NSD autoritarni DNS poslužitelj + obalni zid - MSP mreže

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Ovaj je članak nastavak:

• Squid + PAM provjera autentičnosti na CentOS 7.
• Lokalno upravljanje korisnicima i grupama

Pozdrav prijatelji i prijatelji!

Grupa Entuzijasta kupili ime internetske domene desdelinux.ventilator vašem davatelju internetskih usluga ili ISP. Kao dio ove akvizicije zatražili su od svog ISP-a da uključi sve DNS zapise potrebne za rješavanje relevantnih upita u vezi s njihovom domenom s Interneta.

Također su zatražili da se uključe SRV zapisi u vezi s XMPP jer planiraju instalirati poslužitelj razmjene trenutnih poruka temeljen na Prozodija koji će se pridružiti postojećem savezu kompatibilnih XMMP poslužitelja na Internetu.

• Glavna svrha ovog članka je pokazati kako možemo odražavati SRV zapise koji se odnose na uslugu trenutnih poruka kompatibilnu s XMPP-om u datoteci DNS zone..
• Instalacija Obalni zid s jednim mrežnim sučeljem može poslužiti onima koji odluče instalirati ovakav poslužitelj za upravljanje delegiranom DNS zonom. Ako se taj poslužitelj osim s Internetom poveže i s LAN-om tvrtke, moraju se izvršiti potrebne postavke za korištenje dvaju mrežnih sučelja.

Osnovni poslužitelj

Instalirat ćemo autoritativni NSD DNS poslužitelja Debian "Jessie". Ovo je korijenski poslužitelj za "obožavatelja". Glavni parametri poslužitelja su:

Ime: ns.fan IP adresa: 172.16.10.30 root @ ns: ~ # ime hosta
ns

root @ ns: ~ # ime hosta --fqdn
ns.obožavatelj

root @ ns: ~ # ip addr show
1: što: mtu 65536 qdisc noqueue stanje NEPOZNATI zadana veza grupe / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 domet host lo valid_lft zauvijek preferiran_lft zauvijek inet6 :: 1/128 domet domena valid_lft zauvijek preferirani_lft zauvijek 2: eth0: mtu 1500 qdisc pfifo_fast stanje UP grupa zadani qlen 1000 veza / eter 00: 0c: 29: dc: d7: 1b brd ff: ff: ff: ff: ff: ff inet 172.16.10.30/24 brd 172.16.10.255 opseg globalni eth0 valid_lft zauvijek preferirana_ft zauvijek inet6 fe80 :: 20c: 29ff: fedc: d71b / 64 opseg link valid_lft zauvijek preferirana_ft zauvijek

Obalni zid

Prije odlaska sa uslugom u WWW Village, vrlo je pozitivno zaštititi poslužitelj i usluge koje pruža putem moćnog usmjerivača vatrozida. Shorewall je relativno jednostavno konfigurirati i sigurna je opcija za zaštitu.

• Ispravna i cjelovita konfiguracija vatrozida zadatak je znalca ili stručnjaka, što mi nismo. Nudimo samo vodič za minimalnu i funkcionalnu konfiguraciju.

Instaliramo paket obalnog zida i njegovu dokumentaciju.

root @ ns: ~ # aptitude show shorewall
Paket: obalni zid Novo: da Stanje: nije instalirano
Verzija: 4.6.4.3-2

root @ ns: ~ # aptitude instaliraj shorewall shorewall-doc

dokumentacija

Obilje dokumentacije pronaći ćete u mapama:

• / usr / share / doc / shorewall
• / usr / share / doc / shorewall / primjeri
• / usr / share / doc / shorewall-doc / html

Konfiguriramo za mrežno sučelje

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / sučelja \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / sučelja
# OPCIJE ZONSKOG INTERFEJA net eth0 tcpflags, logmartians, nosmurfs, sourceroute = 0

Proglašavamo zone vatrozida

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / zone \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / zone
# ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4

Zadana pravila za pristup vatrozidu

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / policy \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / policy
# OGRANIČENJE DNEVNIKA POLITIKE SUSTAVA POLITIKE: PORAČI $ FW neto PRIHVAT
net sve DROP info
# SLJEDEĆA POLITIKA MORA BITI ZADNJA sve informacije o ODBIJANJU

