Ne, jotka seurasivat 1, 2da, 3 y 4ta osa tästä artikkelista ja heidän BIND: lle järjestetyt kuulemiset tuottivat tyydyttäviä tuloksia, he ovat jo aiheen asiantuntijoita. :-) Ja mennään pikemminkin ilman viimeistä osaa:
- ”Käänteinen” -tyyppisen pää Master Zone -tiedoston 10.168.192.in-addr.arpa luominen
- vianmääritys
- Yhteenveto
”Käänteinen” -tyyppisen pää Master Zone -tiedoston 10.168.192.in-addr.arpa luominen
Alueen nimi tuo ne sinulle, eikö? Ja se on, että käänteisalueilla on pakollinen Internet-standardien mukainen oikea resoluutio. Meillä ei ole muuta vaihtoehtoa kuin luoda verkkotunnustamme vastaava. Tätä varten käytämme tiedostona mallia /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Me muokkaamme tiedostoa /var/cache/bind/192.168.10.rev ja jätämme sen näin:
; /var/cache/bind/192.168.10.rev; ; BIND käänteinen datatiedosto päävyöhykkeelle 10.168.192.in-addr.arpa; BIND-tiedostot pääalueelle (käänteinen) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Sarja 604800; Päivitä 86400; Yritä uudelleen 2419200; Vanhenee 604800); Negatiivinen välimuisti TTL; @ IN NS ns. 10 PTR: ssä ns.amigos.cu. 1 PTR: ssä gandalf.amigos.cu. 9 PTR: ssä mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; Voimme myös kirjoittaa koko IP-osoitteen. Esim .:; 192.168.10.1 PTR: ssä gandalf.amigos.cu.
- Tarkkaile, kuinka tässä tapauksessa olemme jättäneet ajat sekunteina, kun se luodaan oletuksena, kun sidonta9. Se toimii samalla tavalla. Ne ovat samoja aikoja kuin tiedostossa ilmoitetut friends.cu.host. Jos olet epävarma, tarkista.
- Huomaa myös, että ilmoitamme vain niiden isäntien päinvastaiset tietueet, joilla on määritetty tai "oikea" IP lähiverkossamme, ja jotka tunnistavat sen yksilöllisesti.
- Muista päivittää käänteisvyöhyketiedosto KAIKILLA oikeilla IP-osoitteilla, jotka on ilmoitettu suorassa vyöhykkeessä.
- Muista lisätä Alueen sarjanumero joka kerta, kun he muokkaavat tiedostoa ja ennen BIND: n uudelleenkäynnistämistä.
Tarkistetaan äskettäin luotu vyöhyke:
named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Tarkistamme kokoonpanon:
named-checkconf -z named-checkconf -p
Jos kaikki meni hyvin, käynnistämme palvelun uudelleen:
service bind9 käynnistä uudelleen
Tästä eteenpäin meidän on aina suoritettava joka kerta, kun muokkaamme vyöhyketiedostoja:
rndc lataa
Siksi julistamme avaimen sisään /etc/bind/named.conf.options, ei?
vianmääritys
Erittäin tärkeää on tiedoston oikea sisältö / Etc / resolv.conf kuten näimme edellisessä luvussa. Muista ilmoittaa siinä ainakin seuraavat:
etsi friends.cu-nimipalvelinta 192.168.10.20
komento kaivaa pakkauksen dnsutil. Kirjoita konsoliin komennot, joita edeltää #:
# dig -x 127.0.0.1 ..... ;; VASTAUSOSA: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; VASTAUSOSA: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # isäntä gandalf gandalf.amigos.cu on osoite 192.168.10.1 # isäntä gandalf.amigos.cu gandalf.amigos.cu on osoite 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; yleiset vaihtoehdot: + cmd ;; yhteyden aikakatkaisu; palvelimia ei voitu saavuttaa # dig gandalf.amigos.cu .... ;; VASTAUSOSA: gandalf.amigos.cu. 604800 IN 192.168.10.1 .... Jos heillä on pääsy Kuuban tai maailmanlaajuiseen Internetiin ja huolitsijat ilmoitetaan oikein, kokeile: # dig debian.org .... ;; KYSYMYSOSA :; debian.org. JONKIN SISÄLLÄ ;; VASTAUSOSA: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # isäntä bohemia.cu bohemia.cu on osoite 190.6.81.130 # isäntä yahoo.es yahoo.es on osoite 77.238.178.122 yahoo.es on osoite 87.248.120.148 yahoo.es postia käsitellään kirjoittanut 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; VASTAUSOSA: 122.178.238.77.in-addr.arpa. 429 PTR: ssä w2.rc.vip.ird.yahoo.com.
