DNS ראשי ראשי עבור LAN ב- Debian 6.0 (III)

זהו מאמץ אדיר להפחית ב -5 מאמרים קטנים את הידע הקודם, ההתקנה, התצורה ויצירת האזורים והבדיקות של BIND, כך שניתן יהיה להבין את המספר הגדול ביותר של הקוראים שזו המטרה הבסיסית שלנו. .

אלו שהיו להם סבלנות לקרוא בעיון את 1 y 2da חלק ממאמר זה, הם מוכנים להמשיך בתצורה והגדרה של שרת שם תחום עבור LAN.

עבור החדשים ואלו שאינם כל כך ברורים לגבי המושגים המסוכמים מאוד שניתנו בחלקים הקודמים, אנו ממליצים לקרוא וללמוד אותם לפני שתמשיך. חשודים רגילים בייאוש! בחזרה אם לא קראת בעיון.

נראה בהמשך:

  • הנתונים העיקריים של ה- LAN
  • תצורות מארח מינימליות
  • שינויים בקובץ /etc/resolv.conf
  • שינויים בקובץ /etc/bind/named.conf
  • שינויים בקובץ /etc/bind/named.conf.option
  • שינויים בקובץ /etc/bind/named.conf.local

 הנתונים העיקריים של ה- LAN

שם מתחם LAN: amigos.cu רשת משנה LAN: 192.168.10.0/255.255.255.0 שרת BIND IP: 192.168.10.10 שרת NetBIOS שרת: ns

למרות שזה ברור מאליו, זכור לשנות בעצמך את הנתונים הקודמים.

תצורות מארח מינימליות

חשוב מאוד להגדיר את הקבצים כהלכה / etc / רשת / ממשקים y/ Etc / hosts כדי להשיג ביצועי DNS טובים. אם כל הנתונים הוכרזו במהלך ההתקנה, לא יהיה צורך בשינוי כלשהו. התוכן של כל אחד מהם חייב להיות הבא:

# תוכן של קובץ / etc / network / interfaces # קובץ זה מתאר את ממשקי הרשת הזמינים במערכת שלך וכיצד להפעיל אותם. למידע נוסף ראה ממשקים (5). # ממשק רשת loopback אוטומטי lo iface lo inet loopback # ממשק הרשת הראשי מאפשר-hotplug eth0 iface eth0 inet כתובת סטטית 192.168.10.10 רשת מסכה 255.255.255.0 רשת 192.168.10.0 שידור 192.168.10.255 שער 192.168.10.2 # אפשרויות dns- * מיושמת על ידי חבילת resolvconf, אם מותקנים dns-nameservers 192.168.10.10 dns-search amigos.cu # תוכן של / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # השורות הבאות רצויות עבור מארחים מסוג IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

שינויים בקובץ /etc/resolv.conf

כדי שהשאילתות והבדיקות שלנו יעבדו כראוי, יש צורך להצהיר בתצורה המקומית של המארח, שתהיה תחום החיפוש שלנו ואיזה ה- DNS המקומי שלנו. ללא הפרמטרים הנ"ל לכל הפחות, כל שאילתת DNS תיכשל. וזו טעות שרבים מהמתחילים עושים. אז בואו נערוך את הקובץ / Etc / resolv.conf ואנחנו משאירים את זה עם התוכן הבא:

# תוכן של /etc/resolv.conf חיפוש ב- friends.cu שרת שמות 192.168.10.10

במחשב שבו מותקן שרת ה- DNS נוכל לכתוב:

חפש שרת שמות amigos.cu 127.0.0.1

בתוכן הנ"ל, ההצהרה 127.0.0.1 nameserver, מציין כי ייערכו בירורים ל- localhost.

לאחר שהגדרת את ה- BIND שלנו בצורה נכונה נוכל לבצע כל שאילתת DNS מהמארח שלנו, בין אם זה השרת עצמו לאגד 9 או אחר המחובר לרשת ושייך לאותה רשת משנה ויש לו אותה מסיכת רשת. למידע נוסף על הקובץ, הפעל איש resolv.conf.

שינויים בקובץ /etc/bind/named.conf

להגביל שאילתות ל- BIND שלנו כך שהם יגיבו רק לרשת המשנה שלנו וימנעו התקפה זיוף, אנו מצהירים בתיק בשם.קונף את רשימת בקרת הגישה או ACL (רשימת בקרת גישה) ואנחנו מכנים אותה מְבוּצָץ. הקובץבשם.קונף זה צריך להיות כדלקמן:

// /etc/bind/named.conf // זהו קובץ התצורה הראשי של שרת ה- DNS BIND. // // אנא קרא /usr/share/doc/bind9/README.Debian.gz למידע על // מבנה קבצי התצורה של BIND ב- Debian, * לפני * שתתאים אישית // קובץ תצורה זה. // // אם אתה רק מוסיף אזורים, אנא עשה זאת ב /etc/bind/named.conf.local // // ההערות בספרדית הן שלנו // אנו משאירים את המקור באנגלית // היזהר מהעתקה ו הדבק // אל תשאיר רווחים ריקים בסוף כל קו // // רשימת בקרת גישה: // תאפשר שאילתות מהדומיין המקומי ומרשת המשנה שלנו // בקובץ הכלול בשם.conf.options נתייחס אליו . acl mired {127.0.0.0/8; 192.168.10.0/24; }; כוללים "/etc/bind/named.conf.options"; כוללים "/etc/bind/named.conf.local"; כוללים "/etc/bind/named.conf.default-zones"; // סוף הקובץ /etc/bind/named.conf

בואו נבדוק את תצורת ה- BIND עד כה והפעלנו מחדש את השירות:

שם-checkconf -z שירות bind9 הפעלה מחדש

שינויים בקובץ /etc/bind/named.conf.options

בחלק הראשון “אפשרויות"אנחנו רק נכריז על משלחים, ומי יהיו אלה אשר יוכלו להתייעץ עם ה- BIND שלנו. ואז אנו מכריזים על המפתח או מפתח שדרכו אנו יכולים לשלוט ב- לאגד 9ולבסוף מאיזה מארח אנו יכולים לשלוט בזה. כדי לדעת מיהו המפתח או המפתח, עלינו לעשות זאת חתול /etc/bind/rndc.key. אנו מעתיקים את הפלט ומדביקים אותו בקובץ בשם.conf.options. בסופו של דבר, הקובץ שלנו צריך להיראות כך:

// /etc/bind/named.conf.options אפשרויות {// היזהרו מהעתקה והדבקה, אנא ... // ספריית ברירת מחדל לאיתור ספריית קבצי האזורים שלנו "/ var / cache / bind"; // אם יש חומת אש בינך לבין שרת שמות שאתה רוצה // לדבר איתם, ייתכן שיהיה עליך לתקן את חומת האש כדי לאפשר למספר // יציאות לדבר. ראה http://www.kb.cert.org/vuls/id/800113 // אם ספק שירותי האינטרנט שלך סיפק כתובת IP אחת או יותר עבור שרתי // שמות יציבים, סביר להניח שתרצה להשתמש בהם כמעבירים. // בטל את ההערה של החסימה הבאה והוסף את הכתובות המחליפות // את מציין המיקום של all-0. // משלחים {// 0.0.0.0; // 0.0.0.0; //} // השולחים. אין לי תרגום טוב יותר // הכתובות הן משרתים של ceniai.net.cu // אם אין לו גישה לאינטרנט אין צורך // להכריז עליהם, אלא אם כן יש לך LAN מורכב יותר // עם שרתי DNS הפועלים כמעבירים מחוץ // לטווח כתובות ה- IP של רשת המשנה שלך. במקרה זה // עליך להצהיר על כתובות ה- IP של השרתים האלה. // שאילתות משלחים הן אשד. משלחים {169.158.128.136; 169.158.128.88; }; // ב- LAN מוגדר היטב, יש לבצע את כל שאילתות ה- DNS // לשרת ה- DNS המקומי באותו LAN, // לא לשרתים מחוץ ל- LAN. // במיוחד כשיש לך גישה לאינטרנט, // יהיה זה לאומי או בינלאומי. עבור זה // אנו מכריזים על כך שהמשלחים לא-דומיין לא; # להתאים ל- RFC1035 להקשיב ב- v6 {any; }; // הגן מפני זיוף היתר-שאילתה {mired; }; }; // תוכן הקובץ / etc / bind / rndc-key // המתקבל באמצעות cat / etc / bind / rndc-key // זכרו לשנות אותו אם נחדש את המפתח "rndc-key" {אלגוריתם hmac-md5; סוד "dlOFESXTp2wYLa86vQNU6w =="; }; // מאיזה מארח נשלוט ובאילו פקדי מפתח {inet 127.0.0.1 מאפשרים {localhost; } מקשים {מקשים rndc; }; }; // סוף הקובץ /etc/bind/named.conf.options

בואו נבדוק את תצורת ה- BIND עד כה והפעלנו מחדש את השירות:

שם-checkconf -z שירות bind9 הפעלה מחדש

החלטנו לכלול כ- // הערות ההיבטים הבסיסיים שיכולים לשמש כנקודת התייחסות להתייעצויות עתידיות.

עובדת הכרזת המעבירים ממירה את שרת BIND Local שלנו לשרת Caché, תוך שמירה על פונקציונליות ה- Master הראשי שלו. כשאנחנו מבקשים מארח או דומיין חיצוני, התשובה - אם היא חיובית - תישמר במטמון שלה, כך שכשאנחנו מבקשים ממנה שוב לאותו מארח או לאותו דומיין חיצוני, נקבל תשובה מהירה על ידי כך שלא נייעץ בחזרה ל- DNS חיצוניים.