Pravila za pristup vatrozidu

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / rules \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / rules
#AKCIJA IZVOR DEST PROTO DEST IZVOR ORIGINAL CIJENA KORISNIK / OZNAKA CON $ # LUKA (I) LUKA OGRANIČENJA GRANICE? ODJELJAK SVI? ODJELJAK OSNOVEN? ODJELJAK POVEZAN? ODJELJAK NEZAKLJUČEN? Odjeljak NOVO # DROP paketi u INVALDNOJ paketi u nevaljanom stanju Nevažeći (DROP) neto $ FW tcp # Ispustite Ping iz "lošeg" neto zone .. i spriječite da vaš dnevnik bude poplavljen .. # Odbacite Ping iz "loše" mrežne zone. # Spriječiti poplavu sistemskog dnevnika (/ var / log / syslog) Ping (DROP) neto $ FW # Dopustiti sav ICMP promet OD Vatrozida DO mrežne zone # Omogućiti sav ICMP promet OD Vatrozida DO Zone neto. PRIHVATITE $ FW neto icmp

# Vlastita pravila # Pristup putem SSH-a s dva računala
SSH / ACCEPT neto: 172.16.10.1,172.16.10.10 $ FW tcp 22

# Omogućite promet kroz luke 53 / tcp i 53 / udp
PRIHVATI neto $ FW tcp 53
PRIHVATI neto $ FW udp 53

Provjeravamo sintaksu konfiguracijskih datoteka

root @ ns: ~ # provjera obalnog zida
Provjera ... Obrada / etc / shorewall / params ... Obrada /etc/shorewall/shorewall.conf ... Učitavanje modula ... Provjera / etc / shorewall / zone ... Provjera / etc / shorewall / sučelja .. Utvrđivanje hostova u zonama ... Pronalaženje akcijskih datoteka ... Provjera / etc / shorewall / policy ... Dodavanje Anti-smurf pravila Provjera filtriranja TCP zastava ... Provjera filtriranja rute jezgre ... Provjera zapisnika Marsova ... Provjera Prihvatite usmjeravanje izvora ... Provjera MAC filtracije - faza 1 ... Provjera / etc / shorewall / rules ... Provjera / etc / shorewall / conntrack ... Provjera MAC filtracije - faza 2 ... Primjena politika .. Provjeravanje /usr/share/shorewall/action.Drop za ispuštanje lanca ... Provjeravanje /usr/share/shorewall/action.Broadcast za lančano emitiranje ... Provjerena je konfiguracija obalnog zida

root @ ns: ~ # nano / etc / default / shorewall
# spriječiti pokretanje sa zadanom konfiguracijom # postavite sljedeću varijablu na 1 kako biste omogućili pokretanje Shorewall-a
pokretanje =1
------

root @ ns: ~ # start shorewall usluge
root @ ns: ~ # ponovno pokretanje obalnog zida usluge
root @ ns: ~ # status obalnog zida usluge
● shorewall.service - LSB: Konfiguriranje vatrozida tijekom pokretanja Učitano: učitano (/etc/init.d/shorewall) Aktivan: aktivan (izašao) od ned 2017-04-30 16:02:24 EDT; Prije 31 min. Proces: 2707 ExecStop = / etc / init.d / stop shorewall (kod = izašao, status = 0 / USPJEH) Proces: 2777 ExecStart = / etc / init.d / start shorewall (code = exited, status = 0 / USPJEH)

Vrlo je poučno pažljivo čitati rezultate naredbe iptables -L posebno u odnosu na zadane politike za ULAZ, NAPRIJED, IZLAZ i one koje odbija - odbiti vatrozid za zaštitu od vanjskih napada. Barem idete na Internet s malo zaštite, zar ne? 😉

root @ ns: ~ # iptables -L

nsd

root @ ns: ~ # sklonost prikaže nsd
Paket: nsd Novo: da Status: instalirano Automatski instalirano: ne
Verzija: 4.1.0-3

root @ ns: ~ # aptitude instaliraj nsd
root @ ns: ~ # ls / usr / share / doc / nsd /
contrib changelog.Debian.gz NSD-DIFFFILE ZAHTJEVI.gz primjeri changelog.gz NSD-FOR-BIND-USERS.gz TODO.gz razlike u autorskim pravima.pdf.gz README.gz NADOGRADNJA KREDITA NSD-DATABASE RELNOTES.gz