… Ja yleensä muiden verkkotunnusten kanssa lähiverkon ulkopuolella. Ota yhteyttä ja tutustu mielenkiintoisiin asioihin Internetissä.
Yksi parhaista tavoista tarkistaa palvelimen suorituskyky sidonta9ja yleensä minkä tahansa muun asennetun palvelun lukee Järjestelmälokiviestit käyttämällä komentoa tail -f / var / log / syslog ajaa käyttäjänäjuuri.
On erittäin mielenkiintoista nähdä kyseisen komennon tulos, kun kysytään paikalliselta BIND: ltä kysymystä ulkoisesta toimialueesta tai isännästä. Tällöin voidaan esittää useita skenaarioita:
- Jos meillä ei ole Internet-yhteyttä, kysely epäonnistuu.
- Jos meillä on pääsy Internetiin, emmekä ole ilmoittaneet huolitsijoista, emme todennäköisesti saa vastausta.
- Jos meillä on pääsy Internetiin ja olemme ilmoittaneet huolitsijoista, saamme vastauksen, koska he vastaavat tarvittavien DNS-palvelimien kuulemisesta.
Jos työskentelemme a LAN suljettu jossa ei ole millään tavalla mahdotonta mennä ulkomaille eikä meillä ole minkäänlaisia kuormatraktoreita, voimme poistaa Root-palvelimet "Tyhjennä" tiedosto /etc/bind/db.root. Tätä varten tallennamme tiedoston ensin toisella nimellä ja poistamme sitten kaiken sen sisällön. Sitten tarkistamme kokoonpanon ja käynnistämme palvelun uudelleen:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 uudelleenkäynnistys
Yhteenveto
Toistaiseksi, ihmiset, pieni johdanto DNS-palveluun. Tähän mennessä tekemämme palvelut voivat palvella meitä täydellisesti pienyrityksillemme. Myös talolle, jos luomme virtuaalikoneita, joilla on erilaiset käyttöjärjestelmät ja erilaiset IP-osoitteet, emmekä halua viitata niihin IP: n, vaan nimen perusteella. Asennan aina BIND: n kotipalvelimelleni asentaaksesi, konfiguroidakseni ja testatakseni palveluja, jotka ovat vahvasti riippuvaisia DNS-palvelusta. Käytän laajasti työpöytiä ja virtuaalipalvelimia, enkä halua pitää tiedostoa / Etc / hosts jokaisessa koneessa. Olen väärässä liikaa.
Jos et ole koskaan asentanut ja määrittänyt BIND-laitetta, älä lykkää, jos jokin menee pieleen ensimmäisellä yrityksellä ja sinun on aloitettava alusta alusta. Näissä tapauksissa suosittelemme aina aloittamaan puhtaan asennuksen. Se on yrittämisen arvoista!
Niille, jotka tarvitsevat korkean käytettävyyden nimenselvityspalvelussa, joka voidaan saavuttaa määrittämällä toissijainen pääpalvelin, suosittelemme, että jatkat kanssamme seuraavalla seikkailulla: Toissijainen pää-DNS lähiverkolle.
Onnittelut kaikille artikkeleita seuranneille ja odotettujen tulosten saaneille!
Vihdoinkin! .. viimeinen viesti: D!
Kiitos ystäväni jakamisesta!
Tervehdys!
Hyvin mielenkiintoista, artikkelisi, minulla on arvovaltainen DNS, joka on määritetty freeBSD: ssä .edu.mx -verkkotunnukselle, toistaiseksi se on toiminut minulle täydellisesti, mutta viimeisen kuukauden aikana havaitsin useita hyökkäyksiä palvelinta kohti, mitkä olisivat puolustustavat paljastettu DNS? hallita
Squeeze bind9 -paketilla on ongelma samban kanssa työskenneltäessä, versio 9.8.4 on jo saatavana puristuksen backports-haarassa, wheeze-versiolla ei ole tätä ongelmaa, lenny venenux.net -sivustolle se tuo paketin takaisin.
