DNS i DHCP u CentOS 7 - SMB mreže

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Pozdrav prijatelji!. U ovom ćemo članku vidjeti kako možemo implementirati važan par usluga za mreže koje čini DNS i DHCP na CentOS-u - Linux, posebno u verziji 7.2.

  • Neki se članci o DNS-u pozivaju na činjenicu da je implementacija ove usluge pomalo nejasna i teška. Ne slažem se sasvim s tom izjavom. Prije bih rekao da je pomalo konceptualan i da mnoge njegove konfiguracijske datoteke imaju mučnu sintaksu. Srećom, imamo alate za provjeru, korak po korak, sintakse svake konfiguracijske datoteke koju mijenjamo. Stoga ćemo pokušati učiniti čitanje ovog posta što ugodnijim i ugodnijim..

Za one koji traže osnovne pojmove o obje usluge, toplo preporučujemo da započnete pretragu na Wikipediji, u španjolskoj i engleskoj verziji. Nije manje istina da su članci na engleskom gotovo uvijek cjelovitiji i koherentniji. Ipak, Wikipedia je vrlo dobro polazište.

Za one koji stvarno želite naučiti o DNS-u i BIND-u, preporučujemo čitanje knjige «OReilly - DNS i BIND 4ed" napisao Pavao albitz y Cvrčak Liu, ili kasnije izdanje koje sigurno postoji.

Već smo na tu temu objavili članak pod naslovom «DNS i DHCP u openSUSE 13.2 Harlequin - MSP mreže»Za ljubitelje grafičkog okruženja. Međutim, od sada će se suočavati sa člancima na ovu temu - ne na drugima - napisanima s puno upotrebe emulatora terminala ili konzole. Vau, u klasičnom stilu koji koriste UNIX® / Linux sistemski administratori.

Ako želite znati više o prezimenu naslova ovog članka «MSP mreže»Možete posjetiti stranicu na ovom blogu«MSP mreže: prvi virtualni rez«. U njemu ćete pronaći linkove na mnoge druge objavljene članke.

  • Nakon završetka instalacije operativnog sustava CentOS 7 s paketima koje preporučujemo, el imenik /usr/share/doc/bind-9.9.4/ sadrži dobru količinu dokumentacije koju preporučujemo da pogledate prije nego što se upustite u internetsku pretragu, a da prije toga ne znate da na dohvat ruke i u svom domu možete pronaći ono što tražite.

Instalacija osnovnog sustava

Opći podaci domene i DNS poslužitelja

Naziv domene: desdelinux.fan
Naziv DNS poslužitelja: dns.fromlinux.fan
IP adresa: 192.168.10.5
Maska podmreže: 255.255.255.0

Instalacija

Počinjemo s novom ili čistom instalacijom operativnog sustava CentOS 7 kao što je navedeno u prethodnom članku «CentOS 7 Hypervisor I - SMB mreže«. Trebamo izvršiti samo sljedeće promjene:

  • u Slika 22 «ODABIR SOFTVERA«, Preporučujemo odabir u lijevom stupcu«Osnovno okruženje»Opcija koja odgovara«Infrastrukturni poslužitelj«, Dok je u desnom stupcu«Dodaci za odabrano okruženje»Označite potvrdni okvir«DNS poslužitelj imena«. DHCP poslužitelj ćemo instalirati kasnije.
  • Sjetimo se deklaracije dodatnih spremišta kao što je prikazano u Slika 23, nakon postavljanja «NAZIV MREŽE I TIMA”.
  • Slike koje se odnose na particije koje ćemo stvoriti na našem tvrdom disku date su samo kao vodiči. Slobodno odaberite particije prema vlastitom nahođenju, praksi i dobroj prosudbi.
  • Napokon, u Slika 13 «NAZIV MREŽE I EKIPE», moramo promijeniti vrijednosti prema općim parametrima deklarirane domene i DNS poslužitelja, ne zaboravljajući navesti ime hosta - u ovom slučaju «DNS«- nakon dovršetka mrežne konfiguracije. Pozitivno je to učiniti ping -od drugog hosta- do navedene IP adrese nakon što je mreža aktivna:

DNS i DHCP na CentOS-u

Zaista je malo i vrlo očitih promjena koje moramo napraviti u odnosu na prethodni članak.

Početne provjere i prilagodbe

Nakon što instaliramo operativni sustav, moramo pregledati najmanje sljedeće datoteke, a za to započinjemo sesiju putem SSH-a s našeg računala sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ ssh 192.168.10.5
lozinka buzz@192.168.10.5: Zadnja prijava: subota 28. siječnja 09:48:05 2017. od 192.168.10.1
[buzz @ dns ~] $

Gore navedena radnja može potrajati duže nego što je uobičajeno, a uglavnom je to zbog činjenice da još uvijek nemamo DNS na LAN-u. Kasnije ponovno provjerite radi li DNS.

[buzz @ dns ~] $ mačka / itd / domaćini
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[buzz @ dns ~] $ cat / etc / hostname
DNS

[buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.10.5
PREFIX=24
GATEWAY=192.168.10.1
DNS1=127.0.0.1
DOMAIN=desdelinux.fan

[buzz @ dns ~] $ mačka /etc/resolv.conf 
# Generirano pretraživanjem NetworkManager-a s linux.fan nameserver 127.0.0.1

Glavne konfiguracije odgovaraju našem odabiru. Imajte na umu da čak i na poslužitelju Red Hat 7 - CentOS 7, je prema zadanim postavkama konfiguriran kada NetworkManager tako da ovaj upravlja mrežnim sučeljima, bila ona žičana ili bežična (WiFi), VPN veze, PPPoE veze i bilo koje druge mrežne veze.

[buzz @ dns ~] $ sudo systemctl status networkmanager
[sudo] lozinka za buzz: ● networkmanager.service Loaded: not-found (Razlog: Nema takve datoteke ili direktorija) Aktivno: neaktivno (mrtvo)

[buzz @ dns ~] $ sudo systemctl status NetworkManager
● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; omogućeno; unaprijed postavljeno dobavljača: omogućeno) Aktivan: aktivan (radi) od Sub 2017-01-28 12:23:59 EST; Prije 12 minuta Glavni PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon

Red Hat - CentOS također vam omogućuje povezivanje i odspajanje mrežnih sučelja pomoću klasičnih naredbi ifup e ifdown. Pokrenimo na poslužiteljskoj konzoli:

[root @ dns ~] # ifdown eth0
Uređaj 'eth0' uspješno je prekinut.

[root @ dns ~] # ifup eth0
Veza je uspješno aktivirana (aktivna staza D-sabirnice: / org / freedesktop / NetworkManager / ActiveConnection / 1)
  • Mi predlažemo ne mijenjajte zadane postavke koje nudi CentOS 7 s obzirom na NetworkManager.

