A sorozat általános mutatója: Számítógépes hálózatok kkv-k számára: Bevezetés
Hello barátok!. Ebben a cikkben meglátjuk, hogyan tudjuk megvalósítani az DNS és DHCP a CentOS-on - Linux, konkrétan a 7.2-es verziójában.
- Néhány cikk a DNS-ről arra a tényre utal, hogy a szolgáltatás megvalósítása kissé homályos és nehéz. Nem nagyon értek egyet ezzel az állítással. Inkább azt mondanám, hogy ez egy kicsit konceptuális, és hogy sok konfigurációs fájljának nyűg szintaxisa van. Szerencsére vannak olyan eszközeink, amelyekkel lépésről lépésre ellenőrizhetjük az egyes módosított konfigurációs fájlok szintaxisát. Ezért megpróbáljuk minél kellemesebbé és élvezetesebbé tenni ezt a bejegyzést..
Azok számára, akik mindkét szolgáltatással kapcsolatos alapvető fogalmakat keresnek, erősen javasoljuk, hogy kezdje meg a keresést a Wikipédián, mind spanyol, mind angol változatban. Nem kevésbé igaz, hogy az angol nyelvű cikkek szinte mindig teljesebbek és következetesebbek. Ennek ellenére a Wikipédia nagyon jó kiindulópont.
Azok számára, akik valóban meg akarják ismerni a DNS-t és a BIND-t, javasoljuk, hogy olvassák el a könyvetOReilly - DNS és BIND 4ed" írta Paul albitz y Liu tücsök, vagy egy biztosan létező későbbi kiadás.
A témában már megjelent egy cikk «DNS és DHCP az openSUSE 13.2 Harlequin - SME hálózatokban»A grafikus környezet szerelmeseinek. Mostantól azonban szembesülni fognak a témával kapcsolatos cikkekkel - nem másokéval -, amelyek a terminál vagy a konzol emulátorának sok használatával készültek. Wow, a klasszikus stílusban, amelyet a UNIX® / Linux rendszergazdák használnak.
Ha többet szeretne megtudni a cikk címének vezetéknevéről «Kkv-hálózatok»Megtekintheti a blog ezen oldalát«KKV hálózatok: első virtuális kivágás«. Ebben számos más megjelent cikkre mutató linkeket talál.
- Miután a CentOS 7 operációs rendszer telepítése befejeződött az általunk ajánlott csomagokkal, el könyvtár /usr/share/doc/bind-9.9.4/ jó mennyiségű dokumentációt tartalmaz, amelyeket javasoljuk, mielőtt az internetes keresésbe belevágna, anélkül hogy tudná, hogy kéznél és saját otthonában megtalálhatja azt, amit keres.
Alaprendszer telepítése
A tartomány és a DNS-kiszolgáló általános adatai
Domain név: desdelinux.ventilátor DNS-kiszolgáló neve: dns.desdelinux.ventilátor IP-cím: 192.168.10.5 Alhálózati maszk: 255.255.255.0
Telepítés
Kezdjük a CentOS 7 operációs rendszer új vagy tiszta telepítésével, az előző cikkben leírtak szerint «CentOS 7 Hypervisor I - SMB hálózatok«. Csak a következő változtatásokat kell végrehajtanunk:
- Az Kép 22 «SZOFTVER KIVÁLASZTÁS«, Azt javasoljuk, hogy válassza a bal oldali oszlopban«Alapkörnyezet»A« -nek megfelelő opcióInfrastruktúra szerver«, Míg a jobb oldali oszlopban«Bővítmények a kiválasztott környezethez»Jelölje be a jelölőnégyzetet«DNS névszerver«. Később telepítjük a DHCP szervert.
- Emlékezzünk a további adattárak deklarációjára, amint az a Kép 23, miután beállította a «HÁLÓZAT ÉS CSAPAT NEVE”.
- A merevlemezen létrehozandó partíciókra utaló képek csak útmutatók. Válassza ki szabadon a partíciókat saját belátása, gyakorlata és jó megítélése szerint.
- Végül a 13. kép «HÁLÓZAT ÉS CSAPAT NEVE», meg kell változtatnunk az értékeket a deklarált tartomány és a DNS-kiszolgáló általános paraméterei szerint, anélkül, hogy elfelejtenénk megadni a gazdagép nevét - ebben az esetben «dns«- a hálózati konfiguráció befejezése után. Pozitív tenni fütyülés - egy másik hosztból - a megadott IP címre, miután a hálózat aktív:
Valóban kevés és nagyon kézenfekvő változtatást kell végrehajtanunk az előző cikk vonatkozásában.
Első ellenőrzések és kiigazítások
Az operációs rendszer telepítése után legalább az alábbi fájlokat felül kell vizsgálnunk, és ehhez SSH-n keresztül egy munkamenetet indítunk a számítógépünkről sysadmin.desdelinux.ventilátor:
buzz @ sysadmin: ~ $ ssh 192.168.10.5 buzz@192.168.10.5 jelszava: Utolsó bejelentkezés: 28. január 09., szombat, 48:05:2017, 192.168.10.1-től XNUMX-től [buzz @ dns ~] $
A fenti művelet a normálnál hosszabb ideig tarthat, és főleg annak köszönhető, hogy még nincs DNS a LAN-on. Később ellenőrizze újra, hogy működik-e a DNS.
[buzz @ dns ~] $ cat / etc / hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 [buzz @ dns ~] $ cat / etc / hostname dns [buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0 TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=no IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_PEERDNS=yes IPV6_PEERROUTES=yes IPV6_FAILURE_FATAL=no NAME=eth0 UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe DEVICE=eth0 ONBOOT=yes IPADDR=192.168.10.5 PREFIX=24 GATEWAY=192.168.10.1 DNS1=127.0.0.1 DOMAIN=desdelinux.ventilátor [buzz @ dns ~] $ cat /etc/resolv.conf # A NetworkManager keresés által generált desdelinux.fan nameserver 127.0.0.1
A fő konfigurációk reagálnak a választásainkra. Vegye figyelembe, hogy még egy szerveren is Red Hat 7 - CentOS 7, alapértelmezés szerint konfigurálva van, amikor Hálózati menedzser úgy, hogy ez kezeli a hálózati interfészeket, legyenek azok vezetékes vagy vezeték nélküli (WiFi), VPN-kapcsolatok, PPPoE-kapcsolatok és bármilyen más hálózati kapcsolat.
[buzz @ dns ~] $ sudo systemctl állapot networkmanager [sudo] jelszó a közzétételhez: ● networkmanager.service Betöltve: nem található (Ok: Nincs ilyen fájl vagy könyvtár) Aktív: inaktív (halott) [buzz @ dns ~] $ sudo systemctl állapot NetworkManager ● NetworkManager.service - Network Manager betöltve: betöltve (/usr/lib/systemd/system/NetworkManager.service; engedélyezve; vendor preset: engedélyezve) Aktív: aktív (fut) szombat óta 2017-01-28 12:23:59 EST; 12 perccel ezelőtt PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon
A Red Hat - CentOS lehetővé teszi a hálózati interfészek csatlakoztatását és leválasztását a klasszikus parancsok használatával is ha fel e ha le. Fussunk egy kiszolgálókonzolon:
[root @ dns ~] # ifdown eth0 Az 'eth0' eszköz leválasztása sikeresen megtörtént. [root @ dns ~] # ifup eth0 A kapcsolat sikeres aktiválása (D-Bus aktív elérési út: / org / freedesktop / NetworkManager / ActiveConnection / 1)
- Azt javasoljuk ne változtassa meg azokat az alapértelmezett beállításokat, amelyeket a CentOS 7 kínál Hálózati menedzser.
