C'est un effort énorme pour réduire en 5 petits articles les Connaissances Précédentes, l'Installation, la Configuration et la Création des Zones et des Vérifications d'un BIND, afin qu'il puisse être compris par le plus grand nombre de lecteurs ce qui est notre objectif fondamental .
Ceux qui ont eu la patience de lire attentivement le 1er y 2da partie de cet article, ils sont prêts à continuer la configuration et l'installation d'un serveur de noms de domaine pour un réseau local.
Aux Nouveaux et à ceux qui ne sont pas très clairs sur les concepts très résumés donnés dans les parties précédentes, nous vous recommandons de les lire et de les étudier avant de continuer. Suspects habituels de désespoir! retour si vous n'avez pas lu attentivement.
Nous verrons ci-dessous:
- Données principales du LAN
- Configurations d'hôtes minimales
- Modifications du fichier /etc/resolv.conf
- Modifications du fichier /etc/bind/named.conf
- Modifications du fichier /etc/bind/named.conf.option
- Modifications du fichier /etc/bind/named.conf.local
Données principales du LAN
Nom de domaine LAN: amigos.cu Sous-réseau LAN: 192.168.10.0/255.255.255.0 IP du serveur BIND: 192.168.10.10 Nom NetBIOS du serveur: ns
Bien que cela soit évident, n'oubliez pas de modifier les données précédentes pour vous-même.
Configurations d'hôtes minimales
Il est très important que les fichiers soient correctement configurés / etc / network / interfaces y/ Etc / hosts pour obtenir de bonnes performances DNS. Si toutes les données ont été déclarées lors de l'installation, aucune modification ne sera nécessaire. Le contenu de chacun d'eux doit être le suivant:
# contenu du fichier / etc / network / interfaces # Ce fichier décrit les interfaces réseau disponibles sur votre système # et comment les activer. Pour plus d'informations, consultez interfaces (5). # L'interface réseau de bouclage auto lo iface lo inet loopback # L'interface réseau principale allow-hotplug eth0 iface eth0 inet static address 192.168.10.10 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * les options sont implémenté par le package resolvconf, si installé dns-nameservers 192.168.10.10 dns-search amigos.cu # content of / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Les lignes suivantes sont souhaitables pour les hôtes compatibles IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters
Modifications du fichier /etc/resolv.conf
Pour que nos requêtes et vérifications fonctionnent correctement, il est nécessaire de déclarer dans la configuration locale de l'hôte, qui sera notre domaine de recherche et qui sera notre DNS local. Sans les paramètres ci-dessus au minimum, toute requête DNS échouera. Et c'est une erreur que font de nombreux débutants. Alors éditons le fichier / Etc / resolv.conf et nous le laissons avec le contenu suivant:
# contenu de /etc/resolv.conf recherche serveur de noms friends.cu 192.168.10.10
Sur l'ordinateur sur lequel nous avons installé le serveur DNS, nous pouvons écrire:
rechercher le serveur de noms amigos.cu 127.0.0.1
Dans le contenu ci-dessus, la déclaration 127.0.0.1 de serveurs de noms, indique que les demandes de renseignements seront adressées à localhost.
Une fois notre BIND correctement configuré, nous pouvons effectuer n'importe quelle requête DNS à partir de notre hôte, que ce soit le serveur lui-même lier9 ou un autre connecté au réseau et qui appartient au même sous-réseau et a le même masque de réseau. Pour en savoir plus sur le fichier, exécutez homme resolv.conf.
