Ceux qui ont suivi le 1er, 2da, 3er y 4ta une partie de cet article et les consultations faites à leur BIND ont renvoyé des résultats satisfaisants, ils sont déjà experts en la matière. :-) Et sans plus tarder, passons à la dernière partie:
- Création du fichier Main Master Zone de type «Inverse» 10.168.192.in-addr.arpa
- Solution de problèmes
- Résumé
Création du fichier Main Master Zone de type «Inverse» 10.168.192.in-addr.arpa
Le nom de la zone vous les amène, non? Et c'est que les zones inversées sont obligatoires pour avoir une résolution de nom correcte selon les normes Internet. Nous n'avons pas d'autre choix que de créer celui correspondant à notre domaine. Pour cela, nous utilisons comme modèle le fichier /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Nous éditons le fichier /var/cache/bind/192.168.10.rev et nous le laissons comme ceci:
; /var/cache/bind/192.168.10.rev; ; Fichier de données inversées BIND pour la zone maître 10.168.192.in-addr.arpa; Fichiers de données BIND pour la zone maître (inversé) 10.168.192.in-addr.arpa; $ TTL 604800 @ DANS SOA ns.amigos.cu. root.amigos.cu. (2; Série 604800; Actualiser 86400; Réessayer 2419200; Expire 604800); Cache TTL négatif; @ IN NS ns. 10 DANS PTR ns.amigos.cu. 1 DANS PTR gandalf.amigos.cu. 9 DANS PTR mail.amigos.cu. 20 DANS PTR web.amigos.cu. 100 DANS PTR fedex.amigos.cu. ; nous pouvons également écrire l'adresse IP complète. Ex:; 192.168.10.1 DANS PTR gandalf.amigos.cu.
- Observez comment dans ce cas nous avons laissé les temps en secondes car il est créé par défaut lorsque le lier9. Cela fonctionne de la même manière. Ce sont les mêmes heures que celles indiquées dans le fichier friends.cu.host. En cas de doute, vérifiez.
- Notez également que nous ne déclarons que les enregistrements inversés des hôtes qui ont une adresse IP attribuée ou "réelle" sur notre LAN, et qui l'identifient de manière unique.
- N'oubliez pas de mettre à jour le fichier de zone inversée avec TOUTES les adresses IP correctes déclarées dans la zone directe.
- N'oubliez pas d'augmenter le Numéro de série de la zone chaque fois qu'ils modifient le fichier et avant de redémarrer le BIND.
Vérifions la zone nouvellement créée:
zone de contrôle nommée 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Nous vérifions la configuration:
named-checkconf -z named-checkconf -p
Si tout s'est bien passé, nous redémarrons le service:
redémarrage du service bind9
Désormais, chaque fois que nous modifions les fichiers de zone, il suffit d'exécuter:
rechargement rndc
Pour cela, nous déclarons la clé dans /etc/bind/named.conf.options, D'accord?
Solution de problèmes
Le contenu correct du fichier est très important / Etc / resolv.conf comme nous l'avons vu dans le chapitre précédent. N'oubliez pas d'indiquer au moins ce qui suit:
rechercher le serveur de noms amigos.cu 192.168.10.20
Commander creuser du forfait dnsutils. Sur une console, saisissez les commandes précédées de #:
# dig -x 127.0.0.1 ..... ;; SECTION DE RÉPONSE: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; SECTION DE RÉPONSE: 9.10.168.192.in-addr.arpa. 604800 DANS PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu a l'adresse 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu a l'adresse 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; options globales: + cmd ;; la connexion a expiré; aucun serveur n'a pu être atteint # dig gandalf.amigos.cu .... ;; SECTION RÉPONSE: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... S'ils ont accès à Internet cubain ou mondial et que les redirecteurs sont correctement déclarés, essayez: # dig debian.org .... ;; SECTION QUESTION :; debian.org. DANS UN ;; SECTION RÉPONSE: debian.org. 3600 DANS UN 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu a l'adresse 190.6.81.130 # host yahoo.es yahoo.es a l'adresse 77.238.178.122 yahoo.es a l'adresse 87.248.120.148 yahoo.es le courrier est géré par 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SECTION DE RÉPONSE: 122.178.238.77.in-addr.arpa. 429 DANS PTR w2.rc.vip.ird.yahoo.com.