Véglegesen kijelentjük azokat az adattárakat, amelyeket használni fogunk, és szükség esetén frissítjük az operációs rendszert:
[buzz @ dns ~] $ su Jelszó: [root @ dns buzz] # cd /etc/yum.repos.d/ [root @ dns yum.repos.d] # ls -l összesen 28 -rw-r - r--. 1 gyökérgyökér 1664 9. december 2015. CentOS-Base.repo -rw-r - r--. 1 gyökérgyökér 1309, 9. december 2015. CentOS-CR.repo -rw-r - r--. 1 gyökérgyökér 649. 9. december 2015. CentOS-Debuginfo.repo -rw-r - r--. 1 gyökérgyökér 290 9. december 2015. CentOS-fasttrack.repo -rw-r - r--. 1 gyökérgyökér 630 9. december 2015. CentOS-Media.repo -rw-r - r--. 1 gyökérgyökér 1331 9. december 2015. CentOS-Sources.repo -rw-r - r--. 1 gyökérgyökér 1952. december 9, 2015 CentOS-Vault.repo
Egészséges elolvasni az eredeti nyilatkozati fájlok tartalmát a CentOS ajánlott tárházaiból. Az itt végrehajtott változtatások annak a ténynek tudhatók be, hogy nincs internet-hozzáférésünk, és a WWW Village-ből letöltött helyi adattárakkal dolgozunk, olyan kollégák által, akik kissé megkönnyítik az életünket. 😉
[root @ dns yum.repos.d] # mkdir eredeti [root @ dns yum.repos.d] # mv CentOS- * eredeti / [root @ dns yum.repos.d] # nano centos-repos.repo [centos-base] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/base/ gpgcheck=0 enabled=1 [centos-updates] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/ gpgcheck=0 enabled=1 [root @ dns yum.repos.d] # yum tisztíts meg mindent Betöltött pluginok: leggyorsabb tükrözés, langpacks Tárolók kitisztítása: centos-base centos-updates Tisztítás minden [root @ dns yum.repos.d] # yum frissítés Betöltött pluginok: leggyorsabb tükrözés, centos-base langpacks | 3.4 kB 00:00 centos-frissítések | 3.4 kB 00:00 (1/2): centosz-bázis / primer_db | 5.3 MB 00:00 (2/2): centos-updates / primary_db | 9.1 MB 00:00 A leggyorsabb tükrök meghatározása Nincs frissítésre megjelölt csomag
A „Nincsenek frissítésre megjelölt csomagok” üzenet -Nincsenek frissítésre megjelölt csomagok»Azt jelzi, hogy a telepítés során rendelkezésünkre álló legfrissebb tárak deklarálásával pontosan a legfrissebb csomagokat telepítették.
A SELinux kontextusról és a tűzfalról
Ezt a cikket - alapvetően - a DNS és DHCP szolgáltatások megvalósítására fogjuk összpontosítani, amely a fő célja.
Ha bármely olvasó a telepítési folyamat során biztonsági házirendet választott, amint azt a Kép 06 referencia cikk «CentOS 7 Hypervisor I - SMB hálózatok»A DNS - DHCP szerver telepítéséhez használt, és úgy találja, hogy nem tudja, hogyan kell megfelelően konfigurálni a SELinux és a CentOS tűzfalat, javasoljuk, hogy futtassa a következőket:
Módosítsa a fájlt / etc / sysconfig / selinux és változtass SELinux = kikényszerítéséből által SELINUX = letiltás
[root @ dns ~] # nano / etc / sysconfig / selinux # Ez a fájl szabályozza a rendszer SELinux állapotát. # SELINUX = a következő három érték egyikét veheti fel: # kényszerítés - A SELinux biztonsági házirendjét érvényesítik. # megengedő - A SELinux figyelmeztetéseket nyomtat végrehajtás helyett. # letiltva - Nincs betöltve SELinux házirend. SELinux = kikapcsolt A # SELINUXTYPE = három érték egyikét veheti fel: # célzott - A célzott folyamatok védettek, # minimum - A célzott irányelv módosítása. Csak a kiválasztott folyamatok pr $ # mls - Többszintű biztonsági védelem. SELINUXTYPE = célzott
Ezután futtassa a következő parancsokat
[root @ dns ~] # setenforce 0
[root @ dns ~] # szolgáltatás tűzfal leáll Átirányítás a / bin / systemctl állomáshoz állítsa le a firewalld.service alkalmazást [root @ dns ~] # systemctl letiltja a tűzfalat A /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service symlink eltávolítva. Eltávolítva az /etc/systemd/system/basic.target.wants/firewalld.service symlinkről.
Ha az internet felé néző DNS-kiszolgálót telepít, NEM a fentieket kell tennie, hanem helyesen kell konfigurálnia a SELinux környezetet és a tűzfalat. Lát "Szerver konfiguráció GNU / Linux rendszerrel, a szerző Joel Barrios Dueñas" vagy maga a CentOS dokumentáció - Red Hat
Konfiguráljuk a BIND nevet
- El könyvtár /usr/share/doc/bind-9.9.4/ tartalmaz egy csomó dokumentációt, amelyet javasoljuk, mielőtt belevágna az internetes keresésbe, anélkül, hogy tudná, hogy kéznél és a saját otthonában megtalálhatja azt, amit keres
Sok disztribúcióban a BIND csomagon keresztül telepített DNS-szolgáltatást hívják meg nevezett (Név Démon). A CentOS 7-ben alapértelmezés szerint letiltva van telepítve, a következő parancs kimenete szerint, ahol azt állítja, hogy állapota «Tiltva«, És hogy ezt az állapotot az« eladója »előre meghatározza - szállító előre beállított. Megjegyzendő, hogy a BIND ingyenes szoftver.
A megnevezett szolgáltatás engedélyezése
[root @ dns ~] # systemctl állapot megnevezve ● named.service - Berkeley Internet Name Domain (DNS) betöltve: betöltve (/usr/lib/systemd/system/named.service; Tiltva; vendor preset: letiltva) Aktív: inaktív (halott) [root @ dns ~] # systemctl engedélyezve megnevezve Létrehozta az /etc/systemd/system/multi-user.target.wants/named.service címről a /usr/lib/systemd/system/named.service címről. [root @ dns ~] # systemctl start megnevezve [root @ dns ~] # systemctl állapot megnevezve ● named.service - Berkeley Internet Name Domain (DNS) betöltve: betöltve (/usr/lib/systemd/system/named.service; engedélyezve; vendor preset: letiltva) Aktív: aktív (futás) szombat óta 2017-01-28 13:22:38 EST; 5 perccel ezelőtt Folyamat: 1990 ExecStart = / usr / sbin / named -u nevű $ OPTIONS (kód = kilépett, állapot = 0 / SIKER) Folyamat: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "igen"]; akkor / usr / sbin / named-checkconf -z /etc/named.conf; else echo "A zónafájlok ellenőrzése le van tiltva"; fi (kód = kilépett, állapot = 0 / SIKER) Fő PID: 1993 (elnevezve) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u január 28. 13:22:45 dns megnevezve [1993]: hiba (hálózat elérhetetlen) a './NS/IN' megoldása: 2001: 500: 2f :: f # 53 január 28, 13:22:47 [1993] nevű DNS: hiba (hálózat elérhetetlen) megoldás. DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 január 28, 13:22:47 dns megnevezve [1993]: hiba (hálózat elérhetetlen) megoldva a' ./NS/IN ': 2001: 500: 3 :: 42 # 53 január 28. 13:22:47 [1993] névre keresztelt dns: hiba (hálózat elérhetetlen) a './DNSKEY/IN' megoldása: 2001: 500: 2d :: d # 53 január 28, 13:22:47 [1993] ]: hiba (hálózat elérhetetlen) a './NS/IN' megoldása: 2001: 500: 2d :: d # 53 január 28, 13:22:47 [1993] névre keresztelt DNS: hiba (hálózat elérhetetlen) megoldása './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 január 28, 13:22:47 [1993] névre keresztelt DNS: hiba (hálózat elérhetetlen) a' ./NS/IN 'feloldásában: 2001: dc3 :: 35 # 53 január 28, 13: 22:47 [1993] névre keresztelt dns: hiba (hálózat elérhetetlen) a './DNSKEY/IN' megoldásában: 2001: 7fe :: 53 # 53 január 28, 13:22:47 [1993] megnevezett dns: hiba (hálózat elérhetetlen) res olving './NS/IN': 2001: 7fe :: 53 # 53 január 28, 13:22:48 dns megnevezve [1993]: kezelt kulcsok zónája: Nem sikerült lekérni a DNSKEY készletet. ': időtúllépés [root @ dns ~] # systemctl indítsa újra a nevet [root @ dns ~] # systemctl állapot megnevezve ● named.service - Berkeley Internet Name Domain (DNS) betöltve: betöltve (/usr/lib/systemd/system/named.service; engedélyezve; szállítói előre beállított: letiltva) Aktív: aktív (futás) szombat óta 2017-01-28 13:29:41 EST; 1 s ago Folyamat: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kód = kilépett, állapot = 0 / SIKER) folyamat: 1460 ExecStart = / usr / sbin / megnevezett -u nevű $ OPTIONS (kód = kilépett, állapot = 0 / SIKER) folyamat: 1457 ExecStartPre = / bin / bash -c ha [! "$ DISABLE_ZONE_CHECKING" == "igen"]; akkor / usr / sbin / named-checkconf -z /etc/named.conf; else echo "A zónafájlok ellenőrzése le van tiltva"; fi (kód = kilépett, állapot = 0 / SIKER) Fő PID: 1463 (elnevezve) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u január 28. 13:29:41 dns megnevezve [1463]: kezelt kulcsok-zóna: a naplófájl elavult: naplófájl eltávolítása január 28. 13:29:41 dns [1463] néven: kezelt kulcsok-zóna: betöltött soros január 2. 28. 13:29:41 dns nevű [1463]: zóna 0.in-addr.arpa/IN: betöltött soros január 0. január 28 13:29:41 dns nevű [1463]: zóna localhost.localdomain / IN: betöltött soros január 0. január 28:13:29 dns nevű [41]: zóna 1463.in-addr.arpa/IN: betöltött soros január 1.0.0.127. január 0:28:13 [29] névre keresztelt dns: zóna 41 .1463.ip1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.arpa / IN: betöltött soros január 6. január 0:28:13 dns [29] néven: zóna localhost / IN: betöltött soros január 41. január 1463. 0 : 28: 13 [29] névre keresztelt dns: minden zóna betöltve január 41 1463:28:13 [29] nevû dns: január 41 futtatása 1463:28:13 dns systemd [29]: Berkeley Internet Name Domain (DNS) indítása.
