Dnsmasq CentOS 7.3: lla - pk-yritykset

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Hei ystävät!. Omistamme tämän artikkelin DNSmasq hyvin yksinkertainen ohjelma, joka tarjoaa palveluja DNS - DHCP käyttämällä yhtä ohjelmistoa. Paras ohjelmistoon liittyvä dokumentaatio on se, joka on asennettu paketin kanssa /usr/share/doc/dnsmasq-2.66/, kokoonpanotiedosto - täynnä esimerkkejä- /etc/dnsmasq.confja komennolla saatu mies dnsmasq. On myös erittäin terveellistä käydä luonasi Virallinen sivusto.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
yhteensä 136 -rw-r - r--. 1 juurijuuri 18007 17. huhtikuuta 2013 KOPIOINTI -rw-r - r--. 1 juuren juuret 59811 11. marraskuuta 13:20 CHANGELOG -rw-r - r--. 1 juurihakemisto 5164 17. huhtikuuta 2013 DBus-interface -rw-r - r--. 1 juurihakemisto 5009 17. huhtikuuta 2013 doc.html -rw-r - r--. 1 juurihakemisto 25075 17. huhtikuuta 2013 UKK -rw-r - r--. 1 juurihakemisto 12019 17. huhtikuuta 2013 setup.html
  • Viestissä kuvattu menettely pätee myös Debian 8 "Jessie" -ohjelmaan. / Etc / dnsmasq -määritystiedosto on sama. Jessiessa sinun on ehkä asennettava vain dnsmasq-paketti eikä mitään muuta. Kirjoitan sen, koska mielestäni on tarpeetonta tehdä erillinen artikkeli Dnsmasqille Debianissa. Onneksi dokumentointiin ja kokoonpanoon liittyvät hakemistot ovat samat,

Dnsmaq on Simon Kelley.

Mikä on Dnsmasq?

Ilmainen ohjelmisto DNSmasq on palvelin DNS Kuormatraktori y DHCP pienille tietokoneverkoille. Tyypillinen esimerkki ovat pk-yrityksemme nykyiset verkostot. Se vaatii vain vähän laitteistoresursseja toiminnalleen ja sitä voidaan käyttää useilla alustoilla, kuten Linux, BSD, Android ja OS X. Se sisältyy melkein kaikkiin Linux- ja BSD-jakelujen arkistoihin.

Palvelin DHCP ja DNSmasq Voit vuokrata IP-osoitteita dynaamisesti ja staattisesti useille verkoille, joilla on eri IP-osoitealueet. Se on integroitu palvelimeen DNS ja sen avulla paikalliset koneet, jotka saavat IP-osoitteen, näkyvät rekisteröityinä DNS: ssä oikeilla DNS-tietueilla, sekä suorilla että käänteisillä.

Natiivi tapa toimia DNSmasq tallentaa välimuistiin DNS-tietueet, jotka on saatu heidän kyselyjensä kautta Kuormatraktorit, vähentää näiden kuormitusta ja parantaa vastausnopeuden yleistä suorituskykyä erilaisiin DNS-kyselyihin.

Tukee nykyaikaisia ​​standardeja, kuten IPv6 y DNSSEC, Alkaa - Boot verkon kautta protokollien tuella BOOTP, TFTPJa PXE.

Linux-universumissa Dnsmasqia käytetään laajalti palvelimissa koneille, joissa ei ole kiintolevyä ja ohuita asiakkaita. Microsoft® Windows: ssa ohjelmiston kanssa ARDENCE®, vastaavaa - kuin Dnsmasq - käytetään DHCP-palvelimena, jota kutsutaan tellurian.

Missä skenaariossa voimme käyttää Dnsmasqia?

Jos juoksemme mies dnsmasq CentOSista saamme kyseisen käyttöoppaan sivun englanniksi. Tiedostossa dnsmasq.8.gz - espanjaksi - joka on asennettu Debian 8 «Jessie» - jakeluun, se näkyy precamente seuraava:

RAJAT

  • Resurssirajoitusten oletusarvot ovat yleensä konservatiivisia ja sopivia käytettäväksi reitittimen tyyppisissä laitteissa. jumissa hitaiden prosessorien ja vähäisen muistin kanssa. Laitteistossa enemmän  rajoja on mahdollista nostaa ja tukea monia muita Asiakkaat. Seuraava koskee mallia dnsmasq-2.37: aiemmat versiot eivät he kiipesivät niin hyvin.
  • Dnsmasq pystyy tukemaan DNS: ää ja DHCP: tä vähintään tuhannessa (1,000) Asiakkaat. Vuokra-aikojen ei tulisi olla liian lyhyitä (alle yksi aika). –Dns-forward-max -arvoa voidaan nostaa: aloita - vastaava määrä asiakkaita ja lisää sitä, jos DNS. Huomaa, että DNS-suorituskyky riippuu myös palvelimista Ylemmän tason DNS. DNS-välimuistin kokoa voidaan lisätä: raja Pakollinen on 10,000 nimeä ja oletusarvo (150) on hyvin alhainen. SIGUSR1: n lähettäminen dnsmasqiin tuottaa bitacore-tietoja hyödyllinen välimuistin koon hienosäätöön. Katso lisätietoja HUOMAUTUKSET-osiosta.
  • Sisäänrakennettu TFTP-palvelin pystyy tukemaan useita siirtoja samanaikaiset tiedostot: absoluuttinen raja liittyy prosessiin sallittujen tiedostojen käsittelyyn ja järjestelmien kykyynpuhelunvalinta () tukee suurta määrää tiedostokahvoja. Jos raja asetetaan liian korkeaksi –tftp-max: lla, se skaalataan ja todellinen raja kellotetaan käynnistyksen yhteydessä. Huomaa, että lisää siirtoja ovat mahdollisia, kun sama tiedosto lähetetään mitä kukin transferencia lähettää toisen tiedoston. Dnsmasq-ohjelmalla voidaan kieltää verkkomainonta luettelon avulla tunnetut banneripalvelimet, jotka kaikki ratkaisevat 127.0.0.1 tai 0.0.0.0 tiedostossa / etc / hosts tai ylimääräisessä hosts-tiedostossa. Luettelo voi olla hyvin pitkä. Dnsmasqia on testattu onnistuneesti miljoonalla nimellä. Tiedoston koko vaatii 1 GHz: n suorittimen ja likimääräisen60 Mt RAM-muistia.