Modifications du fichier /etc/bind/named.conf
Pour limiter les requêtes à notre BIND afin qu'ils ne répondent qu'à notre sous-réseau et empêchent une attaque Spoofing, nous déclarons dans le fichier nommé.conf la liste de contrôle d'accès ou ACL (liste de contrôle d'accès) et nous l'appelons attelé. L'archivenommé.conf Cela devrait être comme suit:
// /etc/bind/named.conf // Il s'agit du fichier de configuration principal du serveur DNS BIND nommé. // // Veuillez lire /usr/share/doc/bind9/README.Debian.gz pour des informations sur // la structure des fichiers de configuration BIND dans Debian, * AVANT * de personnaliser // ce fichier de configuration. // // Si vous ajoutez simplement des zones, veuillez le faire dans /etc/bind/named.conf.local // // Les commentaires en espagnol sont les nôtres // Nous laissons les originaux en anglais // ATTENTION au copier-coller // NE LAISSEZ PAS D'ESPACES VIDES À LA FIN DE CHAQUE LIGNE // // Liste de contrôle d'accès: // Autorisera les requêtes du domaine local et de notre sous-réseau // Dans le fichier inclus named.conf.options, nous y ferons référence . acl mired {127.0.0.0/8; 192.168.10.0/24; }; inclure "/etc/bind/named.conf.options"; inclure "/etc/bind/named.conf.local"; inclure "/etc/bind/named.conf.default-zones"; // fin du fichier /etc/bind/named.conf
Vérifions la configuration de BIND jusqu'à présent et redémarrons le service:
named-checkconf -z service bind9 redémarrage
Modifications du fichier /etc/bind/named.conf.options
Dans la première section "Options"Nous déclarerons seulement le Transitaires, et qui seront ceux qui pourront consulter notre BIND. Ensuite, nous déclarons la clé ou key à travers lequel nous pouvons contrôler le lier9, et enfin à partir de quel hôte nous pouvons le contrôler. Pour savoir quelle est la clé ou la clé, il faut faire chat /etc/bind/rndc.key. Nous copions la sortie et la collons dans le fichier nommé.conf.options. Au final, notre fichier devrait ressembler à ceci:
// /etc/bind/named.conf.options options {// ATTENTION AU COPIE ET AU COLLAGE, S'IL VOUS PLAÎT ... // Répertoire par défaut pour localiser notre répertoire de fichiers de Zones "/ var / cache / bind"; // S'il y a un pare-feu entre vous et les serveurs de noms auxquels vous souhaitez // parler, vous devrez peut-être réparer le pare-feu pour permettre à plusieurs // ports de parler. Voir http://www.kb.cert.org/vuls/id/800113 // Si votre FAI a fourni une ou plusieurs adresses IP pour les serveurs de noms // stables, vous voudrez probablement les utiliser comme redirecteurs. // Décommentez le bloc suivant et insérez les adresses en remplaçant // l'espace réservé du tout-0. // transitaires {// 0.0.0.0; // 0.0.0.0; //} // Les transitaires. Je n'ai pas de meilleure traduction // Les adresses proviennent des serveurs ceniai.net.cu // S'il n'a PAS d'accès Internet, il n'est PAS nécessaire // de les déclarer, sauf si vous avez un LAN plus complexe / / avec des serveurs DNS qui agissent en tant que redirecteurs en dehors // de la plage d'adresses IP de votre sous-réseau. Dans ce cas // vous devez déclarer la ou les adresses IP de ces serveurs. // Les requêtes des redirecteurs sont Cascade. transitaires {169.158.128.136, 169.158.128.88, 1035, 6; 5; }; // Dans un LAN bien configuré, TOUTES les requêtes DNS // doivent être adressées au serveur DNS local de ce LAN, // PAS aux serveurs en dehors du LAN. // Surtout lorsque vous avez accès à Internet, // que ce soit national ou international. Pour cela // nous déclarons les redirecteurs auth-nxdomain no; # conforme à RFC2 listen-on-v86 {any; }; // Protège contre l'usurpation d'identité allow-query {mired; }; }; // Contenu du fichier / etc / bind / rndc-key // obtenu via cat / etc / bind / rndc-key // N'oubliez pas de le changer si nous régénérons la clé "rndc-key" {algorithme hmac-md6; secret "dlOFESXTp127.0.0.1wYLaXNUMXvQNUXNUMXw =="; }; // À partir de quel hôte nous contrôlerons et à travers quels contrôles clés {inet XNUMX allow {localhost; } clés {rndc-key; }; }; // fin du fichier /etc/bind/named.conf.options
Vérifions la configuration de BIND jusqu'à présent et redémarrons le service:
named-checkconf -z service bind9 redémarrage
Nous avons décidé d'inclure comme // Commentaires les aspects fondamentaux qui peuvent servir de référence pour les consultations futures.