Definitivno izjavljujemo spremišta koja ćemo koristiti i po potrebi ažurirati operativni sustav:

[buzz @ dns ~] $ su Lozinka: [root @ dns buzz] # cd /etc/yum.repos.d/
[root @ dns yum.repos.d] # ls -l
ukupno 28 -rw-r - r--. 1 korijen korijena 1664 9. prosinca 2015. CentOS-Base.repo -rw-r - r--. 1 korijen korijena 1309 9. prosinca 2015. CentOS-CR.repo -rw-r - r--. 1 korijen korijena 649 9. prosinca 2015. CentOS-Debuginfo.repo -rw-r - r--. 1 korijen korijena 290 prosinca 9 2015 CentOS-fasttrack.repo -rw-r - r--. 1 korijen korijena 630 9. prosinca 2015. CentOS-Media.repo -rw-r - r--. 1 korijen korijena 1331 9. prosinca 2015. CentOS-Izvori.repo -rw-r - r--. 1 korijen korijena 1952. 9. prosinca 2015. CentOS-Vault.repo

Zdravo je čitati sadržaj izvornih datoteka deklaracije iz spremišta koje preporučuje CentOS. Promjene koje ovdje unosimo nastale su zbog činjenice da nemamo pristup Internetu, a radimo s lokalnim spremištima preuzetim sa WWW Villagea od strane kolega koji nam malo olakšavaju život. 😉

[root @ dns yum.repos.d] # mkdir izvornik
[root @ dns yum.repos.d] # mv CentOS- * izvornik /

[root @ dns yum.repos.d] # nano centos-repos.repo
[centos-base]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/base/
gpgcheck=0
enabled=1

[centos-updates]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ dns yum.repos.d] # yum očisti sve
Učitani su dodaci: najbrže ogledalo, langpacks Čišćenje spremišta: centos-base centos-updates Čišćenje svega

[root @ dns yum.repos.d] # ažuriranje yum-a
Učitani dodaci: najbrže ogledalo, centos-base langpacks | 3.4 kB 00:00 centos-ažuriranja | 3.4 kB 00:00 (1/2): centos-baza / primarni_db | 5.3 MB 00:00 (2/2): centos-updates / primary_db | 9.1 MB 00:00 Određivanje najbržih zrcala Nema paketa označenih za ažuriranje

Poruka «Ne (postoje) paketi označeni za ažuriranje» - «Nema paketa označenih za ažuriranje»Označava da su proglašavanjem najsuvremenijih spremišta koja su nam dostupna tijekom instalacije instalirani upravo najnoviji paketi.

O kontekstu SELinux-a i vatrozidu

Ovaj ćemo članak usredotočiti - u osnovi - na implementaciju DNS i DHCP usluga, što je njegov glavni cilj.

Ako je čitatelj tijekom postupka instalacije odabrao Sigurnosnu politiku, kako je naznačeno u Slika 06 referentnog članka «CentOS 7 Hypervisor I - SMB mreže»Koristi se za instalaciju ovog DNS - DHCP poslužitelja i utvrdite da ne znate kako pravilno konfigurirati SELinux i CentOS vatrozid, predlažemo da pokrenete sljedeće:

Izmijenite datoteku / etc / sysconfig / selinux i promjena SELinuxa = Provedba od SELINUX = onemogući

[root @ dns ~] # nano / etc / sysconfig / selinux
# Ova datoteka kontrolira stanje SELinux-a u sustavu. # SELINUX = može uzeti jednu od ove tri vrijednosti: # prisiljavanje - SELinux sigurnosna politika se provodi. # dopušteno - SELinux ispisuje upozorenja umjesto da ih provodi. # onemogućeno - Nije učitana nijedna SELinux politika.
Selinux = onemogućeno
# SELINUXTYPE = može uzeti jednu od tri dvije vrijednosti: # ciljano - ciljani procesi su zaštićeni, # minimalno - izmjena ciljane politike. Samo odabrani procesi su pr $ # mls - Višerazinska sigurnosna zaštita. SELINUXTYPE = ciljano

Zatim pokrenite sljedeće naredbe

[root @ dns ~] # setenforce 0
[root @ dns ~] # zaustavljanje vatrozida usluge
Preusmjeravanje na / bin / systemctl stop firewalld.service

[root @ dns ~] # systemctl onemogući vatrozid
Uklonjena simbolična veza /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Uklonjena simbolična veza /etc/systemd/system/basic.target.wants/firewalld.service.

Ako implementirate DNS poslužitelj okrenut prema Internetu, NE biste smjeli činiti gore navedeno, već ispravno konfigurirajte SELinux kontekst i vatrozid. Vidjeti "Konfiguracija poslužitelja s GNU / Linuxom, autora Joela Barriosa Dueñasa" ili sama dokumentacija CentOS-a - Red Hat

Konfiguriramo BIND - named

  • El imenik /usr/share/doc/bind-9.9.4/ Sadrži dobru količinu dokumentacije koju preporučujemo konzultirati prije nego što se upustite u internetsku pretragu, a da prije toga ne znate da na dohvat ruke i u svom domu možete pronaći ono što tražite

U mnogim distribucijama naziva se DNS usluga instalirana putem BIND paketa pod nazivom (Ime Daemon). U CentOS 7 instaliran je onemogućen prema zadanim postavkama, prema izlazu sljedeće naredbe, gdje stoji da je njegov status «onesposobljen«, I da je to stanje unaprijed definirao njezin» prodavač «- prodavač unaprijed postavljen. Za zapisnik, BIND je besplatni softver.

Omogućavanje imenovane usluge

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; onesposobljen; unaprijed postavljeno: onemogućeno) Aktivno: neaktivno (mrtvo)

[root @ dns ~] # systemctl enable named
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/named.service do /usr/lib/systemd/system/named.service.

[root @ dns ~] # systemctl početak imenovan

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućeno; unaprijed postavljeno: onemogućeno)
   Aktivno: aktivno (trčanje) od Sub 2017-01-28 13:22:38 EST; Prije 5 minuta Proces: 1990 ExecStart = / usr / sbin / named -u named $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (code = exited, status = 0 / USPJEH) Glavni PID: 1993 (imenovan) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u named 28. siječnja 13:22:45 dns named [1993]: pogreška (mreža nedostupna) rješavanje './NS/IN': 2001: 500: 2f :: f # 53 28. siječnja 13:22:47 dns imenovana [1993]: pogreška (mreža nedostupna) rješavanje './ DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 28. siječnja 13: 22: 47 dns imenovan [1993]: pogreška (mreža nedostupna) rješavanje' ./NS/IN ': 2001: 500: 3 :: 42 # 53 28. siječnja 13:22:47 dns imenovan [1993]: pogreška (mreža nedostupna) rješavanje './DNSKEY/IN': 2001: 500: 2d :: d # 53 28. siječnja 13:22:47 dns imenovana [1993] ]: pogreška (mreža nedostupna) u rješavanju './NS/IN': 2001: 500: 2d :: d # 53 28. siječnja 13:22:47 dns imenovana [1993]: pogreška (mreža nedostupna) rješavanje './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 28. siječnja 13:22:47 dns imenovan [1993]: rješavanje pogreške (mreža nedostupna)' ./NS/IN ': 2001: dc3 :: 35 # 53 28. siječnja 13: 22:47 dns imenovan [1993]: pogreška (mreža nedostupna) rješavanje './DNSKEY/IN': 2001: 7fe :: 53 # 53 28. siječnja 13:22:47 dns imenovana [1993]: pogreška (mreža nedostupna) res olving './NS/IN': 2001: 7fe :: 53 # 53 28. siječnja 13 22:48:1993 dns imenovan [XNUMX]: managed-keys-zone: Nije moguće dohvatiti DNSKEY set '.': isteklo vrijeme čekanja

[root @ dns ~] # systemctl ponovno pokrenuto ime

[root @ dns ~] # systemctl status imenovan
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućena; unaprijed postavljena opcija dobavljača: onemogućena)
   Aktivno: aktivno (trčanje) od Sub 2017-01-28 13:29:41 EST; Prije 1s Proces: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kod = izašao, status = 0 / USPJEH) Proces: 1460 ExecStart = / usr / sbin / named -u named $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1457 ExecStartPre = / bin / bash -c ako [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (code = exited, status = 0 / USPJEH) Glavni PID: 1463 (imenovan) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u named 28. siječnja 13:29:41 dns named [1463]: managed-keys-zone: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 28. siječnja 13:29:41 dns pod nazivom [1463]: managed-keys-zone: loaded serial 2. siječnja 28 13:29:41 dns imenovan [1463]: zona 0.in-addr.arpa/IN: učitana serijska postava 0 28. siječnja 13:29:41 dns imenovana [1463]: zona localhost.localdomain / IN: učitana serijska linija 0. siječnja 28:13:29 dns named [41]: zone 1463.in-addr.arpa/IN: loaded serial 1.0.0.127 0. januara 28:13:29 dns named [41]: zone 1463 .1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa / IN: učitan serijski 0 28. januara 13:29:41 dns imenovan [1463]: zone localhost / IN: učitan serijski 0 28. januara 13 : 29: 41 dns imenovan [1463]: učitane su sve zone 28. siječnja 13:29:41 dns imenovane [1463]: pokrenut je 28. siječnja 13:29:41 dns systemd [1]: Započeta domena internetskog imena Berkeley (DNS).

