DNS ו- DHCP ב- Debian 8 "ג'סי" - רשתות SMB

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. לאחר צמד המאמרים הקודמים בנושא מערכת Domain Name ו - פרוטוקול תצורת מארח דינמי פורסם ב "DNS ו- DHCP ב- openSUSE 13.2 'הארלקין'"ו-"DNS ו- DHCP ב- CentOS 7«, שניהם מהסדרה רשתות קטנות ובינוניות, עלינו להגדיר שירותים אלה ב- Debian.

אנו חוזרים על כך שנקודת מוצא טובה ללמוד על המושגים התיאורטיים של DNS ו- DHCP היא ויקיפדיה.

התקנת מערכת ההפעלה

נתחיל מהתקנה בסיסית של שרת עם מערכת ההפעלה "ג'סי" של דביאן 8 מבלי להתקין שום סביבה גרפית או תוכנית אחרת. מכונה וירטואלית עם זיכרון RAM של 512 מגה-בייט וכונן קשיח של 20 ג'יגה היא די והותר.

בתהליך ההתקנה - במצב טקסט רצוי - ובעקבות סדר המסכים בחרנו בפרמטרים הבאים:

  • שפה: ספרדית - ספרדית
  • מדינה, טריטוריה או אזור: ארה"ב
  • מפת מקשים לשימוש: אנגלית אמריקאית
  • הגדר את הרשת באופן ידני:
    • כתובת IP: 192.168.10.5
    • מסיכת רשת: 255.255.255.0
    • שער: 192.168.10.1
    • כתובות שרת שמות: 127.0.0.1
    • שם המכונה: dns
    • שם דומיין: desdelinux.אוהד
  • סיסמת משתמש סופר: סוקלב (ואז בקש אישור)
  • שם מלא למשתמש החדש: Debian מערכת הפעלה ראשונה באז
  • שם משתמש לחשבון: באז
  • בחר סיסמה עבור המשתמש החדש: סוקלב (ואז בקש אישור)
  • בחר את אזור הזמן שלך: מזרח
  • שיטת חלוקה: מודרך - השתמש בדיסק כולו
    • בחר דיסק למחיצה: דיסק וירטואלי 1 (vda) - 21.5 GB Virto Block Device
    • ערכת חלוקה: כל הקבצים במחיצה אחת (מומלץ למתחילים חדשים).
    • סיים את המחיצה וכתב שינויים לדיסק
    • האם אתה רוצה לכתוב את השינויים בדיסקים?
  • האם אתה רוצה לנתח תקליטור או DVD אחר?:
  • האם ברצונך להשתמש בהעתק שלd?:
  • האם אתה רוצה לקחת את סקר השימוש בחבילה?:
  • בחר את התוכניות להתקנה:
    [] סביבת שולחן העבודה של דביאן
    [*] כלי מערכת סטנדרטיים
  • האם ברצונך להתקין את מטעין האתחול GRUB ברשומת האתחול הראשית?
    • / dev / vda
  • "ההתקנה הושלמה":

לדעתי הצנועה, התקנת דביאן היא פשוטה. נדרש לענות רק על שאלות של אפשרויות מוגדרות מראש ומידע אחר. אני אפילו מעז לומר שקל יותר לבצע את השלבים הקודמים מאשר באמצעות סרטון, למשל. כשאני קורא אני לא מאבד ריכוז. נושא אחר הוא לצפות, לקרוא, לפרש ולתת את הסרטון קדימה ואחורה, כשאני מאבד או לא מבין היטב איזו משמעות חשובה. גיליון בכתב יד, או קובץ טקסט רגיל המועתק לנייד, ישמש כמדריך יעיל באופן מושלם.

הגדרות ראשוניות

לאחר סיום ההתקנה הבסיסית וההפעלה מחדש הראשונה, אנו ממשיכים להכריז על מאגרי התוכנית.

בעת עריכת הקובץ sources.listאנו מגיבים כברירת מחדל על כל הערכים הקיימים מכיוון שנעבוד רק עם מאגרים מקומיים. התוכן הסופי של הקובץ - לא כולל השורות שהגיבו - יהיה:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie תרומה עיקרית deb http://192.168.10.1/repos/jessie/debian-security/ jessie / עדכונים תרומה עיקרית

אנו מעדכנים את המערכת

root @ dns: ~ # עדכון יכולת
root @ dns: ~ # שדרוג יכולת
root @ dns: ~ # אתחול מחדש

אנו מתקינים SSH לגישה מרחוק

root @ dns: ~ # יכולת להתקין

כדי לאפשר למשתמש להתחיל הפעלה מרחוק באמצעות SSH שורש -מ- LAN LAN הארגוני בלבד- אנו משנים את קובץ התצורה שלו:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin כן ....

root @ dns: ~ # systemctl הפעל מחדש את ssh.service
root @ dns: ~ # systemctl status ssh.service

אנו מתחילים הפעלה מרחוק באמצעות SSH ב- «dns» ממכונת «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... הסיסמה של root@192.168.10.5: ... root @ dns: ~ #

קבצי תצורה עיקריים

הקבצים העיקריים של תצורת המערכת יהיו בהתאם לבחירות שלנו במהלך ההתקנה:

root @ dns: ~ # cat / etc / hosts
127.0.0.1   localhost
192.168.10.5    dns.desdelinux.fan  dns

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
search desdelinuxשרת שמות .fan 127.0.0.1

root @ dns: ~ # host host
DNS

root @ dns: ~ # host host -f
dns.desdelinux.אוהד

root @ dns: ~ # חתול / וכו '/ רשת / ממשקים
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
    address 192.168.10.5
    netmask 255.255.255.0
    network 192.168.10.0
    broadcast 192.168.10.255
    gateway 192.168.10.1
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 127.0.0.1
    dns-search desdelinux.אוהד

אנו מתקינים חבילות חוויית על

root @ dns: ~ # aptitude התקן htop mc deborphan

ניקוי חבילות שהורדו אם יש

root @ dns: ~ # aptitude install -f root @ dns: ~ # טיהור aptitude ~ c root @ dns: ~ # apt root root @ dns: ~ # aptitude autoclean