En kirjoittanut tai muokannut yllä olevia kappaleita lainkaan. Ne heijastuvat, kun ne tulevat mies espanjaksi alkaen dnsmasq 2.72 Debian 8.6 -tietovarastosta. Niiden ja tämän ohjelmiston käytön käytännön perusteella voimme päätellä, että on harvinaista - ei mahdotonta - löytää pk-yritysverkostoistamme skenaario, joka ylittää 1000-asiakkaat tai lähiverkkoon kytkettyjen tietokoneiden kanssa.

  • Dnsmasq pystyy tukemaan DNS: ää ja DHCP: tä vähintään tuhannessa (1,000) clientes.

Huomioita sivuun

Minusta on aina vaikuttanut, että palkittu ohjelmisto ClearOS Enterprise 5.2 SP1 käyttää siihen liittyvää Dnsmasqia NTP- oletusarvoisesti infrastruktuuripalvelimena ja jatkaa sen käyttöä sellaisenaan ainakin versioon 7.xxx asti Tiedotteet maksat asentaa Active Directory® -sovelluksen, joka perustuu Samba 4: een. Harmi meille, vapaiden ohjelmistojen ystäville, että yritys ClearFoundationlopettaa kyseisen laatuisten ohjelmistojen toimittamisen versioissa 5.xxx jälkeen ilmeisen paremman rahallisen voiton vuoksi. Mielestäni se on haitallista itse yritykselle.

Vaikka olen tuuletin Debian -enkä halua tehdä propagandaa henkilökohtaisesta valinnastani ollenkaan- Olen aina ihaillut yritystä Red Hat®, Inc. jonka liiketoimintamalli on asettanut sen kiistattomaksi vapaiden ohjelmistojen johtajaksi. Lisäksi se on tähtikäyttöjärjestelmänsä CentOS-binaarikloonin - 100-prosenttisesti ilmaisen ohjelmiston - sponsori Red Hat® Enterprise Linux - RHEL. Jostakin sanotaan, että CentOS on tukematon RHEL 😉

  • Minulla on a Samba Clasic NT 4.0 -tyylinen ensisijainen toimialueen ohjain perustuu ClearOS Enterprise 5.2 SP1 yli neljän vuoden ajan yrityksen verkossa, jossa on asiakkaita Windows XP, 4, 7, Windows Server 8 ja Windows Server 2003. Mitä kutittaa pari rekisteriarvoa jokaisesta Windows-asiakkaasta, jonka versio on XP: tä korkeampi? On totta. Mikä toimii parhaiten? Se on myös totta. Että joukkueiden lukumäärä ei nouse 2012: een?

Terve järki

  • Vaikka minulle «Common Sense on vähiten yleinen aisteista», sijoita itsesi ensin tarpeisiisi ja valitse sitten taiteellinen kohtaus sen mukaan, mitä sinun on ilmaistava ja ratkaistava oman käsikirjoituksesi mukaan.
  • Älä käytä mannertenvälistä ohjusta hyttynen tappamiseen. Älä vaikeuta elämää tarpeettomasti: aloita yksinkertaisimmalla ratkaisulla. Jos et ratkaise sitä, nosta monimutkaisuus yhdellä pisteellä ja niin edelleen.

Asennetaan CentOS 7 ja Dnsmasq

Perusjärjestelmän asennusta varten meitä ohjataan artikkeli CentOS 7 -hypervisori I ja pakettivalinnassa merkitsemme vain vaihtoehdon «Infrastruktuuri-palvelin«. Tämän artikkelin valmistelussa käytettävät yleiset parametrit ovat seuraavat:

Virtuaalikoneen FQDN-nimi: dns.desdelinux.tuuletin
IP-osoite: 10.10.10.5

CentOS 7 asentaa oletusarvoisen dnsmasqin

Kyllä, hyvät lukijat, paketti CentOS 7: ssä dnsmasq se asennetaan infrastruktuuripalvelimen asennuksen aikana ja Luulen kuin muissakin vaihtoehdoissa.