Le fait de déclarer les Forwarders, convertit notre serveur BIND Local en un serveur Caché, en conservant sa fonctionnalité Primary Master. Lorsque nous demandons un hôte ou un domaine externe, la réponse -si elle est positive- sera stockée dans son cache, de sorte que lorsque nous lui demandons à nouveau pour le même hôte ou pour le même domaine externe, nous obtenons une réponse rapide par non consulter les DNS externes.
Modifications du fichier /etc/bind/named.conf.local
Dans ce fichier, nous déclarons les zones locales de notre domaine. Nous devons inclure au minimum les zones avant et arrière. Souvenez-vous que dans le fichier de configuration/etc/bind/named.conf.options Nous déclarons dans quel répertoire nous hébergerons les fichiers Zones en utilisant la directive directory. En fin de compte, le fichier devrait ressembler à ceci:
// /etc/bind/named.conf.local // // Faites n'importe quelle configuration locale ici // // Pensez à ajouter les zones 1918 ici, si elles ne sont pas utilisées dans votre // organisation // inclure "/ etc / bind /zones.rfc1918 "; // Les noms des fichiers dans chaque zone sont // au goût du consommateur. Nous avons choisi amigos.cu.hosts // et 192.168.10.rev parce qu'ils nous clarifient // leur contenu. Il n'y a plus de mystère // // Les noms des zones NE SONT PAS ARBITRAIRES // et correspondront au nom de notre domaine // et du sous-réseau LAN // Zone principale principale: tapez "Direct" zone "amigos.cu" {maître de type; fichier "amigos.cu.hosts"; }; // Zone principale principale: type "Inverse" zone "10.168.192.in-addr.arpa" {type master; fichier "192.168.10.rev"; }; // Fin du fichier named.conf.local
Pour vérifier la configuration de BIND jusqu'à présent:
nommé-checkconf -z
La commande précédente renverra une erreur jusqu'à ce que les fichiers de zone n'existent pas. L'essentiel est qu'il nous avertit que les zones déclarées dans named.conf.local ne seront pas chargées, car les fichiers d'enregistrements DNS n'existent tout simplement pas, ce qui est vrai pour le moment. Nous pouvons avancer.
Redémarrons le service pour que les modifications soient prises en compte:
redémarrage du service bind9
Comme nous ne voulons pas que chaque publication soit très longue, nous aborderons le problème de la création des fichiers de la zone locale dans la 4ème partie suivante. Jusque-là amis!
Merci mec!
Aujourd'hui, il est difficile de voir des articles de cette qualité sur Internet!
Salutations!
Merci beaucoup pour ton commentaire .. C'est un plaisir de lire des choses comme ça .. 😉
Excellent article!
Gracias fico, Elav, KZ, en fin… DesdeLinux pour exister
Collectivement, un plugin pourrait être implémenté permettant de télécharger les articles au format pdf (style HumanOS)
salutations
tiret
Merci à tous pour vos commentaires. Nous les apprenons TOUS.
Le téléchargement des articles en PDF n'inclut pas les commentaires d'amis et de collègues, qui complètent l'article et sont très utiles. Donner un guide sans commentaires est pratiquement impossible compte tenu de l'ampleur du sujet. UNIX / Linux est extrêmement large pour éviter les expériences de chacun.
Excellents articles!
Il est clair que les commentaires complètent les informations des articles, ils suggèrent même des choses qui peuvent rester ou qui pourraient être ajoutées, mais je maintiens mon idée qu'il serait idéal que l'article puisse être sauvegardé au format pdf, du moins pour moi
Un câlin de Cuba et continuez à l'attendre
Fonctionnement:
nommé-checkconf -z
Je me sens comme:
/etc/bind/named.conf.options:30: option inconnue 'controls'
Je me réponds: vous devez placer la section des contrôles en dehors de la section des options.
Je voudrais également apporter quelque chose: si au lieu de copier et coller dans le fichier named.conf.options
clé "rndc-key" {
algorithme hmac-md5;
secret "dlOFESXTp2wYLa86vQNU6w ==";
};
Nous faisons un:
inclure "/etc/bind/rndc.key";
dans le fichier named.conf, je pense que cela fonctionne aussi.
Salutations.