אנו מתקינים את ה- BIND9

  • לפני התקנת ה- BIND אנו ממליצים בחום בקר בדף סוגי רשומות DNS בוויקיפדיה, גם בגרסאות ספרדית וגם באנגלית. סוגי רושמים אלו הם אלו שנשתמש בהם בתצורה של קבצי ה- Zones, הן ישירים והן היפוכים. זה מאוד חינוכי לדעת עם מה אנחנו מתמודדים.
  • גם אנו מציעים קרא את הקטע הבא בקשה לתגובות RFC - בקשות לתגובות, שקשורות קשר הדוק לתפקוד תקין של שירות ה- DNS, במיוחד בכל הקשור לרקורציה לשרתי השורש:
    • RFCs 1912, 5735, 6303 ו- BCP 32: הנוגע ל localhost
    • RFCs 1912, 6303: אזור סגנון עבור כתובת IPv6 localhost
    • RFCs 1912, 5735 ו- 6303: מתייחס לרשת המקומית - רשת זו
    • RFCs 1918, 5735 ו- 6303: רשתות לשימוש פרטי
    • RFC 6598: שטח כתובות משותף
    • RFCs 3927, 5735 ו- 6303: קישור מקומי / APIPA
    • RFCs 5735 ו- 5736: מטלות פרוטוקול של כוח משימה להנדסת אינטרנט
    • RFCs 5735, 5737 ו- 6303: TEST-NET- [1-3] לתיעוד
    • RFCs 3849 ו- 6303: טווח דוגמאות IPv6 לתיעוד
    • BCP 32: שמות דומיינים לתיעוד ובדיקה
    • RFCs 2544 ו- 5735: בדיקת מידוד נתבים
    • RFC 5735: IANA שמורה - מרחב Class E ישן
    • RFC 4291: כתובות IPv6 שאינן מוקצות
    • RFCs 4193 ו- 6303: ULA של IPv6
    • RFCs 4291 ו- 6303: IPv6 Link Local
    • RFCs 3879 ו- 6303: כתובות אתר מקומיות שהותקנו מ- IPv6
    • RFC 4159: IP6.INT אינו בשימוש

התקנה

root @ dns: ~ # aptitude search bind9
p bind9 - שרת שמות דומיין אינטרנט p bind9-doc - תיעוד ל- BIND i bind9-host - גרסת ה- 'host' יחד עם BIND 9.X p bind9utils - כלי עזר ל- BIND p gforge-dns-bind9 - כלי פיתוח שיתופי - ניהול DNS (באמצעות Bind9) i A libbind9-90 - BIND9 ספריה משותפת המשמשת BIND

נסה גם לרוץ חיפוש כושר ~ dbind9

root @ dns: ~ # aptitude להתקין bind9

root @ dns: ~ # systemctl הפעל מחדש את bind9.service

root @ dns: ~ # systemctl status bind9.service
● bind9.service - שרת שם תחום BIND נטען: נטען (/lib/systemd/system/bind9.service; מופעל) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   פעיל: פעיל (פועל) מאז יום שישי 2017-02-03 10:33:11 EST; לפני שניות Docs: man: named (1) תהליך: 8 ExecStop = / usr / sbin / rndc stop (code = exited, status = 1460 / SUCCESS) PID ראשי: 0 (בשם) CGroup: /system.slice/bind1465.service └─9 / usr / sbin / בשם -f -u לאגד 1465 בפברואר 03:10:33 dns בשם [11]: אזור ריק אוטומטי: 1465. BD8.IP0.1.0.0.2.ARPA 6 בפברואר 03:10:33 dns בשם [11]: ערוץ פקודה מאזין בתאריך 1465 # 127.0.0.1 פברואר 953 03:10:33 dns בשם [11]: ערוץ פקודה האזנה ב :: 1465 # 1 פברואר 953 03:10:33 dns בשם [11]: מנוהל -keys-zone: טעינה טורית 1465 בפברואר 2 03:10:33 dns בשם [11]: zone 1465.in-addr.arpa/IN: טעונה טורית 0 בפברואר 1 03:10:33 dns בשם [11]: zone localhost / IN: טעון סדרתי 1465 בפברואר 2 03:10:33 dns בשם [11]: אזור 1465.in-addr.arpa/IN: טעון סדרתי 127 בפברואר 1 03:10:33 dns בשם [11]: zone 1465.in -addr.arpa/IN: טעון סדרתי 255 בפברואר 1 03:10:33 dns בשם [11]: כל האזורים טעונים 1465 בפברואר 03:10:33 dns בשם [11]: פועל רמז: כמה קווים היו אליפסיים, השתמש ב- l להראות במלואה.

קבצי תצורה המותקנים על ידי ה- BIND9

באופן מעט שונה לתצורה של שירות ה- DNS ב- CentOS וב- openSUSE, ב- Debian הקבצים הבאים נוצרים בספריה. / וכו / לקשור:

root @ dns: ~ # ls -l / etc / bind /
סה"כ 52 -rw-r - r-- 1 שורש שורש 2389 30 ביוני 2015 לאגד. מקשים -rw-r - r-- 1 שורש שורש 237 יוני 30 2015 db.0 -rw-r - r-- 1 שורש שורש 271 30 ביוני 2015 db.127 -rw-r - r-- 1 שורש שורש 237 יוני 30 2015 db.255 -rw-r - r-- 1 שורש שורש 353 30 יוני 2015 db.empty -rw- r - r-- 1 שורש שורש 270 יוני 30 2015 db.local -rw-r - r-- 1 root root 3048 Jun 30 2015 db.root -rw-r - r-- 1 root binding 463 Jun 30 2015 בשם.conf -rw-r - r-- 1 שורש לאגד 490 יוני 30 2015 בשם.conf.default-zones -rw-r - r-- 1 שורש לאגד 165 יוני 30 2015 בשם.conf.local -rw -r - r- 1 שורש לאגד 890 3 בפברואר 10:32 בשם.conf.options -rw-r ----- 1 bind bind 77 פברואר 3 10:32 rndc.key -rw-r - r- - שורש שורש 1 1317 ביוני 30, 2015 zones.rfc1918

כל הקבצים לעיל הם בטקסט רגיל. אם אנו רוצים לדעת את המשמעות והתוכן של כל אחד מהם, נוכל לעשות זאת באמצעות הפקודות פחות o חתול, וזה פרקטיקה טובה.

תיעוד נלווה

בפנקס הכתובות / usr / share / doc / bind9 תהיה לנו:

root @ dns: ~ # ls -l / usr / share / doc / bind9
סה"כ 56 -rw-r - r-- 1 שורש שורש 5927 30 ביוני 2015 זכויות יוצרים -rw-r - r-- 1 שורש שורש 19428 30 2015 יוני 1 changelog.Debian.gz -rw-r - r-- 11790 שורש שורש 27 2014 בינואר 1 שאלות נפוצות.gz -rw-r - r-- שורש שורש 396 30 ביוני 2015 NEWS.Debian.gz -rw-r - r-- שורש שורש 1 3362 יוני 30 2015 README.Debian. gz -rw-r - r-- 1 שורש שורש 5840 27 בינואר 2014 README.gz

בתיעוד הקודם אנו נמצא חומר לימוד שופע שאנו ממליצים לקרוא לפני קביעת התצורה של ה- BIND ואף לפני חיפוש באינטרנט מאמרים הקשורים ל- BIND ו- DNS בכלל.. אנו הולכים לקרוא את התוכן של חלק מאותם קבצים:

שאלות נפוצות o Fבתשובה Aהחלקה Qהערות לגבי BIND 9

  1. שאלות אוסף והתקנה - שאלות אודות קומפילציה והתקנה
  2. שאלות תצורה והתקנה - שאלות בנושא תצורה וכוונון
  3. שאלות תפעול - שאלות על המבצע
  4. שאלות כלליות - פניות כלליות
  5. שאלות ספציפיות למערכת ההפעלה - שאלות ספציפיות לגבי כל מערכת הפעלה
    1. HPUX
    2. לינוקס
    3. Windows
    4. FreeBSD
    5. Solaris
    6. Apple Mac OSX

NEWS. Debian.gz

NEWS. דביאן לסיכום אומר לנו שהפרמטרים אפשר-שאילתה-מטמון y אפשר-רקורסיה מופעלים כברירת מחדל עבור רשימות ACL המוטמעות ב- BIND -מובנה- 'רשתות מקומיות'ו-'localhost'. זה גם מודיע לנו כי שינויי ברירת המחדל נעשו כדי להפוך את שרתי המטמון לאטרקטיביים פחות להתקפה על ידי זיוף מרשתות חיצוניות.

כדי לבדוק מה כתוב בפסקה הקודמת, אם ממכונה ברשת עצמה 192.168.10.0/24 que es la de nuestro ejemplo, realizamos una petición DNS sobre el dominio desdelinux.net, y al mismo tiempo en el propio servidor dns.desdelinux.אוהד אנחנו מבצעים זנב -f / var / log / syslog נקבל את הדברים הבאים:

buzz @ sysadmin: ~ $ dig localhost
.... ;; PSTUDOSECTION אופטי :; EDNS: גרסה: 0, דגלים:; udp: 4096 ;; פרק השאלה:; localhost. ב ;; סעיף תשובה: localhost. 604800 IN A 127.0.0.1 ;; מדור רשות: localhost. 604800 IN localhost ב- NS. ;; קטע נוסף: localhost. 604800 ב- AAAA :: 1

buzz@sysadmin:~$ לחפור desdelinuxNET.
....
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;desdelinux.net.            IN  A
....
root @ dns: ~ # tail -f / var / log / syslog ....
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:7fd::1#53
Feb  4 13:04:31 dns named[1602]: error (network unreachable) resolving 'desdelinux.net/A/IN': 2001:503:c27::2:30#53
....

התפוקה של syslog זה הרבה יותר זמן בגלל החיפוש אחר שרתי השורש על ידי BIND. כמובן הקובץ / Etc / resolv.conf בקבוצה מנהל מערכת.desdelinux.אוהד מצביע על DNS 192.168.10.5.

מביצוע הפקודות הקודמות אנו יכולים להסיק כמה מסקנות מלכתחילה:

  • ה- BIND מוגדר כברירת מחדל כשרת מטמון פונקציונלי ללא צורך בתצורה נוספת, ועונה על שאילתות DNS עבור ה- רשתות מקומיות ו - localhost
  • רקורסיה - רקורסיה מופעלת עבור רשתות מקומיות ו - localhost
  • עדיין לא שרת סמכותי
  • בניגוד ל- CentOS, שם היינו צריכים להכריז על הפרמטר «האזנה יציאה 53 {127.0.0.1; 192.168.10.5; }; » במפורש כדי להאזין לבקשות DNS דרך ממשק הרשת 192.168.10.5 DNS עצמו, בדביאן אין צורך בכך שהוא תומך בבקשות DNS עבור רשתות מקומיות ו - localhost בְּרִירַת מֶחדָל. עיין בתוכן הקובץ /etc/bind/named.conf.options והם יראו שאין הצהרה תקשיב.
  • שאילתות IPv4 ו- IPv6 מופעלות

אם רק על ידי קריאה ופירוש - פח כמו שאנחנו אומרים בקובה - הארכיון NEWS. Debian.gz הגענו למסקנות מעניינות המאפשרות לנו לדעת קצת יותר על פילוסופיית התצורה המוגדרת כברירת מחדל של צוות דביאן ביחס ל- BIND, אילו היבטים מעניינים נוספים נוכל לדעת מהמשך קריאת קבצי התיעוד הנלווה?.

README.Debian.gz

README.Debian מודיע לנו - בין היבטים רבים אחרים - כי הרחבות האבטחה של מערכת שמות הדומיינים - הרחבות אבטחת מערכת שמות מתחם o DNSSEC, מופעלים; ומאשר מחדש כי תצורת ברירת המחדל עובדת עבור מרבית השרתים (שרתי עלים - שרתי עלים הכוונה לעלים של עץ הדומיין) ללא צורך בהתערבות המשתמש.

  • DNSSEC על פי ויקיפדיה: הרחבות האבטחה של מערכת שם הדומיין (DNSSEC) היא קבוצת מפרט של כוח המשימה להנדסת אינטרנט (IETF) כדי לאבטח סוגים מסוימים של מידע המסופק על ידי מערכת השמות. שם תחום (DNS) המשמש בפרוטוקול האינטרנט (IP). זוהי קבוצה של הרחבות ל- DNS המספקות ללקוחות DNS (או רזולוצרים) אימות של מקור נתוני ה- DNS, הכחשה מאומתת של קיומם ושלמות הנתונים, אך לא זמינות או סודיות.

על תוכנית תצורה אומר לנו שכל קבצי התצורה הסטטיים, קבצי האזור לשרתי השורש ואזורי ההעברה וההפוך של localhost הם נמצאים / וכו / לקשור.

מדריך העבודה לשדים בשם es / var / cache / binding כך שכל קובץ חולף שנוצר על ידי בשם כגון מאגרי מידע שעבורם הוא משמש כשרת עבדים, נכתבים במערכת הקבצים / var, לשם הם שייכים.

בניגוד לגירסאות קודמות של חבילת BIND עבור דביאן, הקובץ בשם.קונף ו - db. * מסופקים, הם מתויגים כקבצי תצורה. בצורה כזו שאם אנו זקוקים לשרת DNS שפועל בעיקר כשרת מטמון ושאינו סמכותי עבור אף אחד אחר, נוכל להשתמש בו כשהוא מותקן ומוגדר כברירת מחדל.

אם אתה צריך ליישם DNS מורשה, הם מציעים להכניס את הקבצים של אזורי המאסטר לאותה ספריה / וכו / לקשור. אם המורכבות של האזורים שעבורם בשם יהיה סמכותי דורש זאת, מומלץ ליצור מבנה ספריות משנה, בהתייחס לקבצי האזור באופן מוחלט בקובץ בשם.קונף.

כל קובץ אזור שעבורו בשם להתנהג כששרת העבדים חייב להיות ממוקם ב / var / cache / binding.

קבצי האזורים כפופים לעדכונים דינמיים על ידי DHCP או הפקודה עדכון, צריך להיות מאוחסן ב / var / lib / bind.