[root @ dns ~] # yum info dnsmasq
Ladatut laajennukset: nopein peili, langpacks Peilien nopeuksien lataaminen välimuistissa olevasta isäntätiedostosta Asennetut paketit Nimi: dnsmasq Arkkitehtuuri: x86_64 Versio: 2.66 Julkaisu: 21.el7 Koko: 464 k
Arkisto: asennettu
Arkistosta: centos-base Yhteenveto: Kevyt DHCP / välimuistin DNS-palvelimen URL: http://www.thekelleys.org.uk/dnsmasq/ Lisenssi: GPLv2 Kuvaus: Dnsmasq on kevyt, helppo määrittää DNS-huolitsija ja DHCP: palvelin . Se on suunniteltu tarjoamaan DNS ja mahdollisesti DHCP: n: pienelle verkolle. Se voi palvella paikallisten koneiden nimiä, jotka eivät ole globaalissa DNS: ssä. DHCP-palvelin integroituu DNS: n palvelimeen ja sallii koneiden, joilla on DHCP: lle osoitetut osoitteet, näkyvän DNS: ssä nimillä, jotka on määritetty joko kullekin isännälle tai: keskusasetustiedostoon. Dnsmasq tukee staattista ja dynaamista: DHCP-vuokrat ja BOOTP levytöntä koneiden käynnistystä varten verkossa.

Versio dnsmasq asennettu on 2.66 ja vastaa CentOS-versiota:

[root @ dns ~] # kissa / proc / versio
Linux-versio 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc-versio 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC)) # 1 SMP ke 18. tammikuuta 13:06:36 UTC 2017

Otetaan käyttöön ja konfiguroidaan dnsmasq

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5 dns.desdelinux.fan dns

[root @ dns ~] # isäntänimi
dns
[root @ dns ~] # isäntänimi -f
dns.desdelinux.tuuletin


[root @ dns ~] # systemctl ota käyttöön dnsmasq
[root @ dns ~] # systemctl Käynnistä dnsmasq
[root @ dns ~] # systemctl-tila dnsmasq
● dnsmasq.service - DNS-välimuistipalvelin. Ladattu: ladattu (/usr/lib/systemd/system/dnsmasq.service; käytössä; toimittajan esiasetus: pois käytöstä) Aktiivinen: aktiivinen (käynnissä) lauantai 2017-02-18 11:47:19 EST; 4s sitten PID: 1179 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1179 / usr / sbin / dnsmasq -k 18. helmikuuta 11:47:19 dns systemd [1]: Aloitettu DNS-välimuistipalvelin .. helmikuu 18 11:47:19 dns systemd [1]: Käynnistetään DNS-välimuistipalvelin .... 18. helmikuuta 11:47:19 dns dnsmasq [1179]: aloitettu, versio 2.66 välimuisti 150 helmikuuta 18 11:47:19 dns dnsmasq [1179 ]: käännösaikavaihtoehdot: IPv6 GNU-getopt DB ... 18. helmikuuta 11:47:19 dns dnsmasq [1179]: /etc/resolv.conf lukeminen 18. helmikuuta 11:47:19 dns dnsmasq [1179]: nimipalvelimen ohittaminen 127.0.0.1 - paikallinen ... ce 18. helmikuuta 11:47:19 dns dnsmasq [1179]: lue / etc / hosts - 3 osoitetta Vihje: Jotkut rivit olivat ellipsin muotoisia, käytä -näppäintä näyttääksesi ne kokonaan.

Älä unohda seuraavaa vaihetta:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Kiinteät IP-osoitteet

Dnsmasqin yhteydessä palvelimien tai tietokoneiden osoitteet, jotka vaativat kiinteän IP-yhteyden - sekä IPv4 että IPv6 - ilmoitetaan tiedostossa / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 # Palvelimet 10.10.10.1 sysadmin.desdelinux.fan sysadmin 10.10.10.3 ad-dc.desdelinux.fan ad-dc 10.10.10.4 tiedostopalvelin.desdelinux.fan-tiedostopalvelin 10.10.10.5 dns.desdelinux.fan dns 10.10.10.6 proxyweb.desdelinux.fan proxyweb 10.10.10.7 blogi.desdelinux.faniblogi 10.10.10.8 ftpserver.desdelinux.fan ftpserver 10.10.10.9 sähköposti.desdelinux.ihailijaposti