Miután engedélyeztük a szolgáltatást nevezett és először elindítjuk, a parancs kimenetét systemctl állapot megnevezve hibákat mutat. Amikor újraindítjuk az alábbi szolgáltatást, a nevezett létrehozza az összes konfigurációs fájlt, amelyek alapértelmezés szerint szükségesek a helyes működéshez. Ezért amikor újra végrehajtjuk a parancsot systemctl állapot megnevezve több hiba nem jelenik meg.
- Kedves, drága és igényes Olvasó: Ha meg akarja tudni, hogy melyik út vezet a nyúl lyukának végéig, kérjük, nyugodtan olvassa el az egyes parancsok részletes kimenetét. 😉 A cikk bizonyára kissé hosszúnak tűnik, de ne tagadd, hogy magyarázatot és világosságot nyer.
Módosítjuk az /etc/named.conf fájlt
Sok olvasói észrevétel kifejezi -Nem mondom- a különböző Linux disztribúciók fenntartói által okozott mánia, amikor a rendszerkonfigurációs fájlokat a disztribúciótól függően különböző nevű mappákba helyezik. Igazuk van. De mit tehetünk mi, egyszerű felhasználók, akik ezeket a disztribúciókat használjuk? Alkalmazkodj! 😉
Egyébként a FreeBSD-ben az UNIX® «The Origin» klónban a fájl benne van /usr/local/etc/namedb/named.conf; míg a Debianban a négy fájlra osztás mellett named.conf, named.conf.options, named.conf.default-zone, és named.conf.local, a mappában van / etc / bind /. Azok, akik szeretnék tudni, hova helyezi az openSUSE, olvassák el «DNS és DHCP az openSUSE 13.2 Harlequin - SME hálózatokban«. Az olvasóknak igazuk van! 😉
És mint mindig: mielőtt bármit módosítanánk, más néven mentjük az eredeti konfigurációs fájlt.
[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original
Az élet megkönnyítése érdekében, a kulcs előállítása helyett TSIG a DHCP által végrehajtott dinamikus DNS-frissítésekhez ugyanazt a kulcsot másoljuk rndc.key mint dhcp.key.
[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key
[root @ dns ~] # nano /etc/dhcp.key
kulcs "dhcp-kulcs" {hmac-md5 algoritmus; titkos "OI7Vs + TO83L7ghUm2xNVKg =="; };
Tehát a nevezett el tudja olvasni az imént másolt fájlt, módosítjuk a tulajdonoscsoportot:
[root @ dns ~] # chown gyökér: név: /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 gyökér nevű 77. január 28. 16:36 /etc/dhcp.key -rw-r -----. 1 gyökér 77. január 28. 13:22 /etc/rndc.key
Az olyan apró részletek, mint az előző, megőrjíthetnek minket, amikor megpróbáljuk kideríteni, hogy ... hol van a probléma ...? még néhány melléknévvel, amelyeket nem a Tiszteletreméltó iránti tiszteletből írunk.
Most, ha - végre! - módosítjuk a fájlt /etc/named.conf. Azok a változtatások vagy kiegészítések, amelyeket az eredetivel kapcsolatban végrehajtottunk, benne vannak bátor. Jól nézd meg, milyen kevés.
[root @ dns ~] # nano /etc/named.conf
// // named.conf // // A Red Hat bind csomag biztosítja az ISC BIND névre keresztelt (8) DNS // kiszolgáló konfigurálását csak gyorsítótárazott névkiszolgálóként (csak lokális host DNS-megoldóként). // // Lásd / usr / share / doc / bind * / sample / például az elnevezett konfigurációs fájlokat. //
// Beléptetés-lista, amely megadja, mely hálózatok fognak tudni konzultálni
// a megnevezett szerverem
acl nézett {
127.0.0.0/8;
192.168.10.0/24;
};
lehetőségek {
// Kijelentem, hogy a megnevezett démon is figyeli az interfészt
// eth0, amelynek IP-je: 192.168.10.5
figyelési port 53 {127.0.0.1; 192.168.10.5; };
listen-on-v6 53-as port {:: 1; }; könyvtár / "/ var / named"; dump-file "/var/named/data/cache_dump.db"; statisztikai fájl "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt";
// Szállítmányozók nyilatkozata
// szállítmányozók {
0.0.0.0;
1.1.1.1;
//};
// előbb előre;
// Csak az összekapcsolt ACL-hez engedélyezek lekérdezéseket
allow-query { mired; }; // Ellenőrzés a dig paranccsal desdelinux.fan axfr // csak a SysAdmin munkaállomásról és a localhostról // Nincsenek szolga DNS-kiszolgálóink. Nincs rá szükségünk...eddig.
allow-transfer {localhost; 192.168.10.1; };
/ * - Ha HITELES DNS-kiszolgálót épít, NE engedélyezze a rekurziót. - Ha RECURSIVE (caching) DNS-kiszolgálót épít, engedélyeznie kell a rekurziót. - Ha a rekurzív DNS-kiszolgálója nyilvános IP-címmel rendelkezik, akkor KELL engedélyeznie a hozzáférés-vezérlést, hogy a lekérdezéseket csak a jogos felhasználóira korlátozza. Ennek elmulasztása esetén a kiszolgáló nagyszabású DNS-erősítési támadások részévé válik. A BCP38 hálózaton belüli megvalósítása jelentősen csökkentené az ilyen támadási felületet * /
// HATÓSÁGI szervert szeretnénk a LAN - kkv-nkhoz
rekurzió nem;
dnssec-enable igen; dnssec-érvényesítés igen; / * Útvonal az ISC DLV kulcshoz * / bindkeys-file "/etc/named.iscdlv.key"; kezelt kulcsok-könyvtár "/ var / named / dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; naplózás {channel default_debug {fájl "data / named.run"; súlyosság dinamikus; }; }; zóna "". IN {type hint; a "named.ca" fájl; }; tartalmazza az "/etc/named.rfc1912.zones" szót; tartalmazza az "/etc/named.root.key" szót;
// A dinamikus DNS-frissítésekhez a TSHC kulcsot tartalmazza // a DHCP
tartalmazza az "/etc/dhcp.key" szót;
// A név, típus, hely és frissítési engedély nyilatkozata
// a DNS rekordok zónái // Mindkét zóna MASTERS
zóna"desdelinux.fan" {
típus mester;
fájl "dynamic/db.desdelinux.ventilátor";
allow-update {kulcs dhcp-kulcs; };
};
zóna "10.168.192.in-addr.arpa" {
típus mester;
fájl "dynamic / db.10.168.192.in-addr.arpa";
allow-update {kulcs dhcp-kulcs; };
};
Ellenőrizzük a szintaxist
[root @ dns ~] # named-checkconf [root @ dns ~] #
Mivel a fenti parancs nem ad vissza semmit, a szintaxis rendben van. Ha azonban ugyanazt a parancsot hajtjuk végre, de az opcióval -z, a kimenet a következő lesz:
[root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: betöltött soros 0 zóna localhost/IN: betöltött soros 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: betöltött soros 0 zóna 1.0.0.127.in-addr.arpa/IN: betöltött soros 0 zóna 0.in-addr.arpa/IN: betöltött soros 0 zóna desdelinux.fan/IN: betöltés a főfájlból dinamikus/db.desdelinux.fan failed: a fájl nem található zóna desdelinux.fan/IN: hiba miatt nincs betöltve. _default/desdelinux.fan/IN: a fájl nem található zóna 10.168.192.in-addr.arpa/IN: betöltés a főfájlból dynamic/db.10.168.192.in-addr.arpa sikertelen: a fájl nem található zóna 10.168.192.in- addr.arpa/IN: hiba miatt nincs betöltve. _default/10.168.192.in-addr.arpa/IN: a fájl nem található
Természetesen ezek olyan hibák, amelyek azért fordulnak elő, mert még nem hoztuk létre a domainünk DNS-regisztrációs zónáit.