אם מערכת ההפעלה משתמשת פרמאר, הפרופיל המותקן פועל רק עם הגדרות ברירת המחדל של BIND. שינויים הבאים בתצורת ה- בשם הם עשויים לדרוש שינויים בפרופיל ה- Apparmor. ביקר https://wiki.ubuntu.com/DebuggingApparmor לפני שממלא טופס המאשים א באג בשירות ההוא.

ישנן מספר בעיות הקשורות להפעלת דביאן BIND בכלוב צ'רוט - בית סוהר. בקר בכתובת http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html למידע נוסף.

מידע אחר

איש בשם, איש בשם.קונף, איש בשם-צ'ק-קונף, איש בשם-צ'ק-אזור, איש רנדק, וכן הלאה

root @ dns: ~ # בשם -v
BIND 9.9.5-9 + deb8u1-Debian (גרסת תמיכה מורחבת)

root @ dns: ~ # בשם -V
BIND 9.9.5-9 + deb8u1-Debian (גרסת תמיכה מורחבת) נבנה על ידי make עם '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' - enable-threads '' - enable-largefile '\' - with-libtool '' - enable-shared '' - enable-static '\' - with-openssl = / usr '' - with-gssapi = / usr '' - with-gnu-ld '\' - with-geoip = / usr '' --with-atf = no '' - enable-ipv9 '' - Enable-rrl '\' - Enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'מהדור על ידי GCC 50 באמצעות גרסת OpenSSL : OpenSSL 6k 2 בינואר 4.9.2 באמצעות גרסת libxml1.0.1: 8

root @ dns: ~ # ps -e | grep בשם
  408? 00:00:00 נקרא

root @ dns: ~ # ps -e | grep לאגד
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind 9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
בשם.pid session.key  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-rw-r - r-- 1 bind bind 4 בפברואר 4 13:20 /var/run/named/named.pid

root @ dns: ~ # rndc status
גרסה: 9.9.5-9 + deb8u1-Debian מעבדים שנמצאו: 9 אשכולות עובדים: 8 מאזינים ל- UDP לכל ממשק: מספר אזורים: 50 רמת ניפוי באגים: 1 העברות פועלות: 1 העברות נדחו: 1 שאילתות סואה בעיצומן: 100 רישום שאילתות אינו פעיל לקוחות רקורסיביים: 0/0/0 tcp לקוחות: השרת 0/0 פועל
  • אין להכחיש את החשיבות של התייעצות בתיעוד המותקן עם חבילת BIND9 לפני כל אחר.

bind9-doc

root @ dns: ~ # aptitude להתקין קישורים bind9-doc2
root @ dns: ~ # dpkg -L bind9-doc

El paquete bind9-doc מתקין, בין מידע שימושי אחר, את מדריך הפניה למנהלי מערכת BIND 9. כדי לגשת למדריך - באנגלית - אנו מבצעים:

root @ dns: ~ # links2 file: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
מדריך עזר למנהל מערכת BIND 9 זכויות יוצרים (c) 2004-2013 Internet Systems Consortium, Inc. ("ISC") זכויות יוצרים (c) 2000-2003 Consortium Software Software.

אנו מקווים שתהנו לקרוא אותו.

  • מבלי לעזוב את הבית, יש לנו תיעוד רשמי שופע על ה- BIND ועל שירות ה- DNS בכלל.

אנו מגדירים את ה- BIND בסגנון דביאן

/etc/bind/named.conf "המנהל"

root @ dns: ~ # nano /etc/bind/named.conf
// זהו קובץ התצורה העיקרי של שרת ה- DNS BIND.
//
// אנא קרא /usr/share/doc/bind9/README.Debian.gz למידע על
// מבנה של קבצי תצורה של BIND בדביאן, * לפני * שתתאים אישית
// קובץ תצורה זה.
//
// אם אתה רק מוסיף אזורים, אנא עשה זאת ב /etc/bind/named.conf.local

כוללים "/etc/bind/named.conf.options";
כוללים "/etc/bind/named.conf.local";
כוללים "/etc/bind/named.conf.default-zones";

האם הכותרת שהגיבה מצריכה תרגום?

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
אפשרויות {directory "/ var / cache / bind"; // אם יש חומת אש בינך לבין שרת שמות שאתה רוצה // לדבר איתם, ייתכן שיהיה עליך לתקן את חומת האש כדי לאפשר למספר // יציאות לדבר. ראה http://www.kb.cert.org/vuls/id/800113 // אם ספק שירותי האינטרנט שלך סיפק כתובת IP אחת או יותר עבור שרתים // שמות יציבים, סביר להניח שתרצה להשתמש בהם כמעבירים. // בטל את ההערה של החסימה הבאה והוסף את הכתובות המחליפות // את מציין המיקום של all-0. // משלחים {// 0.0.0.0; //}; // ================================================== ====================== $ // אם BIND רושם הודעות שגיאה לגבי פג תוקף מפתח הבסיס, // יהיה עליכם לעדכן את המפתחות. ראה https://www.isc.org/bind-keys // ==================================== ===================================== $

    // אנחנו לא רוצים DNSSEC
        לא מאפשר dnssec;
        //אימות dnssec אוטומטי;

        auth-nxdomain לא; # תואם ל- RFC1035

 // אנחנו לא צריכים להקשיב לכתובות IPv6
        // האזנה ב- v6 {any; };
    להקשיב ב- v6 {none; };

 // לבדיקות מ- localhost ו- sysadmin
    // mediante dig desdelinux.fan axfr
    // No tenemos DNS Esclavos... hasta ahora
 העברת הרשאה {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

בכותרת המגובה של קובץ זה, הם ממליצים לכלול את האזורים המצוינים ב- RFC-1918 מתואר בתיק /etc/bind/zones.rfc1918. הכללת אזורים אלה באופן מקומי קובעת כי כל שאילתות בנוגע אליהם אינן יוצאות מחוץ לרשת המקומית לשרתי השורש, שיש לה שני יתרונות משמעותיים:

  • רזולוציה מקומית מהירה יותר עבור משתמשים מקומיים
  • זה לא יוצר תנועה מיותרת - או מזויפת - לשרתי השורש.

באופן אישי אין לי חיבור לאינטרנט לבדיקת רקורסיה או העברה. עם זאת, ומכיוון שלא ביטלנו את הרקורסיה בקובץ named.conf.options - בדרך של רקורסיה לא; אנו יכולים לכלול את האזורים הנ"ל ואחרים שאסביר להלן..

בעת התקנת BIND 9.9.7 במערכת ההפעלה FreeBSD 10.0, שהיא גם - ובדרך אגב - תוכנה חופשית, קובץ התצורה /usr/local/etc/namedb/named.conf.sample הוא מכיל סדרה שלמה של אזורים הממליצים על הגשה מקומית גם כדי להשיג את היתרונות האמורים.

