muissa komennoissa), en tiennyt sitä, sillä se on totta " 3 in 1 ", koska ryhmät kopioivat (cp), omistajien perustaminen (chown) ja käyttöoikeudet (chmod).
. Lopuksi, vastauksesi Artukselle Näkymien käytöstä BIND: ssä on erittäin hyvä, toinen lähiverkolle (yksityinen verkko) ja toinen Internetille, jotta vain julkisia palveluita voidaan käyttää. Toivottavasti myöhemmin sinulla on aikaa valmistaa viesti, koska se on hyvin käytännöllinen sovellusaihe monille sysadminille.
Mikään Federico, että olen edelleen innostunut PYMES-sarjasta, ja odotan innolla seuraavaa viestiä "Microsoft Active Directory + BIND"
Wong: Kollega ja ystävä, kommenttisi täydentävät artikkeleitani ja osoittavat, että ne ovat ymmärrettäviä. "Asenna" -komennolla on paljon enemmän vaihtoehtoja. Kysely mies asentaa. Kiitos tuhat kommentoinnista !!!
En ole vielä lukenut kommentteja, teen sen ilmoitettuani kriteerini.
Olet tehnyt paljon ja saavuttanut paljon, olet antanut meille valon, mutta et sitä, joka näkyy tunnelin »päässä», kun ei enää ole + toivoa, kuten me yleensä sanomme; ei, ei turhaan, olet antanut täydellisen valon voidaksesi sanoa "Lopulta ymmärrämme, että se on poikapeli, jossa on monia käsitteitä ja kova syntaksi", kuten selität postissa.
POSTIMATKO ja edellisten ohella pari tunnetumpaa distroa. Noudatit käsitteiden ja teorian laajentumista, joka monissa tapauksissa maksaa meitä. Olen lukenut yksityiskohtaisesti, rauhallisesti, ja on mahdotonta olla kommentoimatta ja tuntea TÄYSIN kiitollista tällaisesta omistautumisesta ja omistautumisesta.
Toivotamme sinulle ilman lisätoiveita kaikkea terveyttä ja että jatkat osallistumistasi; Kiitämme teitä ja saattaako onnea, taloudellisuutta, terveyttä (toivotamme teille kaksinkertaista) ja rakkautta (Sandran kanssa niin, että enemmän, hahaha).
Tiedän, että kommentti menee hieman viestin sisällön ulkopuolelle, se menee henkilökohtaiseen, koska olemme ystäviä ja ihailen epäitsekästä toimitustasi. Kukaan Kukaan ei tee sitä, mitä teet niille meistä, jotka haluavat oppia yhä enemmän, ja meidän vastuullamme on hallita pk-yritysten verkostoja harteillamme, ei helppo tehtävä.
Sl2 kaikille.
crespo88: Paljon kiitoksia arvioistasi tästä ja muista julkaistuista artikkeleista. Jotkut lukijat saattavat ajatella, että annan sen kaiken, kun se ei ole totta. Viittaan aina tulopisteeseen, vaikka esimerkit olisivat täysin toimivia. BIND on elektroninen teollisuus ja DHCP ei ole kaukana. Jos haluat tuntea ne keskimääräistä korkeammalla, sinun on suoritettava jatko-tutkinto Helsingin yliopistossa, 😉
Minusta tämä aihe on mielenkiintoinen ja erittäin tärkeä. Olen kiinnostunut tästä tutkimuksesta linux-verkkojen ja erityisesti palvelimien hallinnasta: dns, dynaamiset ja staattiset dhcp- ja virtuaaliverkot, bin9, samba, tulostuspalvelimet, ldap, verkonvalvonta sovelluksilla, tietokantojen kiinnitykset ohjelmoijien sovelluksille ja vlan jne. Siksi se on tärkeää, ja nämä vinkit ovat erittäin hyviä ja sisältävät käytäntöjä ja esimerkkejä.
Hei miguel !!!
Kiitos kommentoinnista ja toivon, että sarja auttaa sinua kiinnostavalla tavalla. Terveiset.
Paljon kiitoksia Federico-artikkelista, voit kertoa, että tiedät debianista. Halaus.
Kiitos Jorge kommentistasi. Toivottavasti artikkelini auttavat sinua.
Paljon kiitoksia postista, joka on hyvin dokumentoitu ja kehottaa meitä lukemaan, lukemaan ja lukemaan uudelleen. Seuraavan julkaisemasi viestin kanssa, jonka aiot julkaista, haluaisin, että otatte huomioon sen lähentymiskohdat, jotka sillä olisi:
Microsoft Active Directory ja Samba4 Active Directory
Lisäksi halusin kuulla seuraavia:
Kuinka Bind + Isc-dhcp: n toteutus olisi FW: ssä dmz: ssä, jossa toimialueohjain olisi dmz: ssä samba 4 AD: n kanssa