Nakon što omogućimo uslugu pod nazivom i pokrećemo ga prvi put, izlaz naredbe systemctl status imenovan pokazuje pogreške. Kada ponovno pokrenemo uslugu u nastavku, pod nazivom kreira sve konfiguracijske datoteke koje su prema zadanim postavkama potrebne za njegov ispravan rad. Stoga, kada ponovno izvršimo naredbu systemctl status imenovan više se ne prikazuju pogreške.

  • Dragi, skupi i zahtjevni čitatelju: ako barem želite saznati koji put vodi do kraja zečje rupe, molimo vas da mirno pročitate detaljne izlaze svake naredbe. 😉 Zasigurno će se članak činiti malo dugim, ali nemojte poreći da dobiva na objašnjenju i jasnoći.

Izmjenjujemo datoteku /etc/named.conf

Mnogi komentari čitatelja izriču -Ja to ne kažem- manija koju imaju održavatelji različitih distribucija Linuxa, stavljanjem datoteka s konfiguracijom sustava u mape s različitim imenima, ovisno o distro-u. U pravu su. Ali što mi, jednostavni korisnici koji se koriste tim distribucijama, možemo učiniti? Prilagoditi! 😉

Inače, u FreeBSD-u, UNIX-ovom klonu «Izvor», datoteka je u /usr/local/etc/namedb/named.conf; dok je bio u Debianu, osim što se podijelio na četiri datoteke named.conf, named.conf.options, named.conf.default-zone i named.conf.local, nalazi se u mapi / etc / bind /. Oni koji žele znati gdje ga openSUSE postavlja, pročitajte «DNS i DHCP u openSUSE 13.2 Harlequin - MSP mreže«. Čitatelji su u pravu! 😉

I kao što uvijek činimo: prije bilo čega mijenjanja, izvornu konfiguracijsku datoteku spremamo pod drugim imenom.

[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original

Da biste olakšali život, umjesto da generirate ključ TSIG za dinamička ažuriranja DNS-a putem DHCP-a kopiramo isti ključ rndc.key kao dhcp.key.

[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key

[root @ dns ~] # nano /etc/dhcp.key
ključ "dhcp-ključ" {algoritam hmac-md5; tajna "OI7Vs + TO83L7ghUm2xNVKg =="; };

Tako da pod nazivom može pročitati upravo kopiranu datoteku, mijenjamo njezinu vlasničku grupu:

[root @ dns ~] # chown root: named /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 korijen nazvan 77 28. siječnja 16:36 /etc/dhcp.key -rw-r -----. 1 korijen nazvan 77 28. siječnja 13:22 /etc/rndc.key

Mali detalji poput prethodnog ono su što nas može izluditi pokušavajući saznati, sad ... gdje je problem ...? s još nekim pridjevima, koje ne pišemo iz poštovanja prema Uglednom.

Sada ako - konačno! - izmijenimo datoteku /etc/ named.conf. Izmjene ili dopune koje smo napravili u odnosu na izvornik su u podebljano. Pogledajte dobro koliko ih je malo.

[root @ dns ~] # nano /etc/named.conf
// // named.conf // // Osigurava Red Hat paket za povezivanje za konfiguriranje ISC BIND-a pod imenom (8) DNS // poslužitelj kao poslužitelj imena samo za predmemoriranje (samo kao lokalni DNS razrješivač). // // Pogledajte / usr / share / doc / bind * / sample / na primjer imenovane konfiguracijske datoteke. //

// Popis kontrole pristupa koji izjavljuje koje će se mreže moći savjetovati
// moj poslužitelj imenovan
acl mired {
 127.0.0.0 / 8;
 192.168.10.0 / 24;
};

mogućnosti {
 // Izjavljujem da imenovani demon također sluša sučelje
 // eth0 koji ima IP: 192.168.10.5
    priključak za preslušavanje 53 {127.0.0.1; 192.168.10.5; };
    port za slušanje na v6 53 {:: 1; }; direktorij "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; statistička datoteka "/var/named/data/named_stats.txt"; memstatistička datoteka "/var/named/data/named_mem_stats.txt";

 // Izjava o špediterima
 // špediteri {
 // 0.0.0.0;
 // 1.1.1.1;
 //};
    // prvi naprijed;

    // Dopuštam upite samo za moj zaglibljeni ACL
    allow-query {mired; }; // Da provjerimo naredbom dig iz linux.fan axfr // samo sa radne stanice SysAdmin i localhost // Nemamo slave DNS poslužitelje. Ne treba nam ... do sada.
 dopusti-transfer {localhost; 192.168.10.1; };

    / * - Ako gradite AUTORITATIVNI DNS poslužitelj, NE omogućite rekurziju. - Ako gradite RECURZIVNI (predmemorirani) DNS poslužitelj, morate omogućiti rekurziju. - Ako vaš rekurzivni DNS poslužitelj ima javnu IP adresu, MORATE omogućiti kontrolu pristupa kako biste ograničili upite na vaše legitimne korisnike. Ako to ne učini, vaš će poslužitelj postati dio velikih napada DNS pojačanja. Implementacija BCP38 unutar vaše mreže uvelike bi smanjila takvu površinu napada * /
    // Želimo AUTHORITY poslužitelj za naš LAN - SME
    rekurzija br;

    dnssec-enable yes; dnssec-provjera valjanosti; / * Put do ISC DLV ključa * / bindkeys-file "/etc/named.iscdlv.key"; upravljani-ključevi-direktorij "/ var / named / dynamic"; pid-datoteka "/run/named/named.pid"; datoteka ključa sesije "/run/named/session.key"; }; bilježenje {channel default_debug {datoteka "data / named.run"; dinamika ozbiljnosti; }; }; zona "." IN {tip nagovještaj; datoteka "named.ca"; }; uključuju "/etc/named.rfc1912.zones"; uključuju "/etc/named.root.key";

// Uključujemo TSIG ključ za dinamička DNS ažuriranja // od DHCP-a
uključuju "/etc/dhcp.key";

// Izjava o imenu, vrsti, mjestu i dopuštenju ažuriranja
// zona DNS zapisa // Obje zone su GOSPODARSKE
zona "desdelinux.fan" {
 tip majstor;
 datoteka "dynamic / db.fromlinux.fan";
 allow-update {ključ dhcp-ključ; };
};

zona "10.168.192.in-addr.arpa" {
 tip majstor;
 datoteka "dynamic / db.10.168.192.in-addr.arpa";
 allow-update {ključ dhcp-ključ; };
};

Provjeravamo sintaksu

[root @ dns ~] # named-checkconf 
[root @ dns ~] #

Budući da gornja naredba ne vraća ništa, sintaksa je u redu. Međutim, ako izvršimo istu naredbu, ali s opcijom -z, izlaz će biti:

[root @ dns ~] # named-checkconf -z
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitavanje iz glavnog datoteka dynamic / db.from linux.fan nije uspjela: datoteka nije pronađena zona iz linux.fan/IN: nije učitana zbog pogrešaka. _default / desdelinux.fan / IN: datoteka nije pronađena zona 10.168.192.in-addr.arpa/IN: učitavanje iz glavne datoteke dynamic / db.10.168.192.in-addr.arpa nije uspjelo: datoteka nije pronađena zona 10.168.192 .in-addr.arpa / IN: nije učitan zbog pogrešaka. _default / 10.168.192.in-addr.arpa / IN: datoteka nije pronađena

Naravno da se radi o pogreškama koje se javljaju jer još nismo stvorili DNS zapisne zone za svoju domenu.