Luodaan tiedosto /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------- ------------------ # YLEISET VAIHTOEHDOT # ------------------------------ --------------------------------------- verkkotunnusta tarvitaan # Älä välitä nimiä ilman verkkotunnusta part bogus-priv # Älä välitä osoitteita reitittämättömässä tilassa expand-hosts # Lisää toimialue automaattisesti isäntäliitäntään=eth0 # Interface. OLE VAROVAINEN käyttöliittymän kanssa # paitsi-interface=eth1 # ÄLÄ kuuntele tätä NIC:n tiukkaa järjestystä # Järjestys, jossa tarkastelet tiedostoa /etc/resolv.conf # Sisällytä monia muita asetusvaihtoehtoja # tiedoston kautta tai etsimällä # konfiguraatiotiedostot lisää hakemistossa # conf-file=/etc/dnsmasq.more.conf conf-dir=/etc/dnsmasq.d # Liittyy Domain Name domain=desdelinux.fan # Domain name # Time Server on 10.10.10.1 address=/time.windows.com/10.10.10.1 # Lähettää tyhjän vaihtoehdon WPAD-arvosta. Vaaditaan # Windows 7:n ja uudempien asiakkaiden toimimiseksi oikein. ;-) dhcp-option=252,"\n" # Tiedosto, jossa ilmoitamme "kielletyt" isännät addn-hosts=/etc/banner_add_hosts # --------------- --- ------------------------------------------------ --- # RECORDSCNAMEMXTXT # --------------------------------------------- --- --------------------- # Tämäntyyppinen rekisteröinti vaatii merkinnän # /etc/hosts-tiedostoon # esim. 10.10.0.7 blogi.desdelinux.faniblogi # cname=ALIAS,REAL_NAME cname=www.desdelinux.fani,blogi.desdelinux.fan # MX RECORDS # Palauttaa MX-tietueen nimellä "desdelinux.fan" on tarkoitettu # postitiimille.desdelinux.tuuletin ja prioriteetti 10 mx-host=desdelinux.ihailijaposti.desdelinux.fan,10 # Localmx-vaihtoehdolla # luotujen MX-tietueiden oletuskohde on: mx-target=mail.desdelinux.fan # Palauttaa MX-tietueen, joka osoittaa mx-target KAIKKIIN # paikallisiin koneisiin localmx # TXT-tietueisiin. Voimme myös ilmoittaa SPF-tietueen txt-record=desdelinux.fan"v=spf1 a -all" txt-record=desdelinux.tuuletin,"DesdeLinux, sinun blogisi omistettu vapaille ohjelmistoille" # ------------------------------------------ -------------------------- # --------------------- --- ----------------------------------------- # Rangeandyouroptions # --- --- ----------------------------------------------- --- ----------- # IPv4-alue ja vuokra-aika # 1-29 ovat palvelimia ja muita tarpeita varten dhcp-range=10.10.10.30,10.10.10.250,8h

dhcp-vuokraus-max = 222 # Vuokrattavien osoitteiden enimmäismäärä
                        # on oletusarvoisesti 150
# IPV6 Range # dhcp-range=1234::, ra-only # Vaihtoehdot kohteelle RANGE # OPTIONS dhcp-option=1,255.255.255.0 # NETMASK dhcp-option=3,10.10.10.253 # ROUTERDOD.6,10.10.10.5 # ROUTERDhATE15.cpXNUMX XNUMX # DNS-palvelimet dhcp-option=XNUMX,desdelinux.fan # DNS Domain Name dhcp-option=19,1 # vaihtoehto ip-forwarding PÄÄLLÄ dhcp-option=28,10.10.10.255 # LÄHETYS dhcp-option=42,10.10.10.1 # NTP # dhcp-CH=40, NIS-verkkotunnus # dhcp-option=41,10.10.10.5 # NIS-palvelin # ULKOINEN SAMBA4 WINS PALVELIN # # dhcp-option=44,10.10.10.5 # WINS # dhcp-option=45,10.10.10.5NSER4 #SIMBA46,8. SAMBA73,10.10.10.3 EXTERNAL # # dhcp-option=XNUMX # NetBIOS Node # dhcp-option=XNUMX # Sormipalvelin dhcp-authoritative # DHCP Valtuutettu aliverkossa # ------------- - -------------------------------------------------- --- # ---------------------------------------------- --------------------- # LOGGINGAL /var/log/messages # -------------------- ------------------------------------------------ lokikyselyt

#Etet/dnsmasq.conf-tiedoston LOPPU
# ------------------------------------------------- ------------------

Tarkistetaan syntaksia ja käynnistetään palvelu uudelleen

[root @ dns ~] # dnsmasq --testi
dnsmasq: syntaksitarkista OK.
[root @ dns ~] # systemctl käynnistä dnsmasq uudelleen
[root @ dns ~] # systemctl-tila dnsmasq
● dnsmasq.service - DNS-välimuistipalvelin. Ladattu: ladattu (/usr/lib/systemd/system/dnsmasq.service; käytössä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: aktiivinen (käynnissä) lauantai 2017-02-18 12:48:05 EST; 5s sitten PID: 1288 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1288 / usr / sbin / dnsmasq -k 18. helmikuuta 12 48:05:1 dns systemd [18]: Aloitettu DNS-välimuistipalvelin .. helmikuu 12 48:05:1 dns systemd [18]: Käynnistetään DNS-välimuistipalvelin .... 12. helmikuuta 48:05:1288 dns dnsmasq [2.66]: aloitettu, versio 150 välimuisti 18 helmikuuta 12 48:05:1288 dns dnsmasq [6 ]: käännösaikavaihtoehdot: IPv18 GNU-getopt DB ... 12. helmikuuta 48:05:1288 dns dnsmasq-dhcp [10.10.10.30]: DHCP, IP-alue 10.10 - 18 .... h 12. helmikuuta 48:05 : 1288 dns dnsmasq [18]: /etc/resolv.conf lukeminen 12. helmikuuta 48:05:1288 dns dnsmasq [127.0.0.1]: nimipalvelimen ohittaminen 18 - paikallinen ... ce 12. helmikuuta 48:05:1288 dns dnsmasq [ 11]: lue / etc / hosts - XNUMX osoitetta
18. helmikuuta 12:48:05 dns dnsmasq [1288]: nimien lataaminen tiedostosta /etc/banner_ad...ry epäonnistui
Vihje: Joissakin riveissä oli ellipsisoituja, käytä -l-näytettä kokonaan.

