Primary Master DNS per una LAN su Debian 6.0 (III)

È uno sforzo enorme ridurre in 5 piccoli articoli la conoscenza precedente, l'installazione, la configurazione e la creazione delle zone e dei controlli di un BIND, in modo che possa essere compreso dal maggior numero di lettori che è il nostro scopo fondamentale.

Chi ha avuto la pazienza di leggere attentamente il 1 ° y 2da Per una parte di questo articolo, sono pronti per continuare con la configurazione e l'impostazione di un Domain Name Server per una LAN.

Al Nuovo, ea coloro che non sono molto chiari sui concetti molto sintetizzati forniti nelle parti precedenti, consigliamo di leggerli e studiarli prima di procedere. Soliti sospetti di disperazione! indietro se non hai letto attentamente.

Vedremo di seguito:

• Dati principali LAN
• Configurazioni host minime
• Modifiche al file /etc/resolv.conf
• Modifiche al file /etc/bind/named.conf
• Modifiche al file /etc/bind/named.conf.option
• Modifiche al file /etc/bind/named.conf.local

 Dati principali LAN

Nome dominio LAN: amigos.cu Sottorete LAN: 192.168.10.0/255.255.255.0 IP server BIND: 192.168.10.10 Nome NetBIOS server: ns

Sebbene sia ovvio, ricorda di modificare i dati precedenti per i tuoi.

Configurazioni host minime

È molto importante che i file siano configurati correttamente / etc / network / interfaces y/ Etc / hosts per ottenere buone prestazioni DNS. Se tutti i dati sono stati dichiarati durante l'installazione, non sarà necessaria alcuna modifica. Il contenuto di ciascuno di essi deve essere il seguente:

# contenuto del file / etc / network / interfaces # Questo file descrive le interfacce di rete disponibili sul tuo sistema # e come attivarle. Per ulteriori informazioni, vedere interfacce (5). # L'interfaccia di rete loopback auto lo iface lo inet loopback # L'interfaccia di rete primaria allow-hotplug eth0 iface eth0 indirizzo statico inet 192.168.10.10 netmask 255.255.255.0 rete 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * le opzioni sono implementato dal pacchetto resolvconf, se installato dns-nameservers 192.168.10.10 dns-search amigos.cu # contenuto di / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Le seguenti righe sono desiderabili per host compatibili con IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Modifiche al file /etc/resolv.conf

Affinché le nostre interrogazioni e controlli funzionino correttamente, è necessario dichiarare nella configurazione locale dell'host, quale sarà il nostro dominio di ricerca e quale sarà il nostro DNS locale. Senza i parametri precedenti come minimo, qualsiasi query DNS fallirà. E questo è un errore che fanno molti principianti. Quindi modifichiamo il file /etc/resolv.conf e lo lasciamo con il seguente contenuto:

# contenuto di /etc/resolv.conf cerca nel server dei nomi friends.cu 192.168.10.10

Sul computer su cui abbiamo installato il server DNS possiamo scrivere:

cerca nel server dei nomi amigos.cu 127.0.0.1

Nel contenuto di cui sopra, la dichiarazione nameserver 127.0.0.1, indica che le richieste verranno rivolte a localhost.

Dopo aver configurato correttamente il nostro BIND, possiamo eseguire qualsiasi query DNS dal nostro host, sia esso il server stesso bind9 o un altro connesso alla rete e che appartiene alla stessa sottorete e ha la stessa maschera di rete. Per saperne di più sul file, esegui uomo resolv.conf.

Modifiche al file /etc/bind/named.conf

Per limitare le query al nostro BIND in modo che rispondano solo alla nostra sottorete e impediscano un attacco Spoofing, dichiariamo nel file nome.conf l'elenco di controllo di accesso o ACL (elenco di controllo di accesso) e lo chiamiamo impantanata. Il filenome.conf dovrebbe essere il seguente:

// /etc/bind/named.conf // Questo è il file di configurazione principale per il server DNS BIND denominato. // // Si prega di leggere /usr/share/doc/bind9/README.Debian.gz per informazioni sulla // struttura dei file di configurazione di BIND in Debian, * PRIMA * di personalizzare // questo file di configurazione. // // Se stai solo aggiungendo zone, fallo in /etc/bind/named.conf.local // // I commenti in spagnolo sono nostri // Lasciamo gli originali in inglese // ATTENZIONE alla copia e incolla // NON LASCIARE SPAZI VUOTI ALLA FINE DI OGNI RIGA // // Elenco controllo accessi: // Consentirà query dal dominio locale e dalla nostra sottorete // Nel file incluso named.conf.options faremo riferimento ad esso . acl impantanato {127.0.0.0/8; 192.168.10.0/24; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; // fine del file /etc/bind/named.conf

Controlliamo la configurazione BIND fino ad ora e riavviamo il servizio:

nome-checkconf -z servizio bind9 riavvio

Modifiche al file /etc/bind/named.conf.options

Nella prima sezione "Opzioni"Dichiareremo solo il Spedizionieri, e chi saranno quelli che potranno consultare il nostro BIND. Quindi dichiariamo la chiave o chiave attraverso il quale possiamo controllare il file bind9e infine da quale host possiamo controllarlo. Per sapere qual è la chiave o la chiave, dobbiamo farlo cat /etc/bind/rndc.key. Copiamo l'output e lo incolliamo nel file nome.conf.opzioni. Alla fine, il nostro file dovrebbe apparire così:

// /etc/bind/named.conf.options options {// ATTENZIONE A COPIARE E INCOLLARE, PER FAVORE ... // Directory predefinita per individuare la nostra directory dei file di Zones "/ var / cache / bind"; // Se c'è un firewall tra te e i server dei nomi con cui // vuoi parlare, potresti dover aggiustare il firewall per consentire a più porte // di parlare. Vedi http://www.kb.cert.org/vuls/id/800113 // Se il tuo ISP ha fornito uno o più indirizzi IP per server dei nomi // stabili, probabilmente vorrai usarli come forwarder. // Rimuovere il commento dal blocco seguente e inserire gli indirizzi sostituendo // il segnaposto di tutti gli 0. // forwarders {// 0.0.0.0; // 0.0.0.0; //} // Gli spedizionieri. Non ho una traduzione migliore // Gli indirizzi provengono dai server di ceniai.net.cu // Se NON ha un'uscita per Internet NON è necessario // dichiararli, a meno che tu non abbia una LAN più complessa // con server DNS che fungono da Forwarder fuori // dall'intervallo di indirizzi IP della tua sottorete. In tal caso // è necessario dichiarare gli IP di quei server. // Le query dei forwarders sono Cascade. spedizionieri {169.158.128.136; 169.158.128.88; }; // In una LAN ben configurata, TUTTE le query DNS // dovrebbero essere fatte al server DNS locale su quella LAN, // NON ai server esterni alla LAN. // Soprattutto quando hai accesso a Internet, // sia nazionale che internazionale. Per questo // dichiariamo il Forwarders auth-nxdomain no; # conforme a RFC1035 listen-on-v6 {any; }; // Protezione dallo spoofing allow-query {mired; }; }; // Contenuto del file / etc / bind / rndc-key // ottenuto tramite cat / etc / bind / rndc-key // Ricordati di cambiarlo se rigeneriamo la chiave "rndc-key" {algoritmo hmac-md5; segreto "dlOFESXTp2wYLa86vQNU6w =="; }; // Da quale host controlleremo e attraverso quali controlli chiave {inet 127.0.0.1 allow {localhost; } chiavi {rndc-key; }; }; // termina il file /etc/bind/named.conf.options

Controlliamo la configurazione BIND fino ad ora e riavviamo il servizio:

nome-checkconf -z servizio bind9 riavvio

Abbiamo deciso di includere come // Commenti gli aspetti fondamentali che possono servire da riferimento per future consultazioni.

Il fatto di dichiarare i Forwarder, converte il nostro server BIND Local in un server Caché, mantenendone la funzionalità Primary Master. Quando chiediamo un host o un dominio esterno, la risposta -se è positiva- verrà memorizzata nella sua cache, in modo che quando la chiediamo di nuovo per lo stesso host o per lo stesso dominio esterno, otteniamo una risposta rapida non consultando torna a DNS esterni.

Modifiche al file /etc/bind/named.conf.local

In questo file dichiariamo le zone locali del nostro dominio. Dobbiamo includere almeno le zone avanti e indietro. Ricordalo nel file di configurazione/etc/bind/named.conf.options Dichiariamo in quale directory ospiteremo i file Zones utilizzando la direttiva directory. Alla fine, il file dovrebbe essere il seguente:

// /etc/bind/named.conf.local // // Esegui qui qualsiasi configurazione locale // // Considera l'idea di aggiungere qui le zone 1918, se non sono utilizzate nella tua // organizzazione // include "/ etc / bind /zones.rfc1918 "; // I nomi dei file in ogni zona sono // a gusto del consumatore. Abbiamo scelto amigos.cu.hosts // e 192.168.10.rev perché ci danno chiarezza sui loro // contenuti. Non c'è più mistero // // I nomi delle zone NON SONO ARBITRARI // e corrisponderanno al nome del nostro dominio // e della subnet LAN // Main Master Zone: digita "Direct" zone "amigos.cu" { tipo master; file "amigos.cu.hosts"; }; // Master Main Zone: digita "Inverse" zone "10.168.192.in-addr.arpa" {type master; file "192.168.10.rev"; }; // Fine del file named.conf.local

Per controllare la configurazione di BIND fino ad ora:

denominato-checkconf -z

Il comando precedente restituirà un errore finché i file di zona non esistono. La cosa principale è che ci avverte che le zone dichiarate in named.conf.local non verranno caricate, poiché i file dei record DNS semplicemente non esistono, il che è vero per ora. Possiamo andare avanti.

Riavviamo il servizio in modo che le modifiche vengano prese in considerazione:

riavvio del servizio bind9

Poiché non vogliamo che ogni post sia molto lungo, affronteremo il problema della creazione dei file Local Zones nella successiva quarta parte. Fino ad allora amici!