  • Za više informacija o naredbi named-checkconf, trčanje čovjek imenovan-checkconf, prije nego što potražite bilo kakve druge informacije na Internetu. Uvjeravam vas da ćete uštedjeti dosta vremena.

Datoteku Direct Zone kreiramo iz linux.fan

... ne samo bez malo teorije. 😉

Kao predložak za stvaranje datoteke podataka o zoni možemo uzeti /var/naim/naim.praznoili the /usr/share/doc/bind-9.9.4/sample/var/ named/ named.empty. Oboje su identični.

[root @ dns ~] # mačka /var/naimenovano/imenovano.prazno 
$ TTL 3H @ IN SOA @ rname.invalid. (0; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimalno ili negativno vrijeme predmemoriranja za život NS @ A 127.0.0.1 AAAA :: 1

Vrijeme života - Vrijeme je da se živi TTL SOA zapis

Uzmimo zagradu da objasnimo TTL - Vrijeme za život iz registra SOA - Početak autoriteta Master Zone. Zanimljivo je znati njihova značenja kada želimo modificirati bilo koju od njihovih vrijednosti.

$ TTL: Vrijeme života - Vrijeme je za život za sve zapise u datoteci koji slijede deklaraciju (ali prethode bilo kojoj drugoj $ TTL deklaraciji) i nemaju eksplicitnu TTL deklaraciju.

serijski: Serijski broj podataka zone. Svaki put kad ručno modificiramo DNS zapis u zoni, moramo povećati taj broj za 1, pogotovo ako imamo pomoćne ili sekundarne poslužitelje. Svaki put kad sekundarni ili pomoćni DNS poslužitelj kontaktira svoj glavni poslužitelj, on traži serijski broj matičnih podataka. Ako je serijski broj podređenog računara manji, tada su podaci za tu zonu na podređenom poslužitelju zastarjeli, a podređeni uređaj vrši prijenos zone kako bi se ažurirao.

osvježiti: Kaže podređenom poslužitelju vremenski interval u kojem bi trebao provjeriti jesu li njegovi podaci ažurirani u odnosu na glavno računalo.

ponovni pokušaj: Ako glavni poslužitelj nije dostupan - zato što se razbolio, recimo - za slave nakon vremenskog intervala osvježiti, ponovni pokušaj Govori robovu koliko treba čekati prije nego što pokuša ponovno kontaktirati svog gospodara.

isteći: Ako slave ne može neko vrijeme kontaktirati svog gospodara isteći, onda ako je odnos slave-master zone zajeban, a slave-poslužitelj nema druge nego isteći dotičnoj zoni. Istek zone podređenim DNS poslužiteljem znači da će prestati odgovarati na DNS upite povezane s tom zonom, jer su dostupni podaci prestari da bi bili korisni.

  • Navedeno nas neizravno uči i opterećeno velikim zdravim razumom - najmanje uobičajenim osjetilima - da ako nam za rad našeg malog i srednjeg poduzetništva nisu potrebni poslužni DNS poslužitelji, nećemo ga implementirati, osim ako nisu nužno potrebni. Pokušajmo uvijek ići od jednostavnog ka složenom.

minimun: U verzijama prije VEZA 8.2, posljednji zapis SOA-e Također ukazuje na zadani životni vijek - Zadano vrijeme za život, i negativni vijek predmemorije - Negativno vrijeme za predmemoriranje za Zonu. Ovo se vrijeme odnosi na sve negativne odgovore autoritativnog poslužitelja za zonu.

Zonska datoteka /var/naim/dynamic/db.fromlinux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, vaš blog posvećen slobodnom softveru"; sysadmin U A 192.168.10.1 ad-dc U A 192.168.10.3 poslužitelj datoteka U A 192.168.10.4 dns U A 192.168.10.5 proxyweb U A 192.168.10.6 blog U A 192.168.10.7 ftpserver U A 192.168.10.8 mail IN A 192.168.10.9

Provjeravamo /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # named-checkzone iz linux.fan / var / named / dynamic / db. fromlinux.fan
zona iz linux.fan/IN: učitan serijski 1 OK

Stvaramo datoteku Reverse Zone 10.168.192.in-addr.arpa

  • SOA zapis ove zone jednak je onom izravne zone bez razmatranja MX zapisa..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS dns.fromlinux.fan. ; 1 U PTR sysadmin.fromlinux.fan. 3 U PTR ad-dc.fromlinux.fan. 4 U PTR datotečni poslužitelj.fromlinux.fan. 5 U PTR dns.fromlinux.fan. 6 U PTR proxyweb.desdelinux.fan. 7 U PTR blog.desdelinux.fan. 8 U PTR ftpserver.fromlinux.fan. 9 U PTR mail.fromlinux.fan.

[root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa 
zona 10.168.192.in-addr.arpa/IN: učitan serijski 1 OK

Prije ponovnog pokretanja imenovanog provjeravamo njegovu konfiguraciju

  • Sve dok ne budemo sigurni da imenovane datoteke za konfiguraciju named.conf i njegove zonske datoteke nisu ispravno konfigurirane, predlažemo da ne ponovno pokrećemo imenovani demon. Ako to učinimo i kasnije izmijenimo datoteku zone, moramo povećati serijski broj modificirane zone za 1.
  • Pogledajmo "." na kraju imena domena i hosta.
[root @ dns ~] # named-checkconf 
[root @ dns ~] # named-checkconf -z
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitana serijska 1 zona 10.168.192.in-addr.arpa/IN: učitan serijski 1

Sve trenutne imenovane konfiguracije

Da bismo stekli jasnoću i iako članak postaje dugačak, dajemo cjelovite rezultate naredbe named -checkconf -zp:

[root @ dns ~] # named-checkconf -zp
zona localhost.localdomain / IN: učitana serijska 0 zona localhost / IN: učitana serijska 0 zona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: učitana serijska 0 zona 1.0.0.127.in-addr.arpa/IN: učitana serijska 0 zona 0.in-addr.arpa/IN: učitana serijska 0 zona iz linux.fan/IN: učitana serijska 1 zona 10.168.192.in-addr.arpa/IN: učitane serijske 1 opcije {bindkeys-file "/etc/named.iscdlv.key"; datoteka ključa sesije "/run/named/session.key"; direktorij "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; priključak za preslušavanje 53 {127.0.0.1/32; 192.168.10.5/32; }; preslušajte-v6 port 53 {:: 1/128; }; upravljani-ključevi-direktorij "/ var / named / dynamic"; memstatistička datoteka "/var/named/data/named_mem_stats.txt"; pid-datoteka "/run/named/named.pid"; statistička datoteka "/var/named/data/named_stats.txt"; dnssec-enable yes; dnssec-provjera valjanosti; rekurzija br; allow-query {"zaglibio"; }; dopusti prijenos {192.168.10.1/32; }; }; acl "zaglibio" {127.0.0.0/8; 192.168.10.0/24; }; zapisivanje {channel "default_debug" {datoteka "data / named.run"; dinamika ozbiljnosti; }; }; ključ "dhcp-ključ" {algoritam "hmac-md5"; tajna "OI7Vs + TO83L7ghUm2xNVKg =="; }; zona "." IN {tip nagovještaj; datoteka "named.ca"; }; zona "localhost.localdomain" IN {glavni master; datoteka "named.localhost"; allow-update {"ništa"; }; }; zona "localhost" IN {glavni tip; datoteka "named.localhost"; allow-update {"ništa"; }; }; zona "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {master master; datoteka "named.loopback"; allow-update {"ništa"; }; }; zona "1.0.0.127.in-addr.arpa" IN {glavni tip; datoteka "named.loopback"; allow-update {"ništa"; }; }; zona "0.in-addr.arpa" IN {glavni master; datoteka "named.empty"; allow-update {"ništa"; }; }; zona "desdelinux.fan" {master master; datoteka "dynamic / db.fromlinux.fan"; allow-update {ključ "dhcp-ključ"; }; }; zona "10.168.192.in-addr.arpa" {master master; datoteka "dynamic / db.10.168.192.in-addr.arpa"; allow-update {ključ "dhcp-ključ"; }; }; upravljani ključevi {"." ključni početni-257 kolovoz 3 "AwEAAagAIKlVZrpC8Ia6gEzahOR + 7W9euxhJhVVLOyQbSEW29O0gcCjF FVQUTf8v6fLjwBd58YI0EzrAcQqBGCzh / RStIoO0g8NfnfL0MTJRkxoX bfDaUeVPQuYEhg2NZWAJQ37VnMVDxP / VHL9M / QZxkjf496 / Efucp5gaD X2RS6CXpoY6LsvPVjR68ZSwzz0apAzvN1dlzEheX9ICJBBtuA7G6LQpz W3hOA5hzCTMjJPJ2LbqF8dsV6DoBQzgul6sGIcGOYl0OyQdXfZ7relS Qageu + ipAdTTJ57AsRTAoub25ONGcLmqrAmRLKBP8dfwhYB1N4knNnulq QXA + Uk7ihz1 ="; };
  • Slijedom postupka izmjene imenovan.konf Prema našim potrebama i provjeri, te stvaranju svake datoteke zone i provjeri, sumnjamo da ćemo se morati suočiti s velikim konfiguracijskim problemima. Na kraju shvatimo da je to dječačka igra s mnogo koncepata i nesretnom sintaksom,

Provjere su dale zadovoljavajuće rezultate, stoga možemo ponovno pokrenuti BIND - pod nazivom.

Ponovno pokrećemo imenovani i provjeravamo njegov status

[root @ dns ~] # restart systemctl named.service
[root @ dns ~] # systemctl status named.service

Ako dobijemo bilo kakvu pogrešku u izlazu posljednje naredbe, moramo ponovno pokrenuti imenovan.usluga i ponovno provjerite svoj status. Ako su pogreške nestale, usluga se uspješno pokrenula. Ako nije, moramo izvršiti temeljit pregled svih izmijenjenih i stvorenih datoteka i ponoviti postupak.

Ispravan izlaz statusa trebao bi biti:

[root @ dns ~] # systemctl status named.service
● named.service - Berkeley internetska domena (DNS) učitana: učitana (/usr/lib/systemd/system/named.service; omogućena; unaprijed postavljena opcija dobavljača: onemogućena) Aktivno: aktivan (trčanje) od ned 2017-01-29 10:05:32 EST; Prije 2 minute i 57s Proces: 1777 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kod = izašao, status = 0 / USPJEH) Proces: 1788 ExecStart = / usr / sbin / named -u named $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1786 ExecStartPre = / bin / bash -c ako je [! "$ DISABLE_ZONE_CHECKING" == "da"]; zatim / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Provjera datoteka zona je onemogućena"; fi (code = exited, status = 0 / USPJEH) Glavni PID: 1791 (imenovan) CGroup: /system.slice/named.service └─1791 / usr / sbin / named -u named 29. siječnja 10:05:32 dns named [1791]: zona 1.0.0.127.in-addr.arpa/IN: učitana serijska serija 0. siječnja 29:10:05 dns imenovana [32]: zona 1791.in-addr.arpa/IN: učitana serijska 10.168.192. siječnja 1 29:10:05 dns pod nazivom [32]: zone 1791.ip1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.arpa/IN : učitani serijski 6 0. siječnja 29:10:05 dns imenovan [32]: zona desdelinux.fan/IN: učitani serijski 1791. siječnja 1 29:10:05 dns imenovan [32]: zona localhost.localdomain / IN: učitan serijski 1791 0. siječnja 29:10:05 dns imenovan [32]: zone localhost / IN: učitan serijski broj 1791 0. siječnja 29:10:05 dns imenovan [32]: sve zone su učitane
29. siječnja 10:05:32 dns imenovan [1791]: trčanje
29. siječnja 10:05:32 dns systemd [1]: Započela je domena internetskog imena Berkeley (DNS). 29. siječnja 10:05:32 dns imenovan [1791]: zona 10.168.192.in-addr.arpa/IN: slanje obavijesti (serijski 1)

Provjere

Provjere se mogu izvoditi na istom poslužitelju ili na stroju povezanom na LAN. Radije ih radimo iz ekipe sysadmin.fromlinux.fan na što smo dali izričito dopuštenje za obavljanje zonskih transfera. Datoteka / Etc / resolv.conf tog tima je sljedeće:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Generirano pretraživanjem NetworkManager-a s linux.fan nameserver 192.168.10.5

buzz @ sysadmin: ~ $ kopati s linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 s linux.fan. 10800 U NS dns.fromlinux.fan. iz linux.fan. 10800 U MX 10 mail.fromlinux.fan. iz linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 datotečni poslužitelj.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U 192.168.10.8 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 sysadmin.fromlinux.fan. 10800 U Do 192.168.10.1 s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Vrijeme upita: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Jan 29, 11:44:18 EST 2017 ;; XFR veličina: 13 zapisa (poruke 1, bajtovi 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; globalne opcije: + cmd 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 U NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 U PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 U PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 U PTR datotečni poslužitelj.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 U PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 U PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 U PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 U PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 U PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 U SOA-i dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; Vrijeme upita: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KADA: Ned Jan 29 11:44:57 EST 2017 ;; XFR veličina: 11 zapisa (poruke 1, bajtovi 352)

buzz @ sysadmin: ~ $ kopati u SOA-i s linux.fan
buzz @ sysadmin: ~ $ dig IN MX s linux.fan buzz @ sysadmin: ~ $ dig IN TXT s linux.fan
buzz @ sysadmin: ~ $ host dns
dns.fromlinux.fan ima adresu 192.168.10.5
buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan ima adresu 192.168.10.1 ... I sve ostale provjere koje su nam potrebne
  • Do sada imamo osnovu za DNS poslužitelj u našoj MSP mreži. Nadamo se da vam se svidio cijeli postupak, koji je bio prilično jednostavan, zar ne? 😉

Instaliramo i konfiguriramo DHCP

[root @ dns ~] # yum instalirati dhcp
Učitani dodaci: najbrže ogledalo, centos-base langpacks | 3.4 kB 00:00:00 centos-ažuriranja | 3.4 kB 00:00:00 Učitavanje brzina zrcala iz predmemorirane datoteke hosta Rješavanje ovisnosti -> Pokretanje testa transakcije ---> Paket dhcp.x86_64 12: 4.2.5-42.el7.centos mora biti instaliran -> Rješavanje ovisnosti raskinute Riješene ovisnosti =============================================== ====================================================== ==================================== Arhitektura paketa Verzija spremišta Veličina =========== ================================================== ====================================================== ====================== Instaliranje: dhcp x86_64 12: 4.2.5-42.el7.centos-base 511k Sažetak transakcije ==== ================================================== ================================================== ============================ Instaliraj 1 paket Ukupna veličina preuzimanja: 511k Instalirana veličina: 1.4 M Je li ovo u redu [god / d / N]: y Preuzimanje paketa: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Pokretanje provjere transakcije Pokretanje testa transakcije Uspješno testiranje transakcije Pokretanje transakcije Instaliranje: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Provjera: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Instalirano: dhcp.x86_64 12: 4.2.5-42.el7.centos Gotovo!