Huomaa, että edellisessä lähdössä systemctl-tila dnsmasq palauttaa virheen:

18. helmikuuta 12:48:05 dns dnsmasq [1288]: nimien lataaminen tiedostosta /etc/banner_ad...ry epäonnistui

valittamalla, että et löydä tiedostoa / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # systemctl käynnistä dnsmasq.service uudelleen 
[root @ dns ~] # systemctl käynnistä dnsmasq.service uudelleen 
[root @ dns ~] # systemctl-tila dnsmasq.service 
● dnsmasq.service - DNS-välimuistipalvelin. Ladattu: ladattu (/usr/lib/systemd/system/dnsmasq.service; käytössä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: aktiivinen (käynnissä) lauantai 2017-02-18 12:54:26 EST; 7 s sitten PID: 1394 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1394 / usr / sbin / dnsmasq -k 18. helmikuuta 12 54:26:1 dns systemd [18]: Aloitettu DNS-välimuistipalvelin .. helmikuu 12 54:26:1 dns systemd [18]: Käynnistetään DNS-välimuistipalvelin .... 12. helmikuuta 54:26:1394 dns dnsmasq [2.66]: aloitettu, versio 150 välimuisti 18 helmikuuta 12 54:26:1394 dns dnsmasq [6 ]: käännösaikavaihtoehdot: IPv18 GNU-getopt DB ... 12. helmikuuta 54:26:1394 dns dnsmasq-dhcp [10.10.10.30]: DHCP, IP-alue 10.10 - 18 .... h 12. helmikuuta 54:26 : 1394 dns dnsmasq [18]: /etc/resolv.conf lukeminen 12. helmikuuta 54:26:1394 dns dnsmasq [127.0.0.1]: nimipalvelimen ohittaminen 18 - paikallinen ... ce 12. helmikuuta 54:26:1394 dns dnsmasq [ 11]: lue / etc / hosts - 18 osoitetta 12. helmikuuta 54:26:1394 dns dnsmasq [0]: lue / etc / banner_add_hosts - XNUMX osoitetta Vihje: Jotkut rivit ellipsin muotoiset, käytä -l-näppäintä näyttääksesi ne kokonaan.

Ja DNS- ja DHCP-palvelut ovat jo käynnissä.

Tärkeä

  • Jos muokkaamme tiedostoa /etc/dnsmasq.conf, meidän on käynnistettävä palvelu uudelleen, jotta muutokset tulevat voimaan.
  • Jos muokkaamme tiedostoa / etc / hosts poistamaan, muokkaamaan tai lisäämään kiinteän IP: n vastaavalla isäntänimellä, meidän on käynnistettävä palvelu uudelleen, jotta muutokset tulevat voimaan..
  • systemctl reload dnsmasq.service -palvelua ei voi käyttää tämän palvelun kanssa.

Avaamme tarvittavat portit palomuurissa

Ystäväni ja kollegani Luigys Toron artikkelissa -alias lisko- "Kuinka avata portteja Centos 7 -palomuurissa»Menettely, jota meidän on noudatettava avataksemme palomuurin portit, jotka CentOS asentaa oletuksena, on selitetty hyvin. En vieläkään tiedä miten soveltaa Selinux-kontekstisääntöjä CentOS: n dnsmasq-palveluun. Jos joku tuntee hänet, valaise meitä.

tiedostojen / Etc / protokollia y / etc / services Ne ovat erittäin hyvä opas tietääksemme, mitkä portit meidän on avattava, jotta Dnsmasqin tarjoamat DNS- ja DHCP-palvelut toimisivat hyvin.

[root @ dns ~] # palomuuri-cmd --get-active-zone
julkiset rajapinnat: eth0

palvelu verkkotunnuksen o Verkkotunnuspalvelin (dns). Pöytäkirja napata «IP salauksella»

[root @ dns ~] # palomuuri-cmd - vyöhyke = julkinen --add-portti = 53 / tcp --pysyvä
menestys

[root @ dns ~] # palomuuri-cmd - vyöhyke = julkinen --add-portti = 53 / udp - pysyvä
menestys

palvelu saappaat o BOOTP-palvelin (dhcp). Pöytäkirja IPPC «Internet Pluribus -pakettiydin»

[root @ dns ~] # palomuuri-cmd - vyöhyke = julkinen --add-portti = 67 / tcp --pysyvä
menestys

[root @ dns ~] # palomuuri-cmd - vyöhyke = julkinen --add-portti = 67 / udp - pysyvä
menestys

[root @ dns ~] # palomuuri-cmd - lataa
menestys

[root @ dns ~] # palomuuri-cmd --list-all
public (aktiivinen) kohde: oletusarvoinen icmp-block-inversion: ei rajapintoja: eth0 lähteet: palvelut: dhcpv6-client ssh -portit: 53 / udp 67 / tcp 53 / tcp 67 / udp -protokollat: naamiointi: ei eteenpäin-portteja: lähdeportit: icmp-lohkot: rikas säännöt:

Tärkeä

  • Jos aiomme tarjota IPv6-osoitevuokrauspalveluja, meidän on myös avattava portit dhcpv6-palvelin 547 / tcp ja dhcpv6-palvelin 547 / udp.