כדי לא לשנות את תצורת ה- BIND המקורית בדביאן, אנו מציעים ליצור את הקובץ /etc/bind/zones.rfcFreeBSD ולכלול אותו ב /etc/bind/named.conf.local עם התוכן המצוין למטה ועם הנתיבים - שבילים לקבצים שכבר הותאמו לדביאן:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// שטח כתובות משותף (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// קישור מקומי / APIPA (RFCs 3927, 5735 ו- 6303)
אזור "254.169.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// הקצאות פרוטוקול IETF (RFC 5735 ו- 5736)
אזור "0.0.192.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// TEST-NET- [1-3] לתיעוד (RFCs 5735, 5737 ו- 6303)
אזור "2.0.192.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "100.51.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "113.0.203.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// טווח דוגמאות IPv6 לתיעוד (RFC 3849 ו- 6303)
אזור "8.bd0.1.0.0.2.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// שמות דומיינים לתיעוד ובדיקה (BCP 32)
אזור "מבחן" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "דוגמה" {master type; קובץ "/etc/bind/db.empty"; }; אזור "לא חוקי" {master master; קובץ "/etc/bind/db.empty"; }; אזור "example.com" {master type; קובץ "/etc/bind/db.empty"; }; אזור "example.net" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "example.org" {master type; קובץ "/etc/bind/db.empty"; };

// בדיקת מידוד נתבים (RFCs 2544 ו- 5735)
אזור "18.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "19.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IANA שמורה - Old Class E Space (RFC 5735)
אזור "240.in-addr.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "241.in-addr.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "242.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "243.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "244.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "245.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "246.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "247.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "248.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "249.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "250.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "251.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "252.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "253.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "254.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// IPv6 כתובות לא מוקצות (RFC 4291)
אזור "1.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "3.ip6.arpa" {מאסטר מסוג; קובץ "/etc/bind/db.empty"; }; אזור "4.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "5.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "7.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "8.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "9.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "a.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "b.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "c.ip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "d.ip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "e.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "0.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "1.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "2.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "3.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "4.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "5.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "7.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "8.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "9.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "afip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "bfip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "0.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "1.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "2.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "3.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "4.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "5.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "7.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 ו- 6303)
אזור "cfip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "dfip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; };

// קישור IPv6 מקומי (RFCs 4291 ו- 6303)
אזור "8.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "9.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "aefip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "befip6.arpa" {master type; קובץ "/etc/bind/db.empty"; };

// כתובות אתר מקומיות שהוצאו משימוש ב- IPv6 (RFCs 3879 ו- 6303)
אזור "cefip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "defip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "eefip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "fefip6.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IP6.INT הוצא משימוש (RFC 4159)
אזור "ip6.int" {master master; קובץ "/etc/bind/db.empty"; };

למרות שחיסלנו את האפשרות להאזין לבקשות IPv6 בדוגמה שלנו, כדאי לכלול את אזורי ה- IPv6 בקובץ הקודם למי שזקוק להם.

התוכן הסופי של /etc/bind/named.conf.local הוא:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // בצע כאן תצורה מקומית // // שקול להוסיף כאן את אזורי 1918, אם הם לא משמשים בארגון שלך //
כוללים "/etc/bind/zones.rfc1918"; כוללים "/etc/bind/zones.rfcFreeBSD";

// הצהרת שם, סוג, מיקום והיתר עדכון
// של אזורי רשומות ה- DNS // שני האזורים הם MASTERS
אֵזוֹר"desdelinux.אוהד" {
 סוג מאסטר;
 file "/var/lib/bind/db.desdelinux.אוהד";
};

אזור "10.168.192.in-addr.arpa" {
 סוג מאסטר;
 קובץ "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

אנו יוצרים את הקבצים עבור כל אזור

ניתן להעתיק את תוכן הקבצים בכל אזור פשוטו כמשמעו מהמאמר «DNS ו- DHCP ב- CentOS 7«, כל עוד אנו מקפידים לשנות את ספריית היעד ל / var / lib / bind:

[root@dns ~]# nano /var/lib/bind/db.desdelinux.אוהד
$TTL 3H @ IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. (1; סדרתי 1D; רענון 1H; נסה שוב 1W; פג 3H); מינימום או ; זמן מטמון שלילי לחיות; @ IN NS dns.desdelinux.אוהד. @ IN MX 10 דוא"ל.desdelinux.אוהד. @ IN TXT "DesdeLinux, הבלוג שלו המוקדש לתוכנה חופשית "; Sysadmin in A 192.168.10.1 AD-DC IN A 192.168.10.3 FILESERVER IN A 192.168.10.4 DNS IN A 192.168.10.5 PROXYWEB IN A 192.168.10.6 IN A 192.168.10.7 IN. FTPSERVER ב-A 192.168.10.8 דואר IN A 192.168.10.9

[root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$TTL 3H @ IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. (1; סדרתי 1D; רענון 1H; נסה שוב 1W; פג 3H); מינימום או ; זמן מטמון שלילי לחיות; @ IN NS dns.desdelinux.אוהד. ; 1 IN PTR sysadmin.desdelinux.אוהד. 3 IN PTR ad-dc.desdelinux.אוהד. שרת קבצים 4 IN PTR.desdelinux.אוהד. 5 IN PTR dns.desdelinux.אוהד. 6 IN PTR proxyweb.desdelinux.אוהד. בלוג 7 IN PTR.desdelinux.אוהד. 8 IN PTR ftpserver.desdelinux.אוהד. 9 בדואר PTR.desdelinux.אוהד.

אנו בודקים את התחביר של כל אזור

root@dns:~# named-checkzone desdelinux.fan /var/lib/bind/db.desdelinux.אוהד 
אזור desdelinux.fan/IN: נטען סדרתי 1 בסדר

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
אזור 10.168.192.in-addr.arpa/IN: טורי סדרתי 1 בסדר

בדיקת הגדרות ה- BIND הכלליות

root @ dns: ~ # named-checkconf -zp
  • בעקבות נוהל שינוי ה- בשם.קונף בהתאם לצרכים שלנו ולבדוק, וליצור כל קובץ אזור ולבדוק אותו, אנו בספק שנצטרך להתמודד עם בעיות תצורה גדולות. בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד. 😉

הבדיקות החזירו תוצאות משביעות רצון, לכן נוכל להפעיל מחדש את ה- BIND - בשם.