[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # Datoteka za konfiguraciju DHCP poslužitelja. # vidi /usr/share/doc/dhcp*/dhcpd.conf.example # vidi dhcpd.conf (5) man page # ddns-update-style interim; ddns-ažuriranja na; ddns-ime domene "desdelinux.fan."; ddns-rev-ime domene "in-addr.arpa."; ignorirati ažuriranja klijenta; mjerodavan; opcija ip-prosljeđivanje isključena; ime domene "desdelinux.fan"; # opcija ntp-poslužitelji 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; uključuju "/etc/dhcp.key"; zona iz linux.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } zona 10.168.192.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } zajednička mreža redlocal {podmreža 192.168.10.0 mrežna maska ​​255.255.255.0 {usmjerivači opcija 192.168.10.1; opcija podmreža-maska ​​255.255.255.0; opcija emitiranje-adresa 192.168.10.255; opcija domena-ime-poslužitelji 192.168.10.5; opcija netbios-name-serveri 192.168.10.5; raspon 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

[root @ dns ~] # dhcpd -t
Konzorcij internetskih sustava DHCP poslužitelj 4.2.5. Copyright 2004-2013 Konzorcij internetskih sustava. Sva prava pridržana. Za informacije posjetite https://www.isc.org/software/dhcp/ Ne traži LDAP jer ldap-server, ldap-port i ldap-base-dn nisu navedeni u datoteci za konfiguraciju

[root @ dns ~] # systemctl omogući dhcpd
Izrađena je simbolična veza od /etc/systemd/system/multi-user.target.wants/dhcpd.service do /usr/lib/systemd/system/dhcpd.service.

[root @ dns ~] # systemctl start dhcpd

[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - Učitani demon DHCPv4 poslužitelja: učitan (/usr/lib/systemd/system/dhcpd.service; omogućen; tvornička postavka: onemogućeno) Aktivan: aktivan (pokrenut) od doma 2017-01-29 12:04:59 ITS T; Prije 23s Dokumenti: man: dhcpd (8) man: dhcpd.conf (5) Glavni PID: 2381 (dhcpd) Status: "Otpremanje paketa ..." CGroup: /system.slice/dhcpd.service └─2381 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid 29. siječnja 12:04:59 dns dhcpd [2381]: Internet Systems Consortium DHCP Server 4.2.5 29. siječnja 12 : 04: 59 dns dhcpd [2381]: Copyright 2004-2013 Internet Systems Consortium. 29. siječnja 12:04:59 dns dhcpd [2381]: Sva prava pridržana. 29. siječnja 12:04:59 dns dhcpd [2381]: Za informacije posjetite https://www.isc.org/software/dhcp/ 29. siječnja 12:04:59 dns dhcpd [2381]: Ne traži LDAP od ldap -server, ldap-port i ldap-base-dn nisu navedeni u konfiguracijskoj datoteci 29. siječnja 12:04:59 dns dhcpd [2381]: Napisao je 0 zakupa u datoteku zakupa. 29. siječnja 12:04:59 dns dhcpd [2381]: Slušanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. siječnja 12:04:59 dns dhcpd [2381]: slanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. siječnja 12:04:59 dns dhcpd [2381]: Slanje na Socketu / rezervni / rezervni-net 29. januara 12:04:59 dns systemd [1]: pokrenuto DHCPv4 poslužitelj Daemon.

Što još treba učiniti?

Jednostavan. Pokrenite Windows 7 ili drugi klijent s besplatnim softverom i započnite testiranje i provjeru. Učinili smo to s dva klijenta: sedam.fromlinux.fan y suse-desktop.fromlinux.fan. Provjere su bile sljedeće:

buzz @ sysadmin: ~ $ domaćin sedam
seven.fromlinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ domaćin sedam.fromlinux.fan
seven.fromlinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT seven.fromlinux.fan
.... ;; ODJELJAK ZA PITANJA:; seven.fromlinux.fan. U TXT-u ;; ODJELJAK ODGOVORA: seven.desdelinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Preimenujemo tim "sedam" u "LAGER" i ponovno pokrećemo sustav. Nakon ponovnog pokretanja novog LAGER-a provjeravamo:

buzz @ sysadmin: ~ $ domaćin sedam
Nije pronađen domaćin sedam: 5 (ODBIJENO)

buzz @ sysadmin: ~ $ domaćin sedam.fromlinux.fan
Domaćin seven.desdelinux.fan nije pronađen: 3 (NXDOMAIN)

zujati@sysadmin: ~ $ host lager
lager.desdelinux.fan ima adresu 192.168.10.30

zujati@sysadmin: ~ $ host lager.fromlinux.fan
lager.desdelinux.fan ima adresu 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT lager.fromlinux.fan
.... ;; ODJELJAK ZA PITANJA :; lager.fromlinux.fan. U TXT-u ;; ODJELJAK ODGOVORA: lager.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Što se tiče klijenta suse-desktop:

buzz @ sysadmin: ~ $ host suse-dektop
Domaći suse-dektop nije pronađen: 5 (ODBIJENO)

buzz @ sysadmin: ~ $ host suse-desktop
suse-desktop.desdelinux.fan ima adresu 192.168.10.33

buzz @ sysadmin: ~ $ host suse-desktop.fromlinux.fan
suse-desktop.desdelinux.fan ima adresu 192.168.10.33

buzz @ sysadmin: ~ $ host 192.168.10.33
33.10.168.192.in-addr.arpa pokazivač imena domene suse-desktop.desdelinux.fan.

buzz @ sysadmin: ~ $ host 192.168.10.30
30.10.168.192.in-addr.arpa pokazivač imena domene LAGER.desdelinux.fan.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33
.... ;; ODJELJAK ZA PITANJA:; 33.10.168.192.in-addr.arpa. U PTR ;; ODJELJAK ODGOVORA: 33.10.168.192.in-addr.arpa. 3600 U PTR suse-desktop.fromlinux.fan. ;; ODJELJAK VLASTI: 10.168.192.in-addr.arpa. 10800 U NS dns.fromlinux.fan. ;; DODATNI ODJELJAK: dns.fromlinux.fan. 10800 U 192.168.10.5 ....

buzz @ sysadmin: ~ $ dig IN TXT suse-desktop.fromlinux.fan ....
; suse-desktop.desdelinux.fan. U TXT-u ;; ODJELJAK ODGOVORA: suse-desktop.desdelinux.fan. 3600 U TXT "31b78d287769160c93e6dca472e9b46d73"

;; ODJELJAK VLASTI: desdelinux.fan. 10800 U NS dns.fromlinux.fan. ;; DODATNI ODJELJAK: dns.fromlinux.fan. 10800 U 192.168.10.5
....

Izvršimo i sljedeće naredbe

[root @ dns ~] # kopati s linux.fan axfr
; << >> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 << >> desdelinux.fan axfr ;; globalne opcije: + cmd s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 s linux.fan. 10800 U NS dns.fromlinux.fan. iz linux.fan. 10800 U MX 10 mail.fromlinux.fan. iz linux.fan. 10800 U TXT-u "FromLinux, vaš blog posvećen slobodnom softveru" ad-dc.desdelinux.fan. 10800 U 192.168.10.3 blog.desdelinux.fan. 10800 U 192.168.10.7 dns.fromlinux.fan. 10800 U 192.168.10.5 datotečnom poslužitelju.fromlinux.fan. 10800 U 192.168.10.4 ftpserver.fromlinux.fan. 10800 U LAGERU 192.168.10.8 LAGER.fromlinux.fan. 3600 U TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"LAGER.fromlinux.fan.   3600 U 192.168.10.30 mail.fromlinux.fan. 10800 U 192.168.10.9 proxyweb.fromlinux.fan. 10800 U 192.168.10.6 suse-desktop.fromlinux.fan. 3600 U TXT "31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.fan. 3600 U 192.168.10.33 sysadmin.fromlinux.fan. 10800 U Do 192.168.10.1 s linux.fan. 10800 U SOA-i dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800

U gornjem izlazu istaknuli smo na podebljano los TTL -u sekundama za računala s IP adresama koje je dodijelila DHCP usluga ona koja imaju izričitu deklaraciju TTL 3600 koju daje DHCP. Fiksne IP adrese vode se prema $ TTL od 3H -3 sata = 10800 sekundi - deklariranom u SOA zapisu svake datoteke zone.