- További információ a parancsról nevű-checkconf, fuss ember nevű-checkconf, mielőtt bármilyen más információt keresne az interneten. Biztosíthatom, hogy ez rengeteg időt takarít meg.
Létrehozzuk a Direct Zone fájlt desdelinux.ventilátor
... nem kevés elmélet nélkül. 😉
A zóna adatfájl létrehozásának sablonjaként a /var/named/named.empty, vagy a /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. Mindkettő azonos.
[root @ dns ~] # macska /var/named/named.empty $ TTL 3H @ IN SOA @ rname.invalid. (0; soros 1D; frissítse 1H-t; próbálkozzon újra 1W-vel; 3H-ig jár le); minimális vagy negatív gyorsítótárazási idő az élethez NS @ A 127.0.0.1 AAAA :: 1
Az élet ideje - Ideje élni a TTL-t SOA lemez
Vegyünk zárójelet a magyarázatra TTL - Ideje élni a nyilvántartásból SOA - A hatóság megkezdése egy Mester Zóna. Érdekes megismerni azok jelentését, amikor valamelyik értéküket módosítani akarjuk.
$ TTL: Az élet ideje - Itt az ideje élni a fájl minden olyan bejegyzése esetében, amely követi a deklarációt (de megelőz minden más $ TTL-deklarációt), és nincs kifejezett TTL-deklarációja.
sorozatszám: A zóna adatainak sorszáma. Minden alkalommal, amikor manuálisan módosítunk egy DNS-rekordot egy zónában, meg kell növelnünk ezt a számot 1-vel, különösen, ha slave vagy másodlagos szerverek vannak. Minden alkalommal, amikor egy másodlagos vagy rabszolga DNS-kiszolgáló felveszi a kapcsolatot a fő szerverével, kéri a főadat sorozatszámát. Ha a szolga sorszáma kisebb, akkor a szolga kiszolgálón lévő zóna adatai elavultak, és a szolga egy zónaátvitelt hajt végre, hogy frissítse magát.
Frissítés: Megadja a szolga szervernek azt az időintervallumot, amelyben ellenőriznie kell, hogy az adatai naprakészek-e a masterhez képest.
próbálja újra: Ha a fő szerver nem érhető el - mert mondjuk rosszul lett - egy időintervallum után a rabszolgának Frissítés, próbálja újra Megmondja a rabszolgának, mennyi ideig kell várni, mielőtt újra megpróbálná kapcsolatba lépni a gazdájával.
lejár: Ha a rabszolga egy ideig nem tud kapcsolatba lépni a gazdájával lejár, akkor ha a slave - master zóna kapcsolatot felcsavarják, és a slave szervernek nincs más választása, mint a kérdéses zóna lejáratása. A rabszolga DNS-kiszolgáló által egy zóna lejárta azt jelenti, hogy az nem válaszol az adott zónával kapcsolatos DNS-lekérdezésekre, mert a rendelkezésre álló adatok túl régiek ahhoz, hogy hasznosak legyenek.
- A fentiek közvetett módon és józan ésszel - az érzékszervek legkevésbé általánosan megterhelve - tanítanak arra, hogy ha nincs szükségünk rabszolga DNS-kiszolgálókra kkv-k működéséhez, akkor nem hajtjuk végre, hacsak nem feltétlenül szükségesek. Próbáljunk mindig az egyszerűtől a komplexig menni.
minimál: Előtti verziókban KÖTÉS 8.2, az utolsó lemez SOA Jelzi az alapértelmezett élettartamot is - Alapértelmezett élési idő, és negatív gyorsítótár élettartama - Negatív gyorsítótárazás az élésre a Zóna számára. Ez az idő a mérvadó szerver által a zónára adott összes negatív válaszra vonatkozik.
Zónafájl /var/named/dynamic/db.desdelinux.ventilátor
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.ventilátor $TTL 3H @ IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. (1; soros 1D; frissítés 1H; újrapróbálkozás 1W; lejárat 3H); minimum vagy ; Negatív gyorsítótárazási idő ; @ IN NS dns.desdelinux.ventilátor. @ IN MX 10 e-mailben.desdelinux.ventilátor. @ TXT-ben "DesdeLinux, ingyenes szoftvereknek szentelt blogja "; Sysadmin A 192.168.10.1 AD-DC IN A 192.168.10.3 FÁJLSZERVER A 192.168.10.4 DNS A 192.168.10.5 PROXYWEB IN A 192.168.10.6 PROXYWEB IN A 192.168.10.7. VER IN A 192.168.10.8 mail IN A 192.168.10.9
Ellenőrizzük a /var/named/dynamic/db fájlt.desdelinux.ventilátor
[root@dns ~]# elnevezett ellenőrző zóna desdelinux.fan /var/named/dynamic/db.desdelinux.ventilátor zóna desdelinux.fan/IN: betöltött sorozat 1 OK
Létrehozzuk a 10.168.192.in-addr.arpa Inverse Zone fájlt
- Ennek a zónának a SOA rekordja megegyezik a Direct Zone rekordjával, az MX rekord figyelembevétele nélkül..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa $TTL 3H @ IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. (1; soros 1D; frissítés 1H; újrapróbálkozás 1W; lejárat 3H); minimum vagy ; Negatív gyorsítótárazási idő ; @ IN NS dns.desdelinux.ventilátor. ; 1 IN PTR sysadmin.desdelinux.ventilátor. 3 IN PTR ad-dc.desdelinux.ventilátor. 4 IN PTR fájlszerver.desdelinux.ventilátor. 5 IN PTR dns.desdelinux.ventilátor. 6 IN PTR proxyweb.desdelinux.ventilátor. 7 IN PTR blog.desdelinux.ventilátor. 8 IN PTR ftpserver.desdelinux.ventilátor. 9 PTR levélben.desdelinux.ventilátor. [root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa zóna 10.168.192.in-addr.arpa/IN: betöltött 1. sor OK
A név újraindítása előtt ellenőrizzük annak konfigurációját
- Amíg nem vagyunk biztosak abban, hogy a named.conf nevű konfigurációs fájlok és a zónafájljai nincsenek megfelelően konfigurálva, javasoljuk, hogy ne indítsák újra a megnevezett démonot. Ha ezt megtesszük, és később módosítunk egy zónafájlt, akkor 1-gyel meg kell növelnünk a módosított zóna sorszámát.
- Nézzük meg a "" -t. domain és hosztnevek végén.
[root @ dns ~] # named-checkconf [root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: betöltött soros 0 zóna localhost/IN: betöltött soros 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: betöltött soros 0 zóna 1.0.0.127.in-addr.arpa/IN: betöltött soros 0 zóna 0.in-addr.arpa/IN: betöltött soros 0 zóna desdelinux.fan/IN: betöltött soros 1. zóna 10.168.192.in-addr.arpa/IN: betöltött soros 1.