אנו מפעילים מחדש את ה- BIND ובודקים את מצבו

[root @ dns ~] # systemctl הפעל מחדש את bind9.service
[root @ dns ~] # systemctl status bind9.service
● bind9.service - שרת שם תחום BIND נטען: נטען (/lib/systemd/system/bind9.service; מופעל) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf פעיל: פעיל (פועל) מאז יום שני 2017-02-05 07:45:03 EST; לפני 5 שניות Docs: man: called (8) תהליך: 1345 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) PID ראשי: 1350 (בשם) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / called -f -u bind 05 פברואר 07:45:03 dns בשם [1350]: אזור 1.f.ip6.arpa/IN: טעון סדרתי 1 פבואר 05 07:45:03 dns בשם [1350]: אזור afip6.arpa/IN: נטען סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור localhost / IN: טעון סדרתי 2 בפברואר 05 07:45:03 dns בשם [1350]: מבחן אזור / IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור לדוגמא / IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: zone 5.efip6.arpa/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור bfip6.arpa/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור ip6.int/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: כל האזורים הנטענים בפברואר 05 07:45:03 dns בשם [1350]: פועל

אם נקבל שגיאה כלשהי בפלט של הפקודה האחרונה, עלינו להפעיל מחדש את ה- בשם. שירות ובדוק מחדש את שלך מצב. אם השגיאות נעלמו, השירות התחיל בהצלחה. אחרת, עלינו לבצע סקירה יסודית של כל הקבצים ששונו ויצרו, ולחזור על הנוהל.

בדיקות

ניתן לבצע את הבדיקות על אותו שרת או על מכונה המחוברת לרשת LAN. אנחנו מעדיפים לעשות אותם מהקבוצה מנהל מערכת.desdelinux.אוהד אליהם נתנו אישור מפורש לבצע העברות אזוריות. הקובץ / Etc / resolv.conf של אותו צוות הוא:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager desdelinuxשרת שמות .fan 192.168.10.5

buzz@sysadmin:~$ לחפור desdelinux.מעריץ axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.מעריץ axfr ;; אפשרויות גלובליות: +cmd
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 1 86400 3600 604800 10800
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד.
desdelinux.אוהד. דוא"ל 10800 IN MX 10.desdelinux.אוהד.
desdelinux.אוהד. 10800 IN TXT"DesdeLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.אוהד. 10800 בבלוג 192.168.10.3.desdelinux.אוהד. 10800 IN A 192.168.10.7 דנס.desdelinux.אוהד. שרת קבצים 10800 IN TO 192.168.10.5.desdelinux.אוהד. 10800 IN A 192.168.10.4 ftpserver.desdelinux.אוהד. 10800 בדואר 192.168.10.8.desdelinux.אוהד. 10800 IN A 192.168.10.9 proxyweb.desdelinux.אוהד. 10800 IN A 192.168.10.6 מנהל מערכת.desdelinux.אוהד. 10800 IN TO 192.168.10.1
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; מתי: א 'בפברואר 05 07:49:01 EST 2017
;; גודל XFR: 13 רשומות (הודעות 1, בתים 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; אפשרויות גלובליות: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
10.168.192.in-addr.arpa. 10800  IN  NS  dns.desdelinux.אוהד. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.אוהד. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.אוהד. 4.10.168.192.in-addr.arpa. שרת קבצים 10800 IN PTR.desdelinux.אוהד. 5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.אוהד. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.אוהד. 7.10.168.192.in-addr.arpa. בלוג 10800 IN PTR.desdelinux.אוהד. 8.10.168.192.in-addr.arpa. שרת ftp 10800 IN PTR.desdelinux.אוהד. 9.10.168.192.in-addr.arpa. 10800 בדואר PTR.desdelinux.אוהד. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
;; Query time: 1 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; מתי: א 'בפברואר 05 07:49:47 EST 2017
;; גודל XFR: 11 רשומות (הודעות 1, בתים 333)

buzz@sysadmin:~$ לחפור ב-SOA desdelinux.אוהד
buzz@sysadmin:~$ לחפור ב-MX desdelinux.fan buzz@sysadmin:~$ לחפור ב-TXT desdelinux.אוהד

buzz @ sysadmin: ~ $ proxyweb המארח
proxyweb.desdelinuxל-.fan יש כתובת 192.168.10.6

buzz @ sysadmin: ~ $ ftpserver
ftpserver.desdelinuxל-.fan יש כתובת 192.168.10.8

buzz @ sysadmin: ~ $ מארח 192.168.10.9
9.10.168.192.in-addr.arpa domain name pointer mail.desdelinux.אוהד.

... וכל בדיקה אחרת שאנחנו צריכים.

אנו מתקינים ומגדירים את התצורה של DHCP

ב- Debian שירות DHCP מסופק על ידי החבילה שרת isc-dhcp:

root @ dns: ~ # aptitude search isc-dhcp
i isc-dhcp-client - לקוח DHCP לקבלת כתובת IP אוטומטית p isc-dhcp-client-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (ניפוי לקוחות) i isc-dhcp-common - קבצים נפוצים המשמשים את כל חבילות isc-dhcp p isc-dhcp-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (סמל ניפוי באגים p isc-dhcp-dev - API לגישה ולשינוי שרת DHCP ומצב לקוח p isc-dhcp-ממסר - ממסר ISC DHCP daemon p isc-dhcp-relay-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (ניפוי באגים) p isc-dhcp-server - שרת ISC DHCP להקצאת כתובת IP אוטומטית p isc-dhcp-server-dbg - ISC DHCP server הקצאת כתובות IP אוטומטית (ניפוי שרתים) p isc-dhcp-server-ldap - שרת DHCP המשתמש ב- LDAP כמסמך אחורי

root @ dns: ~ # aptitude להתקין שרת isc-dhcp

לאחר התקנת החבילה, -omnipresent- system מתלונן שהוא לא יכול היה להתחיל את השירות. ב- Debian עלינו להצהיר במפורש על איזה ממשק רשת היא תשכיר כתובות IP ותגיב לבקשות, ה- שרת isc-dhcp:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # באילו ממשקים על שרת DHCP (dhcpd) לשרת בקשות DHCP? # הפרד ממשקים מרובים עם רווחים, למשל "eth0 eth1".
ממשקים = ​​"eth0"

תיעוד מותקן

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
סה"כ 44 -rw-r - r-- שורש 1 1235 14 דצמבר 2014 זכויות יוצרים -rw-r - r-- שורש שורש 1 26031 בפברואר 13 changelog.Debian.gz drwxr-xr-x 2015 שורש שורש 2 פברואר 4096 5:08 דוגמאות -rw-r - r-- 10 שורש שורש 1 592 דצמבר 14 NEWS.Debian.gz -rw-r - r-- 2014 שורש שורש 1 1099 דצמבר 14 README.Debian

מקש TSIG "dhcp-key"