Tarkastukset

Tarkastellaan läpi useita DNS-kyselyjä, miten upouusi vastikään asennettu Dnsmasq toimii. Tätä varten valitsemme tunnetun joukkueen sysadmin.desdelinux.tuuletin, ja tältä tietokoneelta, joka on kytketty lähiverkkoon, suoritamme useita kyselyjä, mutta emme ennen kuin tarkistamme, että tiedosto on oikein määritetty / Etc / resolv.conf:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Luonut NetworkManager-haun desdelinux.fan nameserver 10.10.10.5

Tiedoston asetukset / Etc / resolv.conf pitää paikkansa. Aloitetaan neuvottelut

buzz @ sysadmin: ~ $ isäntä dns
dns.desdelinux.fanin osoite on 10.10.10.5 Host dns.desdelinux.fania ei löydy: 5(REFUSED) dns.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

Ehdotetulla kokoonpanolla voimme hylätä komennon lähdön isäntä ilman vaihtoehtoja, kun kyseessä on Dnsmasq, kun palautetaan seuraavanlaisia ​​rivejä:

Isäntä dns.desdelinux.fania ei löydy: 5(REFUSED)

Jos emme halua tällaista lähtöä, meidän on käytettävä komentoa isäntä vaihtoehdoilla -t A, -t CNAME, -t NS, -t SOA, -t SIG, -t AXFR. Katso mies isäntä Lisätietoja:

buzz@sysadmin:~$ isäntä -t To dns.desdelinux.tuuletin
dns.desdelinux.fanin osoite on 10.10.10.5

[root @ dns ~] # isäntä -t DNS: ään
dns.desdelinux.fanin osoite on 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ isäntä 10.10.10.5
5.10.10.10.in-addr.arpa verkkotunnuksen nimen osoitin dns.desdelinux.tuuletin.

Dnsmasqia ei ole tarkoitettu Master - Slave-järjestelmään

buzz@sysadmin:~$ isäntä -t AXFR desdelinux.tuuletin
"Yrittää"desdelinux.fani" Isäntä desdelinux.fania ei löydy: 5(REFUSED) ; Siirto epäonnistui.

Sitä ei myöskään ole tarkoitus palauttaa NS- ja SOA-tietueisiin

buzz@sysadmin:~$ isäntä -t NS desdelinux.tuuletin
Isäntä desdelinux.fania ei löydy: 5(REFUSED)

buzz@sysadmin:~$ isäntä -t SOA desdelinux.tuuletin
Isäntä desdelinux.fania ei löydy: 5(REFUSED)

buzz@sysadmin:~$ kaivaa SOA:ssa desdelinux.tuuletin
buzz@sysadmin:~$ dig IN NS desdelinux.tuuletin

Jos se tukee MX-, CNAME- ja TXT-tietueita

buzz @ sysadmin: ~ $ isäntä -t osoitteeseen www
www.desdelinux.fan on blogin alias.desdelinux.tuuletin. Blogi.desdelinux.fanin osoite on 10.10.10.7
buzz@sysadmin:~$ isäntä -t MX desdelinux.tuuletin
desdelinux.fanipostia käsittelee 10 posti.desdelinux.tuuletin.

buzz @ sysadmin: ~ $ host -t CNAME www
www.desdelinux.fan on blogin alias.desdelinux.tuuletin.

buzz@sysadmin:~$ isäntä -t Blogiin.desdelinux.tuuletin
blogi.desdelinux.fanin osoite on 10.10.10.7

buzz@sysadmin:~$ isäntä -t TXT desdelinux.tuuletin
desdelinux.fani kuvaava teksti "DesdeLinux, ilmaisille ohjelmistoille omistettu blogisi"
desdelinux.fan kuvaava teksti "v=spf1 a -all"

PTR tallentaa tiedustelut

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa verkkotunnuksen nimiosoitinblogi.desdelinux.tuuletin.

buzz @ sysadmin: ~ $ isäntä 10.10.10.7
7.10.10.10.in-addr.arpa verkkotunnuksen nimiosoitinblogi.desdelinux.tuuletin.

Microsoft® Windows -asiakkaat

Erittäin terveellistä on ajaa palvelinkonsolilla dns.desdelinux.tuuletin komento journalctl -f ENNEN kuin käynnistät koneen, jossa on Microsoft® Windows -käyttöjärjestelmä, näet valtavan määrän DNS-kyselyitä, joita se tekee eri sivustoille. Se on todella viihdyttävää. 😉

Jos haluamme estää joihinkin näistä sivustoista liittyvien kyselyjen siirtymisen Roots-palvelimille - Root-palvelimet tai kohti Kuormatraktorit jonka ilmoitamme tiedostossa / Etc / resolv.conf, voimme käyttää tiedostoa hyvin / etc / banner_add_host, täyttämällä se niin monella sivustolla kuin meidän on ilmoitettava. Esimerkki:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --testi
dnsmasq: syntaksitarkista OK.