Erittäin hyvä artikkeli.
Tämä on ainoa artikkeli, joka tekee kaiken hyvin selitetyn ..
On huomattava, että spofingin acl ei toimi, koska samalla tavoin se injektoidaan sisäisestä verkosta, ratkaisuna olisi estää uudelleenohjaukset asiakkaille ja luoda monimutkainen acl, joka estää nimien uudelleen kohdentamisen (jotain samanlaista kuin staattiset dns)
ERITYISVINKKI:
Ylimääräinen kokoonpano olisi hyvä, miten dns suodatetaan sisältöä palomuurin sijaan
Kiitos kommentoinnista @PICCORO !!!.
Ilmoitan kaikkien artikkeleideni alussa, etten pidä itseäni asiantuntijana. Paljon vähemmän DNS-ongelmasta. Täällä me kaikki opimme. Otan huomioon suosituksesi, kun asennan Internetiin päin olevan DNS: n eikä normaalia ja yksinkertaista lähiverkkoa.
Erinomainen opetusohjelma !!! Se oli minulle suuri apu, koska aloitin juuri tässä palvelinvaiheessa, kaikki toimi kunnossa. Kiitos ja julkaise niin upeita opetusohjelmia !!!
Fico, onnittelen jälleen kerran tästä upeasta materiaalista.
En ole BIND9: n asiantuntija, anna anteeksi, jos olen väärässä kommentissa, mutta luulen, että sinulta puuttuu käänteisten hakujen vyöhykkeen määritteleminen named.conf.local-tiedostossa
On sääli, että Fico ei voi vastata sinulle juuri nyt.
Terveisiä ja kiitoksia, Elav, ja tässä vastaan. Kuten aina, suosittelen, että luet hitaasti ... 🙂
Postissa: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Kirjoitan seuraavat:
Muutokset tiedostoon /etc/bind/named.conf.local
Tässä tiedostossa ilmoitamme verkkotunnuksemme paikalliset vyöhykkeet. Meidän on sisällytettävä eteenpäin- ja peruutusvyöhykkeet vähintään. Muista, että määritystiedostossa /etc/bind/named.conf.options ilmoitamme missä hakemistossa isännöimme Zones-tiedostot hakemistodirektiivin avulla. Loppujen lopuksi tiedoston tulisi olla seuraava:
// /etc/bind/named.conf.local
//
// Tee mikä tahansa paikallinen kokoonpano täällä
//
// Harkitse 1918-vyöhykkeiden lisäämistä tähän, jos niitä ei käytetä omalla alueellasi
// organisaatio
// sisältää "/etc/bind/zones.rfc1918";
// Kunkin vyöhykkeen tiedostojen nimet ovat a
// kuluttajien maku. Valitsimme friends.cu.-isännät
// ja 192.168.10.rev, koska ne antavat meille selkeyden heidän
// sisältö. Ei ole enää mysteeriä 😉
//
// Vyöhykkeiden nimet eivät ole välittäjiä
// ja vastaa verkkotunnuksemme nimeä
// ja LAN-aliverkkoon
// Pääpääalue: «Suora» -tyyppi
vyöhyke «amigos.cu» {
tyypin päällikkö;
tiedosto "amigos.cu.hosts";
};
// Pääpääalue: «Käänteinen» -tyyppi
vyöhyke "10.168.192.in-addr.arpa" {
tyypin päällikkö;
tiedosto "192.168.10.rev";
};
// named.conf.local-tiedoston loppu
Hyvä, erittäin mielenkiintoinen viestisi dns: stä, ne ovat auttaneet minua aloittamaan aiheen, kiitos. Selventän, että olen tältä osin aloittelija. Mutta lukiessani julkaistuja tietoja olen havainnut, että ne toimivat kiinteiden osoitteiden kanssa sisäisen verkon isännissä. Kysymykseni on, miten tekisit sisäisen verkon, jossa on dhcp-palvelimen määrittelemät dynaamiset IP-osoitteet, luomalla pääohjausvyöhykkeen "suora" ja "käänteinen" tiedostot?
Olen kiitollinen valosta, jonka voit antaa esille nostetusta asiasta. Kiitos. Fv
Kiitos kommentoinnista, @fabian. Voit lukea seuraavia artikkeleita, jotka toivottavasti auttavat sinua luomaan verkon dynaamisilla osoitteilla:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
terveiset