מומלץ לייצר את המפתח TSIG o חתימה על עסקה - Tכופר SIGטבע, לאימות עדכוני DNS דינמיים על ידי DHCP. כפי שראינו במאמר הקודם «DNS ו- DHCP ב- CentOS 7אנו רואים כי יצירת מפתח זה אינה כה חיונית, במיוחד כאשר שני השירותים מותקנים על אותו שרת. עם זאת, אנו מציעים את ההליך הכללי לייצורו האוטומטי:

root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n משתמש dhcp-key
מקש Kdhcp. + 157 + 11088

root @ dns: ~ # חתול Kdhcp-key. +157 + 11088. פרטי 
פורמט מפתח פרטי: v1.3 אלגוריתם: 157 (HMAC_MD5) מפתח: TEqfcx2FUMYBQ1hA1ZGelA == ביטים: AAA = נוצר: 20170205121618 פרסם: 20170205121618 הפעל: 20170205121618

root @ dns: ~ # nano dhcp.key
מפתח dhcp-key {
        אלגוריתם hmac-md5;
        סוד "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key שורש @ dns: ~ # ls -l /etc/bind/*.key
-rw-r ----- 1 שורש לאגד 78 פברואר 5 08:21 /etc/bind/dhcp.key -rw-r ----- 1 לאגד לאגד 77 פברואר 4 11:47 / etc / bind / rndc .מַפְתֵחַ
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-rw-r ----- 1 שורש שורש 78 בפברואר 5 08:21 /etc/dhcp/dhcp.key

עדכון אזורי ה- BIND באמצעות מקש dhcp

root @ dns: ~ # nano /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";
include "/etc/bind/zones.rfcFreeBSD";
include "/etc/bind/dhcp.key";

// Declaración del nombre, tipo, ubicación, y permiso de actualización
// de las Zonas de Registros DNS
// Ambas Zonas son MAESTRAS
zone "desdelinux.fan" {
    type master;
    file "/var/lib/bind/db.desdelinux.אוהד";
 allow-update {key dhcp-key; };
}; אזור "10.168.192.in-addr.arpa" {סוג מאסטר; קובץ "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update {key dhcp-key; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

אנו מגדירים את שרת ה- isc-dhcp

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
ddns-update-style interim;
ddns-updates on;
ddns-domainname "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; התעלם מעדכוני לקוח; סמכותי; אפשרות העברת ip כבויה; אפשרות שם תחום "desdelinux.fan";

include "/etc/dhcp/dhcp.key";

zone desdelinux.fan. {
        primary 127.0.0.1;
        key dhcp-key;
}
zone 10.168.192.in-addr.arpa. {
        primary 127.0.0.1;
        key dhcp-key;
}

shared-network redlocal {
        subnet 192.168.10.0 netmask 255.255.255.0 {
                option routers 192.168.10.1;
                option subnet-mask 255.255.255.0;
                option broadcast-address 192.168.10.255;
                option domain-name-servers 192.168.10.5;
                option netbios-name-servers 192.168.10.5;
                range 192.168.10.30 192.168.10.250;
        }
}
# FIN dhcpd.conf

אנו בודקים את הקובץ dhcpd.conf

root @ dns: ~ # dhcpd -t
קונסורציום מערכות אינטרנט באינטרנט שרת DHCP 4.3.1 זכויות יוצרים 2004-2014 קונסורציום מערכות אינטרנט. כל הזכויות שמורות. למידע, אנא בקר בכתובת https://www.isc.org/software/dhcp/ קובץ תצורה: /etc/dhcp/dhcpd.conf קובץ מסד נתונים: /var/lib/dhcp/dhcpd. משכיר קובץ PID: / var / run /dhcpd.pid

אנו מפעילים מחדש את ה- BIND ומתחילים את שרת isc-dhcp

root @ dns: ~ # systemctl הפעל מחדש את bind9.service 
root @ dns: ~ # systemctl status bind9.service 

root @ dns: ~ # systemctl התחל isc-dhcp-server.service
root @ dns: ~ # systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: שרת DHCP טעון: נטען (/etc/init.d/isc-dhcp-server) פעיל: פעיל (פועל) מאז א '2017-02-05 08:41:45 EST; לפני 6 שניות תהליך: 2039 ExecStop = / etc / init.d / isc-dhcp-server stop (code = exited, status = 0 / SUCCESS) תהליך: 2049 ExecStart = / etc / init.d / isc-dhcp-server start ( קוד = יציאה, סטטוס = 0 / SUCCESS) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 Feb 05 08:41:43 dns dhcpd [2056]: כתב 0 קובץ שכירות להשכרה. 05 בפברואר 08:41:43 dns dhcpd [2057]: שירות התחלת השרת. 05 בפברואר 08:41:45 dns isc-dhcp-server [2049]: הפעלת שרת ISC DHCP: dhcpd.

בדיקות עם לקוחות

הקמנו לקוח עם מערכת ההפעלה Windows 7, בשם "LAGER".

buzz @ sysadmin: ~ $ לאגר מארח
LAGER.desdelinuxל-.fan יש כתובת 192.168.10.30

buzz@sysadmin:~$ dig in txt lager.desdelinux.אוהד

אנו משנים את שמו של אותו לקוח ל"שבע "ומפעילים מחדש את הלקוח

buzz @ sysadmin: ~ $ לאגר מארח
;; זמן החיבור נגמר; לא ניתן היה להגיע לשרתים

זמזום@sysadmin: ~ $ מארח שבעה
שבע.desdelinuxל-.fan יש כתובת 192.168.10.30
buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer seven.desdelinux.אוהד.

buzz@sysadmin:~$ dig in txt seven.desdelinux.אוהד

שינינו את שמו של לקוח Windows 7 בחזרה ל- "win7"

buzz @ sysadmin: ~ $ מארח שבעה
;; זמן החיבור נגמר; לא ניתן היה להגיע לשרתים

buzz @ sysadmin: ~ $ מארח win7
win7.desdelinuxל-.fan יש כתובת 192.168.10.30
buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa domain name pointer win7.desdelinux.אוהד.

buzz@sysadmin:~$ dig in txt win7.desdelinux.אוהד
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> in txt win7.desdelinux.fan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11218
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;win7.desdelinux.fan.       IN  TXT

;; ANSWER SECTION:
win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

;; AUTHORITY SECTION:
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד. ;; סעיף נוסף: dns.desdelinux.fan. 10800   IN  A   192.168.10.5

;; Query time: 0 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:13:20 EST 2017
;; MSG SIZE  rcvd: 129

buzz@sysadmin:~$ לחפור desdelinux.מעריץ axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.מעריץ axfr ;; אפשרויות גלובליות: +cmd
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 8 86400 3600 604800 10800
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד.
desdelinux.אוהד. דוא"ל 10800 IN MX 10.desdelinux.אוהד.
desdelinux.אוהד. 10800 IN TXT"DesdeLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.אוהד. 10800 בבלוג 192.168.10.3.desdelinux.אוהד. 10800 IN A 192.168.10.7 דנס.desdelinux.אוהד. שרת קבצים 10800 IN TO 192.168.10.5.desdelinux.אוהד. 10800 IN A 192.168.10.4 ftpserver.desdelinux.אוהד. 10800 בדואר 192.168.10.8.desdelinux.אוהד. 10800 IN A 192.168.10.9 proxyweb.desdelinux.אוהד. 10800 IN A 192.168.10.6 מנהל מערכת.desdelinux.אוהד. 10800 IN TO 192.168.10.1
win7.desdelinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.desdelinux.fan. 3600    IN  A   192.168.10.30
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
;; Query time: 2 msec
;; SERVER: 192.168.10.5#53(192.168.10.5)
;; WHEN: Sun Feb 05 09:15:13 EST 2017
;; XFR size: 15 records (messages 1, bytes 453)

בפלט לעיל הדגשנו על נוֹעָז ה TTL -בשניות - למחשבים עם כתובות IP המוענקות על ידי שירות DHCP, אלה שיש להם הצהרה מפורשת על ה- TTL 3600 שניתנה על ידי ה- DHCP. כתובות IP קבועות מונחות על ידי $ TTL של 3 שעות -3 שעות = 10800 שניות - המוצהר ברשומת ה- SOA של כל קובץ אזור.