[root @ dns ~] # systemctl käynnistä dnsmasq.service uudelleen 
[root @ dns ~] # systemctl-tila dnsmasq.service

[root @ dns ~] # isäntä -t osoitteeseen spynet4.microsoft.com
spynet4.microsoft.com -sivustolla on osoite 127.0.0.1

[root @ dns ~] # isäntä -t osoitteeseen www.download.windowsupdate.com
www.download.windowsupdate.com on osoite 127.0.0.1
  • / Etc / banner_add_hosts-tiedoston muoto on sama kuin / etc / hosts-tiedosto. Muista, että "kiellettävien" verkkotunnusten luettelo voi olla niin pitkä kuin tarvitsemme osiossa mainitun mukaisesti RAJAT tämän artikkelin.

Tarkista asiakkaalta seitsemän.desdelinux.tuuletin joka antoi IP-osoitteen:

buzz @ sysadmin: ~ $ isäntä -t seitsemän
seitsemän.desdelinux.faneilla on osoite 10.10.10.115

suoritamme komennon itse Windows-asiakkaassa cmd:

Microsoft Windows [Version 6.1.7601]
Tekijänoikeudet (c) 2009 Microsoft Corporation. Kaikki oikeudet pidätetään.

C: \ Users \ buzz> nslookup
Oletuspalvelin: dns.desdelinux.fan Osoite: 10.10.10.5 > dns Palvelin: dns.desdelinux.fan Osoite: 10.10.10.5 Nimi: dns.desdelinux.fan Osoite: 10.10.10.5 > ftpserver Palvelin: dns.desdelinux.fan Osoite: 10.10.10.5 Nimi: ftpserver.desdelinux.fan Osoite: 10.10.10.8 > www Palvelin: dns.desdelinux.fani Osoite: 10.10.10.5 Nimi: blogi.desdelinux.faniosoite: 10.10.10.7 Aliakset: www.desdelinux.fan > sähköposti Palvelin: dns.desdelinux.fani Osoite: 10.10.10.5 Nimi: posti.desdelinux.fan Osoite: 10.10.10.9 > sysadmin Palvelin: dns.desdelinux.fan Osoite: 10.10.10.5 Nimi: sysadmin.desdelinux.fan Osoite: 10.10.10.1 > www.download.windowsupdate.com Palvelin: dns.desdelinux.fan-osoite: 10.10.10.5 Nimi: www.download.windowsupdate.com Osoite: 127.0.0.1 > sulje C:\Users\buzz>

Yhteenveto

Toistaiseksi olemme nähneet muutamia Dnsmasqin pääpiirteitä. Ehdotan Lue ja tutki tämän artikkelin ensimmäisessä kappaleessa mainittuja tiedostoja, jos haluat tietää enemmän tästä upeasta - ja yllättävästä - ohjelmasta. Sen avulla voimme helpottaa elämäämme huomattavasti.

Noin 2014 luin artikkelin «Ohjeet: Samba4 AD PDC + Windows XP, Vista ja 7«. Artikkelin luoja ilmoittaa punastumatta: «Vihaan sitomista, joten se on dnsmasq pelastus»(Sic) mikä enemmän tai vähemmän tarkoittaa«Vihaan BINDiä, joten Dnsmasq tulee apuun«. En tiedä, että tätä sanaa ei sanonut minä.

Välitetysti kommentoin, että kirjoittaja ei tee selväksi joidenkin DNS-tietueiden alkuperää, ja yleisesti ottaen se ei ole hyvä opas Active Directory® -sovelluksen käyttöönottoon Samba 4: n pohjalta. Dnsmasq.

En vihaa BINDiä lainkaan. Sen osoittavat neljä edellistä -4- artikkeliani:

Kuten olen aikaisemmin kirjoittanut, melkein koskaan minä suosittelenmutta Ehdotan. Dnsmasqin tapauksessa kyllä minä suosittelen sen käytöstä pk-yritysverkoissa.

Seuraava toimitus

Seuraava erä -luulen luulevani- Omistan sen Dnsmasqin integroimiseksi Microsoft® Active Directory® -ohjelmaan. Se on hyvä lähtökohta artikkelille -muy- myöhemmin käsitellään AD-DC: n tekemistä Samba 4: n ja Dnsmasqin kanssa.


12 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   John Hernandez dijo

    Huomenta villi !!! Vahvistan kaiken, mitä sanot, ja todella, että kyseisen verkon toiminta ei tähän mennessä aiheuta valitusta. En ole enää kyseisen verkon järjestelmänvalvoja, koska tiedät ongelmat, jotka minulla oli ... mutta vaikka olin vastuussa verkosta ja tähän asti, kun kommunikoin sen edessä olevan kanssa, ei ole syytä valittaa. Parhaat kokemukseni ClearOS: sta ja DNSmasqista.

  2.   Federico dijo

    Ystävä Joan, kiitos avustasi vahvistaessani mitä kirjoitin yrityksestä ClearOS: n kanssa.

  3.   metsästäjä dijo

    Pidän eniten dnsmasqista siitä, kuinka monipuolinen se voi olla, yhdessä tiedostossa määrität DNS: n ja DHCP: n. Suorituskyvyn suhteen minulla ei ole valituksia, jonkin aikaa sitten sammutin 2003R2-palvelimen, joka toimi DC: nä, useita Linux-asiakkaita kaukaisista kunnista "ripustettiin", ja koska minulla ei ollut mitään tapaa muuttaa heidän DNS-asetuksiaan, nostin Jessien tällä IP-osoitteella ja dnsmasq tallentaa uuden DNS: n välimuistiin, kaikki ok.
    Erittäin hyvä artikkeli Fico, terveisin.