Az összes jelenlegi elnevezett konfiguráció
Az egyértelműség érdekében, és bár a cikk hosszú lesz, megadjuk a parancs teljes kimenetét named -checkconf -zp:
[root @ dns ~] # named-checkconf -zp
zóna localhost.localdomain/IN: betöltött soros 0 zóna localhost/IN: betöltött soros 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: betöltött soros 0 zóna 1.0.0.127.in-addr.arpa/IN: betöltött soros 0 zóna 0.in-addr.arpa/IN: betöltött soros 0 zóna desdelinux.fan/IN: betöltött soros 1. zóna 10.168.192.in-addr.arpa/IN: loaded serial 1 options { bindkeys-file "/etc/named.iscdlv.key"; session-keyfile "/run/named/session.key"; "/var/named" könyvtár; dump-file "/var/named/data/cache_dump.db"; 53-as figyelési port { 127.0.0.1/32; 192.168.10.5/32; }; listen-on-v6 port 53 { ::1/128; }; kezelt-kulcsok-könyvtár "/var/named/dynamic"; memstatistics-file "/var/named/data/named_mem_stats.txt"; pid-file "/run/named/named.pid"; Statistics-file "/var/named/data/named_stats.txt"; dnssec-enable igen; dnssec-validation igen; rekurzió nem; allow-query { "figyelt"; }; engedélyezés-átadás { 192.168.10.1/32; }; }; acl "megnézte" { 127.0.0.0/8; 192.168.10.0/24; }; logging { channel "default_debug" { file "data/named.run"; dinamikus súlyosság; }; }; key "dhcp-key" { algoritmus "hmac-md5"; titkos "OI7Vs+TO83L7ghUm2xNVKg=="; }; zóna "." IN { type hint; fájl "named.ca"; }; zone "localhost.localdomain" IN { type master; fájl "named.localhost"; allow-update { "none"; }; }; zone "localhost" IN { type master; fájl "named.localhost"; allow-update { "none"; }; }; zóna "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; fájl "named.loopback"; allow-update { "none"; }; }; zóna "1.0.0.127.in-addr.arpa" IN { type master; fájl "named.loopback"; allow-update { "none"; }; }; zóna "0.in-addr.arpa" IN { type master; fájl "named.empty"; allow-update { "none"; }; }; zóna"desdelinux.fan" { type master; file "dynamic/db.desdelinux.fan"; allow-update { kulcs "dhcp-kulcs"; }; }; zóna "10.168.192.in-addr.arpa" { type master; file "dynamic/db.10.168.192.in-addr.arpa "; allow-update { kulcs "dhcp-kulcs"; }; }; kezelt kulcsok { "." kezdeti kulcs 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6wBrC58f 0 P0dfwhYB8N0knNnulq QxA +Uk2ihz37="; };
- A megnevezett.conf Igényeinknek és ellenőrzésünknek megfelelően, és minden zóna fájlt létrehozva és ellenőrizve, kételkedünk abban, hogy nagyobb konfigurációs problémákkal kell szembenéznünk. Végül rájövünk, hogy ez egy fiú játék, sok fogalommal és nyűgös szintaxissal, 😉
Az ellenőrzések kielégítő eredményeket adtak, ezért újraindíthatjuk a BIND-t - nevezett.
Indítsuk újra a nevet, és ellenőrizzük annak állapotát
[root @ dns ~] # systemctl indítsa újra a named.service fájlt [root @ dns ~] # systemctl állapot megnevezve.szolgáltatás
Ha bármilyen hibát tapasztalunk az utolsó parancs kimenetében, akkor újra kell indítanunk a megnevezett.szolgáltatás és ellenőrizze újra állapot. Ha a hibák eltűntek, a szolgáltatás sikeresen elindult. Ellenkező esetben alaposan át kell vizsgálnunk az összes módosított és létrehozott fájlt, és meg kell ismételnünk az eljárást.
Az állapot helyes kimenetének a következőknek kell lennie:
[root @ dns ~] # systemctl állapot megnevezve.szolgáltatás ● named.service - Berkeley Internet Name Domain (DNS) betöltve: betöltve (/usr/lib/systemd/system/named.service; engedélyezve; szállítói előre beállított: letiltva) Aktív: aktív (futó) óta V 2017-01-29 10:05:32 EST; 2 perc 57 mp Folyamat: 1777 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SIKER) Folyamat: 1788 ExecStart=/usr/sbin/named -u nevű $OPTIONS (code=exited, status=0/SIKER) Folyamat: 1786 ExecStartPre =/bin/bash -c ha [ ! "$DISABLE_ZONE_CHECKING" == "igen" ]; majd /usr/sbin/named-checkconf -z /etc/named.conf; else echo "A zónafájlok ellenőrzése le van tiltva"; fi (code=exited, status=0/SIKER) Fő PID: 1791 (named) CGroup: /system.slice/named.service └─1791 /usr/sbin/named -u named Jan 29 10:05:32 dns named [1791]: zóna 1.0.0.127.in-addr.arpa/IN: betöltött soros január 0 29 10:05:32 dns named[1791]: zóna 10.168.192.in-addr.arpa/IN: betöltött soros január 1. 29 10:05:32 dns nevű [1791]: zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN : betöltött soros 0 január 29 10:05:32 dns named[1791]: zóna desdelinux.fan/IN: betöltött soros Jan 1 29 10:05:32 dns named[1791]: zone localhost.localdomain/IN: betöltött soros Jan 0 29 10:05:32 dns named[1791]: zone localhost/IN: loaded 0. sorozat, január 29. 10:05:32 dns named[1791]: minden zóna betöltve Január 29. 10:05:32 [1791] nevű dns: futás Január 29. 10:05:32 dns systemd [1]: Indította a Berkeley Internet Name Domain (DNS) szolgáltatást. Január 29. 10:05:32 [1791] névre keresztelt dns: zóna 10.168.192.in-addr.arpa/IN: értesítések küldése (1. sor)
Ellenőrzések
Az ellenőrzések futtathatók ugyanazon a kiszolgálón vagy a LAN-hoz csatlakoztatott gépen. Inkább a csapatból végezzük őket sysadmin.desdelinux.ventilátor amelyre kifejezett engedélyt adtunk a zónaátadások elvégzésére. A fájl / Etc / resolv.conf az a csapat a következő:
buzz @ sysadmin: ~ $ cat /etc/resolv.conf # A NetworkManager keresés által generált desdelinux.fan nameserver 192.168.10.5 buzz@sysadmin:~$ dig desdelinux.fan axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; globális beállítások: +cmd desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. 1 86400 3600 604800 10800 XNUMX desdelinux.ventilátor. 10800 IN NS dns.desdelinux.ventilátor. desdelinux.ventilátor. 10800 IN MX 10 email.desdelinux.ventilátor. desdelinux.ventilátor. 10800 IN TXT"DesdeLinux, a szabad szoftvereknek szentelt blogod" ad-dc.desdelinux.ventilátor. 10800 EGY 192.168.10.3 blogban.desdelinux.ventilátor. 10800 IN A 192.168.10.7 dns.desdelinux.ventilátor. 10800 IN TO 192.168.10.5 fájlszerver.desdelinux.ventilátor. 10800 EGY 192.168.10.4 ftp-szerverben.desdelinux.ventilátor. 10800 192.168.10.8-as levélben.desdelinux.ventilátor. 10800 IN A 192.168.10.9 proxyweb.desdelinux.ventilátor. 10800 A 192.168.10.6 rendszeradmin.desdelinux.ventilátor. 10800 IN 192.168.10.1 desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. 1 86400 3600 604800 10800 ;; Lekérdezési idő: 0 msec ;; SZERVER: 192.168.10.5#53(192.168.10.5) ;; MIKOR: V. január 29. 11:44:18 EST 2017 ;; XFR méret: 13 rekord (1 üzenet, 385 bájt) buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; globális beállítások: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. gyökér.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.ventilátor. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.ventilátor. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.ventilátor. 4.10.168.192.in-addr.arpa. 10800 IN PTR fájlszerver.desdelinux.ventilátor. 5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.ventilátor. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.ventilátor. 7.10.168.192.in-addr.arpa. 10800 IN PTR blog.desdelinux.ventilátor. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.desdelinux.ventilátor. 9.10.168.192.in-addr.arpa. 10800 PTR levélben.desdelinux.ventilátor. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. gyökér.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; Lekérdezési idő: 0 msec ;; SZERVER: 192.168.10.5#53(192.168.10.5) ;; MIKOR: V Jan 29, 11:44:57 EST 2017 ;; XFR méret: 11 rekord (üzenetek 1, bájt 352) buzz@sysadmin:~$ dig IN SOA desdelinux.ventilátor buzz@sysadmin:~$ dig IN MX desdelinux.fan buzz@sysadmin:~$ dig IN TXT desdelinux.ventilátor buzz @ sysadmin: ~ $ host dns dns.desdelinuxA .fan címe 192.168.10.5 buzz @ sysadmin: ~ $ host sysadmin sysadmin.desdelinuxA .fan címe 192.168.10.1 ... És minden más ellenőrzés, amire szükségünk van
- Eddig a kkv-hálózatunkban van egy DNS-kiszolgáló alapja. Reméljük, hogy tetszett az egész eljárás, ami meglehetősen egyszerű volt, igaz? 😉
Telepítjük és konfiguráljuk a DHCP-t
[root @ dns ~] # yum telepítse a dhcp-t
Betöltött pluginok: leggyorsabb tükrözés, centos-base langpacks | 3.4 kB 00:00:00 centos-frissítések | 3.4 kB 00:00:00 Tükörsebességek betöltése gyorsítótárazott hosztfájlokból Függőségek megoldása -> Tranzakciós teszt futtatása ---> dhcp.x86_64 12 csomag: 4.2.5-42.el7.centos telepítve kell lennie -> A függőségek megoldása megszűnt Megoldott függőségek ================================================ =================================================== =================================== Csomag architektúra verzió Tárház mérete =========== =================================================== =================================================== ======================== Telepítés: dhcp x86_64 12: 4.2.5-42.el7.centos centos-base 511 k Tranzakciók összefoglalása ==== =================================================== =================================================== ============================ 1 csomag telepítése Teljes letöltési méret: 511k Telepített méret: 1.4 M Rendben van [y / d / N]: y Csomagok letöltése: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Tranzakció-ellenőrzés futtatása Tranzakció-teszt futtatása Tranzakció-teszt sikeres Futtatás futtatása Telepítés: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Ellenőrzés: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Telepítve: dhcp.x86_64 12: 4.2.5-42.el7.centos Kész!