root @ ns: ~ # nano /etc/nsd/nsd.conf
# NSD konfiguracijska datoteka za Debian. # Pogledajte mans stranicu nsd.conf (5).
# Pogledajte /usr/share/doc/nsd/examples/nsd.conf za komentirani
# referentna konfiguracijska datoteka.
# Sljedeći redak uključuje dodatne konfiguracijske datoteke iz direktorija # /etc/nsd/nsd.conf.d. # UPOZORENJE: Glob stil još ne radi ... # uključuju: "/etc/nsd/nsd.conf.d/*.conf" poslužitelj: logfile: "/var/log/nsd.log" ip-adresa : 172.16.10.30 # preslušavanje na IPv4 vezama do-ip4: da # preslušavanje na IPv6 vezama do-ip6: ne # port za odgovaranje na upite. zadana vrijednost je 53. port: 53 korisničko ime: nsd # U zonama je opcija provide-xfr za # axfr provjera zone: name: fan zonefile: /etc/nsd/fan.zone zone: name: desdelinux.ventilator
    zonefile: /etc/nsd/desdelinux.fan.zone
    provide-xfr: 172.16.10.250 NOKEY

zone:
    name: 10.16.172.u-addr.arpa
    zonefile: /etc/nsd/10.16.172.arpa.zone provide-xfr: 172.16.10.250 NOKEY zone: name: swl.fan zonefile: /etc/nsd/swl.fan.zone zone: name: debian.fan zonefile: /etc/nsd/debian.fan.zone zona: name: centos.fan zonefile: /etc/nsd/centos.fan.zone zone: name: freebsd.fan zonefile: /etc/nsd/freebsd.fan.zone


root @ ns: ~ # nsd-checkconf /etc/nsd/nsd.conf
root @ ns: ~ #

Izrađujemo datoteke zona

Korijenska zona «ventilator.»Dolje konfigurirano je SAMO ZA TESTIRANJE i ne smije se uzimati kao primjer. Mi nismo administratori poslužitelja korijenskih domena. 😉

root @ ns: ~ # nano /etc/nsd/fan.zone
$ ORIGIN ventilator. $ TTL 3H @ IN SOA ns.fan. korijen.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS ns.fan. @ U 172.16.10.30; ns U A 172.16.10.30

root@ns:~# nano /etc/nsd/desdelinux.navijačka.zona
$PORIJEKLO desdelinux.ventilator. $TTL 3H @ U SOA br.desdelinux.ventilator. korijen.desdelinux.ventilator. (1; serijski 1D; osvježi 1H; ponovni pokušaj 1W; istek 3H); minimum ili ; Negativno vrijeme predmemoriranja do života; @ U NS ns.desdelinux.ventilator. @ IN MX 10 e-poštom.desdelinux.ventilator. @ U TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Registrirajte se za rješavanje dig upita desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 pošta IN CNAME   desdelinux.ventilator. chat IN CNAME   desdelinux.ventilator. www IN CNAME   desdelinux.ventilator. ; ; SRV zapisi koji se odnose na XMPP
_xmpp-server._tcp  IN SRV  0 0 5269 desdelinux.ventilator.
_xmpp-client._tcp    IN SRV  0 0 5222 desdelinux.ventilator.
_jabber._tcp     IN SRV  0 0 5269 desdelinux.ventilator.

root @ ns: ~ # nano /etc/nsd/10.16.172.arpa.zone
$ PORIJEKLO 10.16.172.in-addr.arpa.
$TTL 3H
@       IN      SOA     ns.desdelinux.ventilator. korijen.desdelinux.ventilator. (1; serijski 1D; osvježi 1H; ponovni pokušaj 1W; istek 3H); minimum ili ; Negativno vrijeme predmemoriranja do života; @ U NS ns.desdelinux.fan.
;
30      IN      PTR     ns.desdelinux.fan.
10      IN      PTR     desdelinux.ventilator.

root@ns:~# nsd-checkzone desdelinux.fan /etc/nsd/desdelinux.navijačka.zona
zona desdelinux.fan is ok
root @ ns: ~ # nsd-checkzone 10.16.172.in-addr.arpa /etc/nsd/10.16.172.arpa.zone
zona 10.16.172.in-addr.arpa je u redu # Na Debianu NSD prekida instalaciju koja je omogućena prema zadanim postavkama
root @ ns: ~ # systemctl ponovno pokrenite nsd
root @ ns: ~ # systemctl status nsd
● nsd.service - Učitani demon poslužitelja imena: učitan (/lib/systemd/system/nsd.service; omogućen) Aktivan: aktivan (pokrenut) od ned 2017-04-30 09:42:19 EDT; Prije 21min Glavni PID: 1230 (nsd) CGrupa: /system.slice/nsd.service ├─1230 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf ├─1235 / usr / sbin / nsd - d -c /etc/nsd/nsd.conf └─1249 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf

Provjere sa samog poslužitelja ns.fan

root@ns:~# host desdelinux.ventilator
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

root@ns:~# host mail.desdelinux.ventilator
mail.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

root@ns:~# host chat.desdelinux.ventilator
razgovor.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

root@ns:~# host www.desdelinux.ventilator
www.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

root@ns:~# host ns.desdelinux.ventilator
ns.desdelinux.fan ima adresu 172.16.10.30

root @ ns: ~ # host 172.16.10.30
30.10.16.172.in-addr.arpa domain name pointer ns.desdelinux.ventilator.

root @ ns: ~ # host 172.16.10.10
10.10.16.172.in-addr.arpa domain name pointer desdelinux.ventilator.

root @ ns: ~ # host ns.fan
ns.fan ima adresu 172.16.10.30

Provjere razlučivosti imena s Interneta

• Detaljni DNS upiti nikada nisu previše, jer će ispravan rad Razlučivanja imena domene u velikoj mjeri ovisiti o ispravnom radu mreže.

Za izvođenje DNS upita povezao sam se sa svojim prekidačem - prebaciti test, prijenosno računalo s IP-om 172.16.10.250 i gateway 172.16.10.1, IP adresa koja odgovara mojoj radnoj stanici sistemski administrator.desdelinux.ventilator kao što je poznato iz prethodnih članaka.

sandra @ laptop: ~ $ sudo ip addr show
1: što: mtu 16436 qdisc noqueue stanje NEPOZNATO link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 opseg host lo inet6 :: 1/128 host host valid_lft zauvijek preferirana_ft zauvijek 2: eth0: mtu 1500 qdisc pfifo_fast stanje UP qlen 1000 veza / eter 00: 17: 42: 8e: 85: 54 brd ff: ff: ff: ff: ff: ff inet 172.16.10.250/24 brd 172.16.10.255 globalni opseg eth0 inet6 fe80: : 217: 42ff: fe8e: 8554/64 poveznica opsega valid_lft zauvijek preferirana_lft zauvijek 3: wlan0: mtu 1500 qdisc noop stanje DOLJE qlen 1000 veza / eter 00: 1d: e0: 88: 09: d5 brd ff: ff: ff: ff: ff: ff 4: pan0: mtu 1500 qdisc noop stanje DOLE veza / eter de: 0b: 67: 52: 69: ad brd ff: ff: ff: ff: ff: ff


sandra @ laptop: ~ $ sudo ruta -n
Tablica usmjeravanja IP jezgre Odredišni pristupnik Genmask Zastave Metrički Ref Upotreba Iface 0.0.0.0 172.16.10.1 0.0.0.0 UG 0 0 0 eth0 172.16.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

sandra @ laptop: ~ $ cat /etc/resolv.conf
poslužitelja naziva 172.16.10.30

sandra@laptop:~$ host desdelinux.ventilator
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

sandra @ laptop:~$ host mail.desdelinux.ventilator
mail.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

sandra @ laptop:~$  host ns.desdelinux.ventilator
ns.desdelinux.fan ima adresu 172.16.10.30

sandra @ laptop: ~ $ host 172.16.10.30
30.10.16.172.in-addr.arpa domain name pointer ns.desdelinux.ventilator.

sandra @ laptop: ~ $ domaćin 172.16.10.10
10.10.16.172.in-addr.arpa domain name pointer desdelinux.ventilator.

sandra@laptop:~$ host -t SRV _xmpp-server._tcp.desdelinux.ventilator
_xmpp-server._tcp.desdelinux.fan has SRV record 0 0 5269 desdelinux.ventilator.

sandra @ laptop:~$ host -t SRV _xmpp-client._tcp.desdelinux.ventilator
_xmpp-client._tcp.desdelinux.fan has SRV record 0 0 5222 desdelinux.ventilator.

sandra @ laptop:~$ host -t SRV _jabber._tcp.desdelinux.ventilator
_jabber._tcp.desdelinux.fan has SRV record 0 0 5269 desdelinux.ventilator.