    1.    Federico dijo

      Mitä mieltä olet konservatiivisesta rajoituksesta palvella jopa 1000 tietokonetta? Minulla on mahdollisuus tarkistaa tiedot sellaisen ystävän kanssa, joka on omistautunut tarjoamaan «Captive» -sivuston palveluja WiFi-yhteyden kautta ja joka äskettäin antoi palvelun - BIND + Isc-dhcp: llä - yli 1000 matkapuhelimelle Karl Marx -teatterissa . Hän palkkasi minut tekemään hänestä palvelin, jolla on mahdollisimman vähän resursseja, tähän työhön.

      1.    metsästäjä dijo

        On oltava selvää, että nämä ns. "Rajat" mitattiin muutama vuosi sitten, ja laitteistojen ollessa selvästi nykyisen standardin alapuolella, sekä dnsmasq että asiakkaat ovat kehittäneet paljon, olen varma, että se pitää yllä näiden käyttäjien kuormitusta. Dokumentoi ja estä aina tuhat ja yksi kysely, jotka Android yrittää soittaa kotiin, hehe. Kippis

  4.   Federico dijo

    Otan neuvosi erittäin vakavasti, metsästäjä. Kiitos taas

  5.   IWO dijo

    Kuten on tullut yleistä tässä pk-sarjassa, tämä "DNSMASQ" -viesti on toinen hieno artikkeli, jonka kirjoittaja antaa meille sysadmineille kehittää itseämme teknisesti ja teoreettisesti.
    Henkilökohtaisessa tapauksessa tiesin epämääräisesti dnsmasqista, koska olin asettanut etusijalle DNS (Bind) ja DHCP kahdeksi itsenäiseksi palveluksi. Minulle se on hienoa! Dnsmasq-asia, jonka avulla molemmat voidaan määrittää yhdessä palvelussa (tiedoston /etc/dnsmasq.conf kautta).
    Loistava! joka pystyy tukemaan vähintään 1,000 asiakasta DNS: llä ja DHCP: llä vaikuttamatta sen suorituskykyyn.
    Erittäin hyvä on myös VINKKI siitä, miten vältetään juuripalvelimiin tai huolitsijoihin liittyvät kysymykset / etc / banner_add_host -tiedoston avulla, johon lisätään "N" -sivustot, jotka meidän on ilmoitettava ikään kuin ne olisivat "paikalliset isännät".
    Lopuksi, ja kuten kirjoittajalla on ollut tavallista "Seuraava toimitus" -osiossa, hän aikoo nyt toimittaa toisen helmen "Dnsmasqin integrointi Microsoft® Active Directory® -palveluun".
    No, odotamme sitä jo innolla.

  6.   eläinrata dijo

    Olin kiireinen enkä voinut seurata artikkeleitasi. Olen kaipannut joitain. Jokainen uusi kirjoituksesi on miellyttävä yllätys, joka sisältää uusia opetuksia. Jatka, ystävä Fico

  7.   crespo88 dijo

    Dnsmasq, olen todistamassa sen toimintaa päivittäin, se on paras. Olen aina kertonut sinulle ja vaatinut bind9: n ja isc-dhcp-palvelimen integrointia (ratkaisu, josta pidän paljon, koska kokeillessani niin monta kertaa olen oppinut ja nähnyt ja hankkinut mitä vähän tiedän dns: stä ja dhcp: stä, VIIII, voisin nähdä mitä Microsoft ei anna sinun tarkkailla, mitä he eivät halua sinun oppivan ja pitävän sinut pimeässä ja lukitussa huoneessa, ne ovat todella palveluja, joista puhuttiin ikään kuin he olisivat hirviöitä ja he ovat hyviä ihmisiä, voit käsitellä heille totuutta), ja kiitos Tähän sinut pakotettiin parantamaan itseäsi vielä enemmän, itse asiassa näemme jo kaikki tämän työn tulokset ja kiitämme viestiesi laadusta.
    Erityisesti tämä on super, en ota luottoa muilta, TOTEUTTA EI, EI edes ajattele sitä; mutta kiitos teille, että tapasin ystäväni dnsmasqin ja asuinpaikkani verkosto elää enemmän kuin onnellisena tavata Simon Kelleyn luoman uuden kollegamme. Kiitos myös hänestä.

  8.   Federico dijo

    IWO: Et odota kauan seuraavaa viestiä. En ole vielä saanut sitä päätökseen, koska olen kiireinen päivittäisessä työssäni. Aika ... Mutta varmasti sinulla on se ensi viikolle.

  9.   Federico dijo

    Crespo88: En voi lisätä mitään muuta täydelliseen kommenttiisi. Ja minulla on jo vähän aikaa, koska navigointi loppuu kello 7 😉
    Kiitos!.

  10.   caesareli dijo

    Hei, FICO. Erittäin hyvä artikkeli.
    Haluaisin tietää, miten dnsmasq otetaan käyttöön baremetalissa (HP Proliant gen 8), joka isännöi KVM-virtuaalikoneita.
    Pitäisikö dnsmasq-kokoonpano tehdä isännässä vai yhdessä virtuaalikoneesta, joka toimii dnsmasq-palvelimena?
    Olen sekaisin.
    Tervehdys.