… Et en général avec d'autres domaines en dehors de notre LAN. Consultez et découvrez des choses intéressantes sur Internet.
L'un des meilleurs moyens de vérifier les performances d'un serveur lier9, et en général de tout autre service installé, lit la sortie du Messages du journal système en utilisant la commande tail -f / var / log / syslog exécuter en tant qu'utilisateurracine.
Il est très intéressant de voir la sortie de cette commande lorsque nous posons une question à notre BIND local sur un domaine ou un hôte externe. Dans ce cas, plusieurs scénarios peuvent être présentés:
- Si nous n'avons pas accès à Internet, notre requête échouera.
- Si nous avons accès à Internet et que nous n'avons PAS déclaré de transitaires, nous n'obtiendrons probablement pas de réponse.
- Si nous avons accès à Internet et que nous avons déclaré les Transitaires, nous obtiendrons une réponse puisqu'ils seront en charge de consulter les serveurs DNS nécessaires.
Si nous travaillons sur un LAN fermé dans lequel il est impossible de se rendre à l'étranger de quelque manière que ce soit et que nous n'avons pas de transitaires d'aucune sorte, nous pouvons éliminer les messages de recherche du Serveurs racine "Vider" le fichier /etc/bind/db.root. Pour ce faire, nous enregistrons d'abord le fichier sous un autre nom puis supprimons tout son contenu. Ensuite, nous vérifions la configuration et redémarrons le service:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 redémarrer
Résumé
Jusqu'à présent, les amis, une petite introduction au service DNS. Ce que nous avons fait jusqu'à présent peut nous servir parfaitement pour notre petite entreprise. Aussi pour la maison si nous créons des machines virtuelles avec différents systèmes d'exploitation et différentes adresses IP, et que nous ne voulons pas y faire référence par IP mais par nom. J'installe toujours un BIND sur mon hôte domestique pour installer, configurer et tester des services qui dépendent fortement du service DNS. J'utilise beaucoup les bureaux et les serveurs virtuels et je n'aime pas conserver un fichier / Etc / hosts dans chacune des machines. Je me trompe trop.
Si vous n'avez jamais installé et configuré un BIND, ne vous découragez pas si quelque chose ne va pas du premier coup et que vous devez tout recommencer. Nous recommandons toujours dans ces cas de commencer par une installation propre. Ça vaut la peine d'essayer!
Pour ceux qui ont besoin d'une haute disponibilité dans le service de résolution de noms, ce qui peut être obtenu en configurant un serveur maître secondaire, nous vous recommandons de continuer avec nous dans la prochaine aventure: DNS maître secondaire pour un réseau local.
Félicitations à ceux qui ont suivi tous les articles et obtenu les résultats attendus!
Enfin! .. le post final: D!
Merci pour le partage mon ami!
Salutations!
Très intéressant, vos articles, j'ai un DNS faisant autorité mis en place dans un freeBSD pour un domaine .edu.mx, jusqu'à présent cela a parfaitement fonctionné pour moi, mais au cours du dernier mois j'ai détecté plusieurs attaques, vers le serveur, quelles seraient les méthodes de défense pour Un DNS exposé?, Et je ne sais pas si cela peut l'être, faites exposer le maître à Internet et un secondaire qui dessert un petit lan d'environ 60 ordinateurs, tous deux DNS interconnectés, ou pour pouvoir définir deux zones, une interne et une externe, grâce au Maître
Le paquet squeeze bind9 a un problème de travail avec samba, une version 9.8.4 est déjà disponible dans la branche backports de squeeze, la version wheeze n'a pas ce problème, pour lenny venenux.net elle rétroportera le paquet.