Na isti način mogu provjeriti i reverznu zonu.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

Ostale izuzetno zanimljive naredbe su:

[root @ dns ~] # named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl
[root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl
[root @ dns ~] # journalctl -f

Ručna izmjena datoteka zona

Nakon DHCP-a u igru ​​dolazi dinamičko ažuriranje datoteka zona na pod nazivomAko ikad budemo trebali ručno izmijeniti datoteku zone, moramo provesti sljedeći postupak, ali ne prije nego što saznamo malo više o tome kako uslužni program radi rndc za kontrolu poslužitelja imena.

[root @ dns ~] # čovjek rndc
....
       zamrzavanje [zona [klasa [pogled]]]
           Obustavite ažuriranja u dinamičkoj zoni. Ako nije navedena zona, tada će se sve zone suspendirati. To omogućuje ručno uređivanje zone koja se obično ažurira dinamičkim ažuriranjem. Također uzrokuje sinhronizaciju promjena u datoteci dnevnika s glavnom datotekom. Svi pokušaji dinamičkog ažuriranja bit će odbijeni dok je zona zamrznuta.

       otapanje [zona [klasa [pogled]]]
           Omogućite ažuriranja smrznute dinamičke zone. Ako nije navedena nijedna zona, tada su omogućene sve smrznute zone. To uzrokuje da poslužitelj ponovno učita zonu s diska i ponovno omogućuje dinamička ažuriranja nakon završetka učitavanja. Nakon odmrzavanja zone, dinamička ažuriranja više neće biti odbijena. Ako se zona promijenila i koristi se opcija ixfr-from-razlike, tada će se datoteka dnevnika ažurirati tako da odražava promjene u zoni. U suprotnom, ako se zona promijenila, uklonit će se sve postojeće datoteke dnevnika. ....

Što, mislili ste da ću prepisati cijeli priručnik? ... komad i oni idu automobilom. Ostalo prepuštam vama. 😉

u osnovi:

  • rndc smrzavanje [zona [klasa [pogled]]], obustavlja dinamičko ažuriranje zone. Ako jedan nije naveden, svi će biti zamrznuti. Naredba omogućuje ručno uređivanje smrznute zone ili svih zona. Svako dinamičko ažuriranje bit će odbijeno dok je zamrznuto.
  • rndc odmrzavanje [zona [klasa [pogled]]], omogućuje dinamičko ažuriranje prethodno zamrznute zone. DNS poslužitelj ponovno učita zonsku datoteku s diska, a dinamička ažuriranja ponovno su omogućena nakon završetka ponovnog učitavanja.

Mjere opreza pri ručnom uređivanju datoteke zone? Isto kao da smo je stvarali, ne zaboravljajući povećati serijski broj za 1 ili serijski prije spremanja datoteke s konačnim izmjenama.

primjer:

[root @ dns ~] # rndc zamrzavanje s linux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
Datoteku zone mijenjam iz bilo kojeg razloga, nužnog ili ne. Spremam promjene

[root @ dns ~] # rndc odmrzavanje iz linux.fan
Započeto je ponovno učitavanje i otopljavanje zone. Provjerite zapisnike da biste vidjeli rezultat.

[root @ dns ~] # journalctl -f
29. siječnja 14:06:46 dns imenovan [2257]: zona odmrzavanja 'desdelinux.fan/IN': uspjeh
29. siječnja 14:06:46 dns pod nazivom [2257]: zone from linux.fan/IN: zone serial (6) nepromijenjen. zona možda neće uspjeti prenijeti na robove.
29. siječnja 14:06:46 dns imenovan [2257]: zone desdelinux.fan/IN: učitan serijski 6

Pogreška u prethodnom izlazu, koja se na konzoli pojavljuje crveno, posljedica je činjenice da sam "zaboravio" povećati serijski broj za 1. Da sam pravilno slijedio postupak, izlaz bi bio:

[root @ dns ~] # journalctl -f
- Evidencije počinju u ned 2017-01-29 08:31:32 EST. - 29. siječnja 14:06:46 dns pod nazivom [2257]: zone desdelinux.fan/IN: učitan serijski 6. siječnja 29. 14:10:01 dns systemd [1]: Započela sesija 43 korisničkog korijena. 29. siječnja 14:10:01 dns systemd [1]: Početna sesija 43 korisničkog korijena. 29. siječnja 14:10:01 dns CROND [2693]: (root) CMD (/ usr / lib64 / sa / sa1 1) 1. siječnja 29:14:10 dns pod nazivom [45]: primljena je naredba kontrolnog kanala 'zamrzavanje s linuxa. fan '2257. siječnja 29:14:10 dns imenovan [45]: zona smrzavanja' desdelinux.fan/IN ': uspjeh 2257. siječnja 29:14:10 dns imenovan [58]: primljena naredba kontrolnog kanala' thaw desdelinux.fan 'siječnja 2257 29:14:10 dns imenom [58]: zona odmrzavanja 'desdelinux.fan/IN': uspjeh 2257. siječnja 29:14:10 dns imenom [58]: zona desdelinux.fan/IN: datoteka dnevnika je zastarjela: uklanjanje datoteke dnevnika 2257. siječnja 29:14:10 dns pod nazivom [58]: zone desdelinux.fan/IN: učitan serijski 2257
  • Čitatelji, ponavljam da morate pažljivo pročitati izlaze naredbi. Za nešto su njezini programeri potrošili toliko rada programirajući svaku naredbu, bez obzira na to koliko je jednostavna.

Rezime

Do sada smo se pozabavili provedbom dvojaca DNS - DHCP, važnim i ključnim uslugama za dobar rad naše MSP mreže, referirajući se na dodjeljivanje dinamičkih adresa putem DHCP-a i razrješavanje imena računala i domena putem DNS-a.

Ozbiljno se nadamo da ste uživali u cijelom postupku kao i mi. Iako vam se čini da je korištenje konzole teže, puno je jednostavnije i poučnije implementirati uslugu na UNIX® / Linux uz njezinu pomoć.

Opraštaju mi ​​svako pogrešno tumačenje pojmova koji su mislili, stvorili, napisali, preradili, prepisali i objavili na jeziku Shakespearea, a ne Cervantesa. 😉

Sljedeća dostava

Mislim da je malo više isto - s teorijskim dodacima o DNS zapisima - ali u Debianu. Ne možemo zaboraviti tu distribuciju, zar ne?


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

15 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Cristian Merchan dijo

    Puno vam hvala na vašem hvalevrijednom radu u pisanju takvih plodnih članaka. Bit će mi od velike koristi

  2.   Federico dijo

    I hvala ti puno, Cristian, što me slijediš i za ocjenu ovog posta. Uspjesi!

  3.   Ismael Alvarez Wong dijo

    Nakon što je Federico prvi put pogledao ovaj novi post, ponovno je uočljiva velika profesionalnost koja se vidjela kroz seriju «PYMES»; uz sjajne detalje koji ilustriraju vašu domenu na dvije najvažnije usluge (DNS i DHCP) bilo koje mreže. Ovom prilikom, za razliku od mojih prethodnih komentara, čeka me drugi komentar nakon što sam primijenio u praksi ono što sam izjavio u ovom postu.