[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # DHCP szerver konfigurációs fájl. # lásd /usr/share/doc/dhcp*/dhcpd.conf.example # lásd a dhcpd.conf(5) kézikönyvoldalt # ddns-update-style interim; ddns-frissítések bekapcsolva; ddns-domainname "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; figyelmen kívül hagyja az ügyfél-frissítéseket; mérvadó; az ip-továbbítás kikapcsolva; a domainnév opciódesdelinux.fan"; # opció ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; tartalmazza az "/etc/dhcp.key" zóna desdelinux.ventilátor. { elsődleges 127.0.0.1; kulcs dhcp-kulcs; } zóna 10.168.192.in-addr.arpa. { elsődleges 127.0.0.1; kulcs dhcp-kulcs; } megosztott hálózati redlocal { alhálózat 192.168.10.0 hálózati maszk 255.255.255.0 { opció útválasztók 192.168.10.1; opció subnet-mask 255.255.255.0; opció broadcast-cím 192.168.10.255; opció tartománynév-szerverek 192.168.10.5; opció netbios-name-servers 192.168.10.5; tartomány 192.168.10.30 192.168.10.250; } } # VÉGE dhcpd.conf
[root @ dns ~] # dhcpd -t
Internet Systems Consortium DHCP Server 4.2.5 Copyright 2004-2013 Internet Systems Consortium. Minden jog fenntartva. További információért keresse fel a https://www.isc.org/software/dhcp/ weboldalt.
[root @ dns ~] # systemctl engedélyezze a dhcpd-t
Létrehozta az /etc/systemd/system/multi-user.target.wants/dhcpd.service szimbólum linkjét az /usr/lib/systemd/system/dhcpd.service címre.
[root @ dns ~] # systemctl start dhcpd
[root @ dns ~] # systemctl állapot dhcpd
● dhcpd.service - DHCPv4 kiszolgáló démon betöltve: betöltve (/usr/lib/systemd/system/dhcpd.service; engedélyezve; szállítói előre beállított: letiltva) Aktív: aktív (fut) dom óta ITS T; 2017 s ezelőtt Dokumentumok: man: dhcpd (01) man: dhcpd.conf (29) Fő PID: 12 (dhcpd) Állapot: "Csomagok küldése ..." CGroup: /system.slice/dhcpd.service └─04 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid Jan 59 23:8:5 dns dhcpd [2381]: Internet Systems Consortium DHCP Server 2381 Jan 29 12 : 04: 59 dns dhcpd [2381]: Copyright 4.2.5-29 Internet Systems Consortium. Január 12. 04:59:2381 dns dhcpd [2004]: Minden jog fenntartva. Január 2013. 29:12:04 dns dhcpd [59]: További információkért kérjük, látogasson el a https://www.isc.org/software/dhcp/ oldalra. -server, ldap-port és ldap-base-dn nem volt megadva a konfigurációs fájlban, január 2381. 29:12:04 dns dhcpd [59]: 2381 bérletet írt a bérlet fájlba. Január 29. 12:04:59 dns dhcpd [2381]: Hallgatás az LPF / eth29 / 12: 04: 59: 2381: 0: 29 / redlocal január 12. 04:59:2381 dns dhcpd [0]: Küldés az LPF / eth52 oldalon / 54: 00: 12: 17: 04: 29 / redlocal Jan 12. 04:59:2381 dns dhcpd [0]: Küldés a Socket / tartalék / tartalék-neten január 52. 54:00:12 dns systemd [17]: Elkezd DHCPv04 kiszolgáló démon.
Mi a teendő?
Egyszerű. Indítson el egy Windows 7 vagy más klienst az ingyenes szoftverrel, és kezdje el a tesztelést és az ellenőrzést. Két ügyfelünkkel csináltuk: hét.desdelinux.ventilátor y suse-desktop.desdelinux.ventilátor. Az ellenőrzések a következők voltak:
buzz @ sysadmin: ~ $ host host hét.desdelinuxA .fan címe 192.168.10.30 buzz@sysadmin:~$ host seven.desdelinux.ventilátor hét.desdelinuxA .fan címe 192.168.10.30 buzz@sysadmin:~$ dig IN TXT seven.desdelinux.ventilátor .... ;; KÉRDÉS SZAK: ;hét.desdelinux.ventilátor. IN TXT ;; VÁLASZ SZAK: hét.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"....
Átnevezzük a "hét" csapatot "LAGER" -re és újraindítjuk. Az új LAGER újraindítása után ellenőrizzük:
buzz @ sysadmin: ~ $ host host A hét gazdagép nem található: 5 (REFUSED) buzz@sysadmin:~$ host seven.desdelinux.ventilátor Hét házigazda.desdelinux.fan nem található: 3(NXDOMAIN) zümmögés@sysadmin: ~ $ host lager világos.desdelinuxA .fan címe 192.168.10.30 zümmögés@sysadmin:~$host lager.desdelinux.ventilátor világos.desdelinuxA .fan címe 192.168.10.30 buzz@sysadmin:~$ dig IN TXT lager.desdelinux.ventilátor .... ;; KÉRDÉS SZAK: ;lager.desdelinux.ventilátor. IN TXT ;; VÁLASZ RÉSZ: lager.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"....
A suse-desktop klienssel kapcsolatban:
buzz @ sysadmin: ~ $ host suse-dektop A host suse-dektop nem található: 5 (REFUSED) buzz @ sysadmin: ~ $ host suse-desktop suse-desktop.desdelinuxA .fan címe 192.168.10.33 buzz@sysadmin:~$ suse-desktop.desdelinux.ventilátor suse-desktop.desdelinuxA .fan címe 192.168.10.33 buzz @ sysadmin: ~ $ host 192.168.10.33 33.10.168.192.in-addr.arpa tartománynév-mutató suse-desktop.desdelinux.ventilátor. buzz @ sysadmin: ~ $ host 192.168.10.30 30.10.168.192.in-addr.arpa domain név mutató LAGER.desdelinux.ventilátor.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33 .... ;; KÉRDÉS SZAK: ;33.10.168.192.in-addr.arpa. IN PTR ;; VÁLASZ RÉSZ: 33.10.168.192.in-addr.arpa. 3600 IN PTR suse-desktop.desdelinux.ventilátor. ;; HATÓSÁGI RÉSZ: 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.ventilátor. ;; TOVÁBBI RÉSZ: dns.desdelinux.ventilátor. 10800 IN 192.168.10.5 .... buzz@sysadmin:~$ dig IN TXT suse-desktop.desdelinux.ventilátor.... ;suse-desktop.desdelinux.ventilátor. IN TXT ;; VÁLASZ SZAK: suse-desktop.desdelinux.ventilátor. 3600 IN TXT "31b78d287769160c93e6dca472e9b46d73" ;; HATÓSÁGI SZAKASZ: desdelinux.ventilátor. 10800 IN NS dns.desdelinux.ventilátor. ;; TOVÁBBI RÉSZ: dns.desdelinux.ventilátor. 10800 IN 192.168.10.5 ....