Très bon article.
C'est le seul article qui fait tout bien expliqué.
Il est à noter que l'acl pour spofing ne fonctionne pas puisque de la même manière qu'il sera injecté depuis le réseau interne, la solution serait de refuser les redirections pour les clients, et de créer un acl complexe qui empêche la réaffectation des noms (quelque chose de similaire à dns statique)
CONSEIL SPÉCIAL:
ce serait une bonne configuration supplémentaire sur la façon de rendre le contenu du filtre DNS au lieu du pare-feu
Merci d'avoir commenté @PICCORO !!!.
Je déclare au début de tous mes articles que je ne me considère pas comme un spécialiste. Beaucoup moins sur la question DNS. Ici, nous apprenons tous. Je prendrai en compte vos recommandations lors de l'installation d'un DNS face à Internet et non pour un LAN normal et simple.
EXCELLENT TUTORIEL !!! Cela m'a beaucoup aidé puisque je viens de commencer dans ce tour de serveurs, tout fonctionnait bien. Merci et continuez à publier de magnifiques tutoriels !!!
Fico, encore une fois je vous félicite pour ce formidable matériel.
Je ne suis pas un expert en BIND9, pardonnez-moi si je me trompe sur le commentaire, mais je pense que vous avez manqué de définir la zone pour les recherches inversées dans le fichier named.conf.local
C'est dommage que Fico ne puisse pas vous répondre pour le moment.
Salutations et merci, Elav, et je réponds ici. Comme toujours, je vous recommande de lire lentement ... 🙂
Dans la poste: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
J'écris ce qui suit:
Modifications du fichier /etc/bind/named.conf.local
Dans ce fichier, nous déclarons les zones locales de notre domaine. Nous devons inclure au minimum les zones avant et arrière. N'oubliez pas que dans le fichier de configuration /etc/bind/named.conf.options, nous déclarons dans quel répertoire nous hébergerons les fichiers Zones en utilisant la directive directory. En fin de compte, le fichier devrait être le suivant:
// /etc/bind/named.conf.local
//
// Faites n'importe quelle configuration locale ici
//
// Pensez à ajouter les zones 1918 ici, si elles ne sont pas utilisées dans votre
// organisation
// inclure "/etc/bind/zones.rfc1918";
// Les noms des fichiers dans chaque zone sont un
// goût du consommateur. Nous avons choisi friends.cu.hosts
// et 192.168.10.rev parce qu'ils nous donnent la clarté de leur
// Contenu. Il n'y a plus de mystère 😉
//
// Les noms des zones NE SONT PAS ARBITRAIRES
// et correspondra au nom de notre domaine
// et au sous-réseau LAN
// Zone principale principale: type «Direct»
zone « amigos.cu » {
type maître;
fichier "amigos.cu.hosts";
};
// Zone principale principale: type «Inverse»
zone "10.168.192.in-addr.arpa" {
type maître;
fichier "192.168.10.rev";
};
// Fin du fichier named.conf.local
Bon, très intéressant ton post sur les DNS, ils m'ont aidé à me lancer sur le sujet, merci. Je précise que je suis un débutant à cet égard. Mais en lisant vos informations publiées, j'ai observé que cela fonctionne avec des adresses fixes dans les hôtes d'un réseau interne. Ma question est, comment feriez-vous avec un réseau interne avec des adresses IP dynamiques, attribuées par un serveur DHCP, pour créer les fichiers de la zone principale principale de type "direct" et "inverse"?
Je vous serai reconnaissant de la lumière que vous pourrez donner sur la question soulevée. Je vous remercie. Fv
Merci d'avoir commenté, @fabian. Vous pouvez consulter les articles suivants qui, je l'espère, vous aideront à mettre en place un réseau avec des adresses dynamiques:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
salutations