  4.   crespo88 dijo

    Nema komentara, pa '400 !!! Fico hvala ti jer dobro znaš da čitam tvoje postove i ne možemo tražiti više. Počinjete s vrlo dobrom organizacijom, od toga kako instalirati i postaviti osobnu radnu površinu korisnika, radna stanica je osnova, a to je osjećaj da ste od onih mrežnih usluga koji vrlo dobro objašnjavate. Penjali ste se i iako je istina da se razina povećava, istina je da ste napisali i objavili za one koji su manje od onih koji započinju, za one koji su već neko vrijeme poput mene i za najnaprednije.
    Vremenom sam došao do zaključka da znam da su mnogi već došli, teorija, koja nas toliko košta da bismo stekli jednostavnu činjenicu da ne želimo čitati, jer je izvršavanje već puno lakše kad znamo što radimo, zašto ???, pitanja, gdje pronaći i kako se izvući iz pogreške koja zadaje toliko glavobolje kad ni sami ne znamo odakle dolaze, vrijedne suvišnosti.
    Iz tog razloga ne bih želio da iza sebe ostavite teoretske elemente koje ćete o DNS zapisima uključiti u sljedeću publikaciju kao što ste najavili, a još manje kada je riječ o dragom i voljenom DEBIJANU.
    VELIKO HVALA i čekamo.

  5.   dhunter dijo

    Izvrsno kao i uvijek Fico! Čekam verziju Debiana, godinama se igram svega s tim distroom.

  6.   Federico dijo

    Wong: Vaše mišljenje nakon čitanja puno vrijedi. Čekam vaše komentare kada testirate sadržaj, jer znam da to volite raditi. 😉

  7.   Federico dijo

    Crespo: Kao i uvijek, vaši su komentari vrlo dobro prihvaćeni. Vidim da ste shvatili opću crtu koju sam naveo u sastavu ove serije. Nadam se da su, kao i vi, mnogi već primijetili. Hvala na komentaru.

  8.   Federico dijo

    Dhunter: Drago mi je da vas opet čitam! Nećete morati dugo čekati. Najkasnije do ponedjeljka - ili prije - bit će gotov za objavljivanje. Nemojte misliti da mi je lako pokriti tri različita distro-a, ali Respectable Reader to traži. Ne samo Debian i Ubuntu, već i tri orijentirana na mala i srednja poduzeća.

  9.   crespo88 dijo

    Ako ste objavili, to je zato što možete, podržavamo vas i znamo da ćete slijediti tu liniju.
    Kao lovac čekam na izdanje Debiana oštrih zuba. Bilo bi lijepo kad biste se malo pozabavili NTP-om. Sl2 i veliki zagrljaj. Da su me moji učitelji naučili svemu tome, HAHAJJA, platinasti stupanj, HAHAJJA.

  10.   Federico dijo

    Razina detalja u izlazima naredbi neophodna je da bi se pokazala njegova važnost. Puno govore. Istina je da se malo članaka bavi ovom razinom detalja, jer smatraju da bi to bili dugački i teški članci za čitanje. Pa, dio je SysAdminovog posla čitati te teške i detaljne izlaze, ne samo pred problemom, već i pred provjerama.

  11.   Ismael Alvarez Wong dijo

    Pozdrav Federico, već sam ranije obećao da ću napisati neke komentare nakon što sam pažljivo proučio dotični post; Pa, slijede sljedeće:
    - Izvrsna tehnika umjesto da se umjesto generiranja TSIG ključa za dinamička DNS ažuriranja DHCP-om, kopiranjem istog ključa rndc.key kao i dhcp.key, ovo naizgled "tako jednostavno" pokazuje da cilj nije samo tehnička značajka HOWTO-INSTALL-DNS - & - DHCP-a, ali nas uči razmišljati, 5 ZVIJEZDA ZA AUTORA.
    - Vrlo zanimljivo u DNS konfiguracijskoj datoteci, named.conf, prisutnost crte «allow-transfer {localhost; 192.168.10.1; }; » za testiranje domene «desdelinux.fan» samo s radne stanice SysAdmin i lokalnog hosta (samog DNS poslužitelja), a također umetnite TSIG ključ za ažuriranje DNS-a s DHCP-a.
    - Vrlo dobro stvaranje izravne i inverzne zone DNS-a zajedno s "detaljnim" objašnjenjem njihovih vrsta zapisa, kao i izvršavanje naredbe "# named-checkconf -zp" za provjeru sve sintakse imenovanih prije njenog hard reset, kao i primjeri izvođenja naredbe "dig" za provjeru različitih vrsta DNS zapisa.
    . U DHCP konfiguraciji (pomoću datoteke /etc/dhcp/dhcpd.conf):
    - Kako dodati našu lokalnu mrežu s njezinim rasponom za dodjeljivanje dinamičkih IP adresa, definicijom poslužitelja imena itd .; kao i kako reći DHCP-u da ažurira DNS zapise pomoću linija "ddns- ..." u njegovoj konfiguraciji.
    . Kad je sve već operativno, 5 ZVIJEZDA ZA AUTORA, u izvršenju naredbe "# dig desdelinux.fan axfr" za provjeru TTL-a računala u LAN-u koja imaju statički IP od onih kojima je dodijeljena dinamička IP.
    . Konačno, SJAJNO, ručna izmjena datoteka zona tako što ih je prvo zamrznula s "# rndc freeze desdelinux.fan", zatim izvršila izmjenu i na kraju ih odmrznula s "# rndc thaw desdelinux.fan"
    . I NAJBOLJE, SVE JE RADJENO SA TERMINALA.
    Nastavi tako, Fico.

    1.    Radost dijo

      Pozdrav,
      Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het kan dat alles gedeeld en verwijderd wordt op mijn computer zelfs mijn foto's. Ik heb totaal geen control meer over myjn eigen computer on mobiel.
      Het zit m dus ook in het dns in dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien dat iemand mij hoće li se pomoći? Dit je namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.

  12.   Federico dijo

    Wong: vaš komentar nadopunjuje članak. Ozbiljno, pokazuje da ste ga temeljito proučili. Inače ne biste mogli komentirati s razinom pojedinosti koju radite. Samo dodaj to dopustiti-prenijeti Koristi se uglavnom kada imamo DNS slave i dopuštamo prijenos zona s glavnog na njega. Koristim ga na taj način jer je to jednostavan mehanizam za provođenje neopasnih provjera s jednog računala. Puno vam hvala na ocjeni 5. Pozdravi! i čekat ću vas u svojim sljedećim člancima.

  13.   IgnacioM dijo

    Pozdrav Federico. Znam da malo kasnim, ali volio bih te pitati nešto.
    Hoće li mi ovaj postupak pomoći ako želim usmjeriti domenu na svoj vps poslužitelj?

    Svakih 15 minuta primam ove sistemske poruke:

    DHCPREQUEST na eth0 do porta 67 (xid = ...)
    DHCPACK od (xid =…)
    vezano za - obnova za 970 sekundi.

    I prema onome što razumijem, trebao bih stvoriti zapis A sa svojom domenom i ip-om svog namjenskog poslužitelja.

    * Čestitam i zahvaljujem vam na ovom članku, ne znam je li to ono što sam tražio, ali smatrao sam ga vrlo zanimljivim i dobro objašnjenim. Uz to prihvaćam preporuku "DNS i BIND" koju sam već pomalo ogovarao i čini mi se vrlo zanimljivom.

    Pozdrav iz Argentine!

    1.    antonio valdes toujague dijo

      molim vas kontaktirajte me putem valdestoujague@yandex.com