sandra @ laptop: ~ $ domaćin-obožavatelj.
Isprobavanje "lepeze" ;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 57542 ;; zastave: qr aa rd; UPIT: 1, ODGOVOR: 3, AUTORITET: 0, DODATNI: ​​1 ;; ODJELJAK ZA PITANJA:; ventilator. U BILO KOJEM ;; ODJELJAK ODGOVORA: ventilator. 10800 U SOA-i ns.fan. korijen.fan. 1 86400 3600 604800 10800 ventilator. 10800 U NS ns.fan. ventilator. 10800 U 172.16.10.30 ;; DODATNI ODJELJAK: ns.fan. 10800 U 172.16.10.30 Primljeno 111 bajtova od 172.16.10.30 # 53 u 0 ms

• Namjerno smo postavili adresu 172.16.10.250  Na prijenosnom računalu SVE provjeriti pomoću DNS AXFR upita, budući da su zone konfigurirane tako da bez ikakve lozinke omogućuju ovu vrstu upita s te IP adrese.

sandra@laptop:~$ dig desdelinux.ventilator axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> desdelinux.fan axfr ;; globalne opcije: +cmd
desdelinux.fan.     10800   IN  SOA ns.desdelinux.fan. root.desdelinux.ventilator. 1 86400 3600 604800 10800
desdelinux.fan.     10800   IN  NS  ns.desdelinux.ventilator.
desdelinux.ventilator. 10800 U MX 10 e-poštom.desdelinux.ventilator.
desdelinux.fan.     10800   IN  TXT "v=spf1 a:mail.desdelinux.obožavatelj -svi"
desdelinux.fan.     10800   IN  A   172.16.10.10
_jabber._tcp.desdelinux.fan. 10800 IN   SRV 0 0 5269 desdelinux.fan.
_xmpp-client._tcp.desdelinux.fan. 10800 IN SRV  0 0 5222 desdelinux.fan.
_xmpp-server._tcp.desdelinux.fan. 10800 IN SRV  0 0 5269 desdelinux.fan.
chat.desdelinux.fan.    10800   IN  CNAME   desdelinux.fan.
mail.desdelinux.fan.    10800   IN  CNAME   desdelinux.fan.
ns.desdelinux.fan.  10800   IN  A   172.16.10.30
www.desdelinux.fan. 10800   IN  CNAME   desdelinux.ventilator.
desdelinux.fan.     10800   IN  SOA ns.desdelinux.fan. root.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 0 msec
;; SERVER: 172.16.10.30#53(172.16.10.30)
;; WHEN: Sun Apr 30 10:37:10 EDT 2017
;; XFR size: 13 records (messages 1, bytes 428)

sandra @ laptop: ~ $ dig 10.16.172.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> 10.16.172.in-addr.arpa axfr
;; global options: +cmd
10.16.172.in-addr.arpa. 10800   IN  SOA ns.desdelinux.fan. root.desdelinux.fan. 1 86400 3600 604800 10800
10.16.172.in-addr.arpa. 10800   IN  NS  ns.desdelinux.fan.
10.10.16.172.in-addr.arpa. 10800 IN PTR desdelinux.fan.
30.10.16.172.in-addr.arpa. 10800 IN PTR ns.desdelinux.fan.
10.16.172.in-addr.arpa. 10800   IN  SOA ns.desdelinux.fan. root.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 0 msec
;; SERVER: 172.16.10.30#53(172.16.10.30)
;; WHEN: Sun Apr 30 10:37:27 EDT 2017
;; XFR size: 5 records (messages 1, bytes 193)

sandra @ laptop:~$ ping ns.desdelinux.ventilator
PING ns.desdelinux.fan (172.16.10.30) 56(84) bytes of data.

Na potrebne DNS upite odgovoreno je točno. Također provjeravamo radi li Shorewall ispravno i ne prihvaća li ga ping s računala spojenih na Internet.

Rezime

• Vidjeli smo kako instalirati i konfigurirati - s osnovnim i minimalnim opcijama - mjerodavni DNS poslužitelj zasnovan na NSD-u. Provjeravamo je li sintaksa datoteka zona vrlo slična sintaksi BIND-a. Na Internetu ćete pronaći vrlo dobru i cjelovitu literaturu o NSD-u.
• Ispunili smo cilj prikazivanja deklaracije SRV zapisa koji se odnose na XMPP.
• Pomažemo u instalaciji i minimalnoj konfiguraciji vatrozida temeljenog na Shorewall-u.

Sljedeća dostava

Prosody IM i lokalni korisnici.