Futtassuk a következő parancsokat is
[root@dns ~]# dig desdelinux.fan axfr ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> desdelinux.fan axfr ;; globális beállítások: +cmd desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. 6 86400 3600 604800 10800 XNUMX desdelinux.ventilátor. 10800 IN NS dns.desdelinux.ventilátor. desdelinux.ventilátor. 10800 IN MX 10 email.desdelinux.ventilátor. desdelinux.ventilátor. 10800 IN TXT"DesdeLinux, a szabad szoftvereknek szentelt blogod" ad-dc.desdelinux.ventilátor. 10800 EGY 192.168.10.3 blogban.desdelinux.ventilátor. 10800 IN A 192.168.10.7 dns.desdelinux.ventilátor. 10800 IN TO 192.168.10.5 fájlszerver.desdelinux.ventilátor. 10800 EGY 192.168.10.4 ftp-szerverben.desdelinux.ventilátor. 10800 EGY 192.168.10.8 LÁGERBEN.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"VILÁGOS.desdelinux.ventilátor. 3600 192.168.10.30 e-mailben.desdelinux.ventilátor. 10800 IN A 192.168.10.9 proxyweb.desdelinux.ventilátor. 10800 EGY 192.168.10.6 suse-desktopban.desdelinux.ventilátor. 3600 IN TXT"31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.ventilátor. 3600 A 192.168.10.33 rendszergazdában.desdelinux.ventilátor. 10800 IN 192.168.10.1 desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. gyökér.dns.desdelinux.ventilátor. 6 86400 3600 604800 10800 XNUMX
A fenti kimenetben tovább emeltük bátor az TTL másodpercek alatt - a DHCP szolgáltatás által biztosított IP-címmel rendelkező számítógépek esetében, amelyek kifejezetten a DHCP által megadott TTL 3600 deklarációval rendelkeznek. A fix IP-ket az egyes zónák fájljainak SOA-rekordjában deklarált 3H -3 óra = 10800 másodperc $ TTL vezérli.
Ugyanígy ellenőrizhetik a fordított zónát is.
[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr
További rendkívül érdekes parancsok:
[root@dns ~]# named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl [root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl [root @ dns ~] # journalctl -f
A zónák fájljainak manuális módosítása
Miután a DHCP játékba lép, dinamikusan frissítse a .zónafájlokat nevezettHa valaha is manuálisan kell módosítanunk egy zónafájlt, akkor a következő eljárást kell végrehajtanunk, de nem azelőtt, hogy kicsit többet tudnánk a segédprogram működéséről. rndc a névszerver vezérléséhez.
[root @ dns ~] # man rndc
....
fagyasztás [zóna [osztály [nézet]]]
A dinamikus zóna frissítéseinek felfüggesztése. Ha nincs megadva zóna, akkor az összes zóna fel lesz függesztve. Ez lehetővé teszi a kézi szerkesztést egy zónában, amelyet általában dinamikus frissítéssel frissítenek. Ez azt is okozza, hogy a naplófájl változásai szinkronizálódnak a főfájlba. Minden dinamikus frissítési kísérletet megtagadunk, amíg a zóna befagyott.
olvadás [zóna [osztály [nézet]]]
Frissített dinamikus zóna frissítéseinek engedélyezése. Ha nincs megadva zóna, akkor az összes rögzített zóna engedélyezve van. Ez azt eredményezi, hogy a kiszolgáló újratölti a zónát a lemezről, és a betöltés befejezése után újra engedélyezi a dinamikus frissítéseket. A zóna felengedése után a dinamikus frissítéseket már nem utasítják el. Ha a zóna megváltozott, és az ixfr-from-különbség opció van használatban, akkor a naplófájl frissül, hogy tükrözze a zónában bekövetkezett változásokat. Ellenkező esetben, ha a zóna megváltozott, a meglévő naplófájlok eltávolításra kerülnek. ....
Mit gondoltál, átírom az egész kézikönyvet? ... egy darabot, és autóval mennek. A többit rád bízom. 😉
alapvetően:
- rndc freeze [zóna [osztály [nézet]]], felfüggeszti a zóna dinamikus frissítését. Ha az egyik nincs megadva, akkor minden lefagy. A parancs lehetővé teszi a befagyott zóna vagy az összes zóna kézi szerkesztését. A dinamikus frissítés megtagadva lesz fagyasztva.
- rndc olvadás [zóna [osztály [nézet]]], dinamikus frissítéseket tesz lehetővé egy korábban lefagyott zónán. A DNS-kiszolgáló újratölti a zónafájlt a lemezről, és az újratöltés befejezése után a dinamikus frissítéseket újra engedélyezik.
Vigyázni kell, amikor manuálisan szerkesztünk egy zónafájlt? Ugyanaz, mintha mi hoztuk volna létre, anélkül, hogy elfelejtettük volna növelni a sorozatszámot 1 vagy sorozatszám mielőtt elmentené a fájlt a végső módosításokkal.
Példa:
[root @ dns ~] # rndc lefagy desdelinux.ventilátor
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.ventilátor
Bármilyen okból módosítom a zónafájlt, szükséges vagy nem. Mentem a változásokat
[root @ dns ~] # rndc olvadás desdelinux.ventilátor
Zóna újratöltése és olvadása megkezdődött. Az eredmény megtekintéséhez ellenőrizze a naplókat.
[root @ dns ~] # journalctl -f
január 29. 14:06:46 dns named[2257]: olvadási zóna 'desdelinux.fan/IN': siker
január 29. 14:06:46 dns nevű [2257]: zóna desdelinux.fan/IN: zóna soros (6) változatlan. előfordulhat, hogy a zóna nem megy át a slave-ekre.
január 29. 14:06:46 dns nevű [2257]: zóna desdelinux.fan/IN: betöltött sorozat 6
Az előző kimenet hibája, amely piros színnel jelenik meg a konzolon, abból adódik, hogy "elfelejtettem" 1-gyel növelni a sorozatszámot. Ha helyesen követtem volna az eljárást, a kimenet a következő lett volna:
[root @ dns ~] # journalctl -f -- A naplózás kezdete: V 2017-01-29 08:31:32 EST. -- január 29. 14:06:46 dns named[2257]: zóna desdelinux.fan/IN: betöltött soros Jan 6 29 14:10:01 dns systemd[1]: Elindult a root felhasználó 43. munkamenete. január 29. 14:10:01 dns systemd[1]: A root felhasználó 43. munkamenetének indítása. Január 29. 14:10:01 dns CROND[2693]: (root) CMD (/usr/lib64/sa/sa1 1 1) január 29. 14:10:45 dns named[2257]: vezérlőcsatorna parancs érkezett: 'freeze desdelinux.fan' január 29. 14:10:45 dns named[2257]: fagyzóna 'desdelinux.fan/IN': siker január 29. 14:10:58 dns named[2257]: vezérlőcsatorna parancs érkezett: 'olvadás desdelinux.fan' január 29. 14:10:58 dns named[2257]: olvadási zóna 'desdelinux.fan/IN': siker január 29. 14:10:58 dns named[2257]: zóna desdelinux.fan/IN: a naplófájl elavult: naplófájl eltávolítása Jan 29 14:10:58 dns named[2257]: zone desdelinux.fan/IN: betöltött sorozat 7
- Olvasó barátok, ismétlem, hogy gondosan el kell olvasnia a parancsok kimenetét. Valamiért a fejlesztői annyi munkát töltöttek el az egyes parancsok programozásával, bármennyire is egyszerű.
Összegzés
Eddig a DNS - DHCP pár megvalósításával, a kkv-hálózatunk jó teljesítményéhez szükséges fontos és kulcsfontosságú szolgáltatásokkal foglalkoztunk, utalva a dinamikus címek DHCP-n keresztül történő megadására, valamint a számítógép- és tartománynevek feloldására a DNS-en keresztül.
Komolyan reméljük, hogy Ön élvezte az egész eljárást, mint mi. Bár a konzol használata nehezebbnek tűnik, sokkal könnyebb és oktatóbb egy szolgáltatást UNIX® / Linux rendszerben megvalósítani annak segítségével.
Megbocsátanak a gondolatok, a létrehozott, írt, átdolgozott, átírt és a Shakespeare, nem pedig Cervantes nyelvén közzétett fogalmak téves értelmezéséért. 😉
Következő szállítás
Szerintem egy kicsit ugyanez - a DNS rekordok elméleti kiegészítéseivel -, de a Debianban. Nem felejthetjük el ezt a terjesztést, igaz?