שינויים בקובץ /etc/bind/named.conf.local

בקובץ זה אנו מצהירים על האזורים המקומיים של התחום שלנו. עלינו לכלול את האזורים קדימה והפוך כמינימום. זכור כי בקובץ התצורה/etc/bind/named.conf.options אנו מצהירים באיזו ספרייה אנו מארחים את קבצי ה- Zones באמצעות הנחיית הספריות. בסופו של דבר, הקובץ צריך להיות כדלקמן:

// /etc/bind/named.conf.local // // בצע תצורה מקומית כלשהי // // שקול להוסיף כאן את אזורי 1918, אם הם לא משמשים בארגון שלך // include "/ etc / bind /zones.rfc1918 "; // שמות הקבצים בכל אזור הם לפי הטעם של הצרכן. בחרנו amigos.cu.hosts // ו- 192.168.10.rev כי הם נותנים לנו בהירות לגבי // התוכן שלהם. אין עוד מסתורין // // שמות האזורים אינם ארביים // ויתאימו לשם הדומיין שלנו // ולרשת המשנה LAN // אזור מאסטר ראשי: הקלד "אזור" ישיר "amigos.cu "{סוג מאסטר; קובץ "amigos.cu.hosts"; }; // אזור ראשי ראשי: הקלד אזור "הפוך" "10.168.192.in-addr.arpa" {סוג מאסטר; קובץ "192.168.10.rev"; }; // סוף הקובץ named.conf.local

כדי לבדוק את תצורת ה- BIND עד כה:

בשם-checkconf -z

הפקודה הקודמת תחזיר שגיאה עד שקבצי האזור לא קיימים. העיקר שהוא מזהיר אותנו שהאזורים שהוכרזו בשם.conf.local לא ייטענו, מכיוון שקבצי ה- DNS רשומות פשוט לא קיימים, וזה נכון לעכשיו. אנחנו יכולים להמשיך הלאה.

בואו נתחיל מחדש את השירות כך שהשינויים יובאו בחשבון:

שירות bind9 הפעלה מחדש

מכיוון שאיננו רוצים להפוך כל פוסט לארוך מאוד, אנו נתייחס לסוגיית יצירת קבצי האזורים המקומיים בחלק הרביעי הבא. עד אז חברים!


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

7 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   st0rmt4il דיג'ו

    תודה אחי!

    היום קשה לראות פוסטים באיכות זו באינטרנט!

    ברכות!

    1.    פיקו דיג'ו

      תודה רבה על התגובה שלך .. תענוג לקרוא דברים כאלה .. 😉

  2.   dasht0 דיג'ו

    מאמר מעולה!
    תודה לך, אלב, KZ, בכל מקרה ... מלינוקס על הקיים

    באופן קולקטיבי, ניתן ליישם תוסף המאפשר הורדת המאמרים כקובץ PDF (בסגנון HumanOS)
    לגבי
    דאש

    1.    פדריקו דיג'ו

      תודה לכולכם על הערותיכם. אנו לומדים את כולם.
      הורדת המאמרים ב- PDF אינה כוללת הערות של חברים ועמיתים, המשלימים את הפוסט ושימושיים מאוד. מתן מדריך ללא הערות הוא כמעט בלתי אפשרי בהתחשב ברוחב הנושא. יוניקס / לינוקס היא רחבה ביותר כדי למנוע את החוויות של כולם.

      1.    dasht0 דיג'ו

        מאמרים מעולים!
        ברור שהתגובות משלימות את המידע במאמרים, הן אפילו מציעות דברים שעשויים להישאר או שאפשר להוסיף, אבל אני שומר על דעתי שזה יהיה אידיאלי אם ניתן לשמור את המאמר כ- PDF, לפחות בשבילי
        חיבוק מקובה והמשיכו לצפות בזה

  3.   elpapineo דיג'ו

    רץ:
    בשם-checkconf -z
    אני מרגיש כמו:
    /etc/bind/named.conf.options:30: אפשרות לא ידועה 'שולטת'

    1.    elpapineo דיג'ו

      אני עונה לעצמי: אתה צריך למקם את קטע הפקדים מחוץ לקטע האפשרויות.

      ברצוני גם לתרום משהו: אם במקום להעתיק ולהדביק בקובץ named.conf.options

      מקש "rndc-key" {
      אלגוריתם hmac-md5;
      סוד "dlOFESXTp2wYLa86vQNU6w ==";
      };

      אנו מכינים:

      כוללים "/etc/bind/rndc.key";

      בקובץ named.conf אני חושב שגם זה עובד.

      ברכות.