Nagyon köszönöm dicséretes munkáját az ilyen gyümölcsöző cikkek megírásában. Számomra sok haszna lesz
És nagyon köszönöm, Cristian, hogy követtél engem, és hogy értékelted ezt a bejegyzést. Sikerek!
Miután első pillantást vetett Federico új bejegyzésére, ismét észrevehető a «PYMES» sorozat egészében tapasztalt nagy professzionalizmus; amellett, hogy részletesen bemutatja a domainjét bármely hálózat két legfontosabb szolgáltatásán (DNS és DHCP). Ebből az alkalomból és a korábbi észrevételeimmel ellentétben egy második megjegyzésem függőben van, miután a gyakorlatban átültettem az ebben a bejegyzésben foglaltakat.
Nincs hozzászólás, '400 !!! Fico köszönöm, mert nagyon jól tudod, hogy elolvastam a hozzászólásaidat, és nem kérhetünk többet. Nagyon jó szervezéssel indul, kezdve a felhasználó személyes asztalának telepítésétől és beállításától, a munkaállomás az alap, az a hálózati szolgáltatás érzése, amelyet nagyon jól megmagyaráz. Mászott és bár igaz, hogy a szint növekszik, igaz, hogy azoknak írt és publikált, akik kevesebbek, mint a kezdők, azoknak, akik egy ideje olyanok, mint én, és a legfejlettebbek.
Idővel arra a következtetésre jutottam, hogy tudom, hogy sokan már megérkeztek, az elmélet, az az elmélet, amelynek megszerzése annyiba kerül az egyszerű tény miatt, hogy nem akarunk olvasni, mert a végrehajtás már sokkal könnyebb, ha tudjuk, mit csinálunk, miért ???, a kérdések, hol lehet megtalálni és hogyan lehet kilépni abból a hibából, amely akkora fejfájást okoz, amikor azt sem tudjuk, honnan származnak, érdemes a redundanciára.
Ezért nem akarom, hogy otthagyja azokat az elméleti elemeket, amelyeket a DNS-rekordokról a következő publikációban be fog foglalni, ahogy bejelentette, még kevésbé, amikor a kedves és szeretett DEBIAN-ról van szó.
NAGYON KÖSZÖNÖM és várunk.
Kiváló, mint mindig Fico! Várom a Debian verziót, évek óta mindent játszottam ezzel a disztróval.
Wong: Olvasásod után a véleményed sokat ér. Várom a megjegyzéseidet, amikor teszteled a tartalmat, mert tudom, hogy így szereted csinálni. 😉
Crespo: Mint mindig, a megjegyzéseit is nagyon jól fogadják. Úgy látom, hogy megragadta azt az általános vonalat, amelyet felvetettem ennek a sorozatnak az összeállításában. Remélem, hogy mint te, sokan észrevették már. Köszönöm a hozzászólásod.
Dhunter: Jó újra olvasni! Nem kell sokáig várni. Legkésőbb hétfőig - vagy előtte - elkészül publikálásra. Ne gondold, hogy könnyű három különböző disztrót lefednem, de a Tisztelt Olvasó kéri. Nemcsak a Debian és az Ubuntu, hanem a három a KKV-k számára is.
Ha publikáltál, akkor azért, mert tudsz, támogatunk és tudjuk, hogy ezt a vonalat követed.
Vadászként éles fogakkal várom a Debian kiadását. Jó lenne, ha egy kicsit foglalkozna az NTP-vel. Sl2 és egy nagy ölelés. Ha a tanáraim mindent megtanítottak volna nekem, HAHAJJA, Platinum Degree, HAHAJJA.
A parancs kimeneteinek részletessége szükséges annak fontosságának bemutatásához. Sokat mondanak. Igaz, hogy kevés cikk foglalkozik ezzel a részletességgel, mert szerintük hosszú és nehéz cikkeket kellene elolvasni. Nos, a SysAdmin feladata az, hogy elolvassa ezeket a nehéz, részletes eredményeket, nemcsak a probléma, hanem az ellenőrzések előtt is.
Helló Federico, már korábban megígértem, hogy írok néhány megjegyzést, miután alaposan tanulmányoztam a szóban forgó bejegyzést; Nos, itt mennek a következők:
- Remek technika ahelyett, hogy DHCP-vel generálná a dinamikus DNS-frissítésekhez a TSIG kulcsot, és ugyanazt az rndc.key kulcsot másolja, mint a dhcp.key, ez nyilvánvalóan "olyan egyszerű" azt mutatja, hogy a cél nem csak technikai HOGYAN-INSTALL-DNS - & - DHCP, de gondolkodásra tanít, 5 CSILLAG A SZERZŐHEZ.
– Nagyon érdekes a named.conf DNS konfigurációs fájlban az «allow-transfer { localhost; 192.168.10.1; };» tesztelni a domaint «desdelinux.fan" csak a SysAdmin munkaállomásról és a localhostról (maga a DNS-kiszolgáló), valamint a DNS DHCP-ről történő frissítéséhez szükséges TSIG kulcs beszúrása mellett.
- Nagyon jó a DNS közvetlen és inverz zónáinak létrehozása, a rekordtípusaik "részletes" magyarázatával együtt, valamint a "# named-checkconf -zp" parancs végrehajtása a nevezettek összes szintaxisának ellenőrzése előtt. hard reset, valamint példák a "dig" parancs futtatására a különböző típusú DNS-rekordok ellenőrzéséhez.
. A DHCP konfigurációban (az /etc/dhcp/dhcpd.conf fájl használatával):
- Hogyan adjuk hozzá a helyi hálózatunkat a dinamikus IP-címek hozzárendelésének tartományával, a névszerver definíciójával stb. valamint a DHCP-nek a konfigurációjában a "ddns- ..." sorok használatával történő frissítésének megadását.
. Amikor már minden működik, 5 CSILLAG A SZERZŐNEK, a «# dig parancs végrehajtásában desdelinuxA .fan axfr» segítségével ellenőrizheti a statikus és dinamikus IP-címekkel rendelkező LAN-számítógépek TTL-jét.
. Végül NAGY, manuálisan módosíthatja a zónafájlokat úgy, hogy először lefagyasztja őket a «# rndc freeze paranccsal desdelinux.fan", majd végrehajtja a módosítást és végül feloldja őket a "# rndc thaw desdelinux.ventilátor"
. ÉS A LEGJOBBAT, MINDET A TERMINÁLBÓL KÉSZÜLTÉK.
Csak Fico.
Helló,
Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het kan dat alles gedeeld en verwijderd wordt op mijn computer zelfs mijn foto's. Ik heb totaal geen irányítja a mijn eigen számítógépet a mobielen.
Het zit m dus ook in het dns in dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien dat iemand mij segíteni fog? Ez a namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.
Wong: megjegyzésed kiegészíti a cikket. Komolyan, ez azt mutatja, hogy alaposan tanulmányozta. Ellenkező esetben nem kommentálhatná a részletességét. Csak add hozzá engedje át Elsősorban akkor használják, ha van egy DNS-slave, és megengedjük a zónák átvitelét a masterről rá. Azért használom, mert ez egy egyszerűen megvalósítható mechanizmus a nem veszélyes ellenőrzések elvégzésére egyetlen számítógépről. Nagyon köszönöm az 5 értékelést. Üdvözlet! és a következő cikkeimben tovább várlak.
Szia Federico. Tudom, hogy kicsit elkéstem, de szeretnék feltenni egy kérdést.
Ez az eljárás segít nekem, ha egy tartományt akarok mutatni a vps-kiszolgálómra?
15 percenként kapom ezeket a rendszerüzeneteket:
DHCPREQUEST az eth0-n a 67-es portig (xid =…)
DHCPACK from (xid =…)
kötve - megújulás 970 másodperc alatt.
És amit megértek, létre kell hoznom egy A rekordot a domainemmel és a dedikált szerver IP-jével.
* Gratulálok és köszönöm ezt a cikket, nem tudom, hogy ezt kerestem-e, de nagyon érdekesnek és jól megmagyarázottnak találtam. Ezen kívül megfogadom a "DNS and BIND" ajánlását, amelyet egy kicsit pletykáztam, és ez nagyon érdekesnek tűnik.
Üdvözlet Argentínából!
kérem lépjen velem kapcsolatba valdestoujague@yandex.com