הם יכולים גם לבדוק את האזור ההפוך.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

פקודות מעניינות במיוחד הן:

[root@dns ~]# named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
דל desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del LAGER.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  A   192.168.10.30
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
del seven.desdelinux.fan.   3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
del desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 7 86400 3600 604800 10800
add desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 8 86400 3600 604800 10800
add win7.desdelinux.fan.    3600    IN  A   192.168.10.30
add win7.desdelinux.fan.    3600    IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 1 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 2 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR LAGER.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 3 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 4 86400 3600 604800 10800
del 30.10.168.192.in-addr.arpa. 3600 IN PTR seven.desdelinux.fan.
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
del 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 5 86400 3600 604800 10800
add 10.168.192.in-addr.arpa. 10800  IN  SOA dns.desdelinux.אוהד. root.dns.desdelinux.fan. 6 86400 3600 604800 10800
add 30.10.168.192.in-addr.arpa. 3600 IN PTR win7.desdelinux.אוהד.

[root @ dns ~] # journalctl -f

שינוי ידני של קבצי אזורים

לאחר ש- DHCP נכנס למשחק העדכון הדינמי של קבצי אזור ה- BIND, אם נצטרך לשנות ידנית קובץ אזור, עלינו לבצע את ההליך הבא, אך לא לפני שנדע מעט יותר על פעולת האזור. תוֹעֶלֶת rndc -איש rndc- לשליטה של בשם.

  • הקפאת rndc [אזור [מחלקה [תצוגה]]], משעה את העדכון הדינמי של אזור. אם לא צוין אחד מהם, הכל יקפא. הפקודה מאפשרת עריכה ידנית של האזור הקפוא או של כל האזורים. כל עדכון דינמי יידחה כשהוא מוקפא.
  • להפשיר rndc [אזור [מחלקה [תצוגה]]], מאפשר עדכונים דינמיים באזור קפוא בעבר. שרת ה- DNS טוען מחדש את קובץ האזור מהדיסק, ועדכונים דינמיים מופעלים מחדש לאחר השלמת הטעינה מחדש.

אזהרות שיש לנקוט כאשר אנו עורכים ידנית קובץ אזור? אותו הדבר כאילו היינו יוצרים אותו, מבלי לשכוח להגדיל את המספר הסידורי ב -1 או סידורי לפני שמירת הקובץ עם השינויים הסופיים.

אנו מקפיאים את האזורים

כאשר אנו הולכים לבצע שינויים באזורים קדימה והפוך בזמן ש- DNS ו- DHCP פועלים, הדבר הבריא ביותר לעשות הוא להקפיא את אזורי ה- DNS:

[root @ dns ~] # הקפאת rndc

לה זונה desdelinux.אוהד מכיל את הרשומות הבאות:

[root@dns ~]# cat /var/lib/bind/db.desdelinux.אוהד
$ORIGIN .
$TTL 10800      ; 3 hours
desdelinux.fan          IN SOA  dns.desdelinux.אוהד. root.dns.desdelinux.fan. (
                                8; סידורי
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
                        MX      10 mail.desdelinux.fan.
                        TXT     "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc                   A       192.168.10.3
blog                    A       192.168.10.7
dns                     A       192.168.10.5
fileserver              A       192.168.10.4
ftpserver               A       192.168.10.8
mail                    A       192.168.10.9
proxyweb                A       192.168.10.6
sysadmin                A       192.168.10.1
$TTL 3600       ; 1 hour
win7                    A       192.168.10.30
                        TXT     "31b7228ddd3a3b73be2fda9e09e601f3e9"

בואו נוסיף את השרת «חוף»עם ה- IP 192.168.10.10:

root@dns:~# nano /var/lib/bind/db.desdelinux.אוהד
$ORIGIN .
$TTL 10800  ; 3 hours
desdelinux.fan      IN SOA  dns.desdelinux.אוהד. root.dns.desdelinux.fan. (
                9; סידורי
                86400      ; refresh (1 day)
                3600       ; retry (1 hour)
                604800     ; expire (1 week)
                10800      ; minimum (3 hours)
                )
            NS  dns.desdelinux.fan.
            MX  10 mail.desdelinux.fan.
            TXT "DesdeLinux, su Blog dedicado al Software Libre"
$ORIGIN desdelinux.fan.
ad-dc           A   192.168.10.3
blog            A   192.168.10.7
dns         A   192.168.10.5
fileserver      A   192.168.10.4
ftpserver       A   192.168.10.8
mail            A   192.168.10.9
proxyweb        A   192.168.10.6
חוף א '192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; 1 שעה win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

אנו אמורים לשנות גם את האזור ההפוך:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ORIGIN .
$TTL 10800      ; 3 hours
10.168.192.in-addr.arpa IN SOA  dns.desdelinux.אוהד. root.dns.desdelinux.fan. (
                                7; סידורי
                                86400      ; refresh (1 day)
                                3600       ; retry (1 hour)
                                604800     ; expire (1 week)
                                10800      ; minimum (3 hours)
                                )
                        NS      dns.desdelinux.fan.
$ORIGIN 10.168.192.in-addr.arpa.
1                       PTR     sysadmin.desdelinux.fan.
3                       PTR     ad-dc.desdelinux.fan.
$TTL 3600       ; 1 hour
30                      PTR     win7.desdelinux.fan.
$TTL 10800      ; 3 hours
4                       PTR     fileserver.desdelinux.fan.
5                       PTR     dns.desdelinux.fan.
6                       PTR     proxyweb.desdelinux.fan.
7                       PTR     blog.desdelinux.fan.
8                       PTR     ftpserver.desdelinux.fan.
9                       PTR     mail.desdelinux.אוהד.
10                      PTR     shorewall.desdelinux.אוהד.

אנו מפשירים ומטעינים את האזורים

[root @ dns ~] # rndc הפשרה

root @ dns: ~ # journalctl -f
-- Logs begin at dom 2017-02-05 06:27:10 EST. --
feb 05 12:00:29 dns named[1996]: received control channel command 'thaw'
feb 05 12:00:29 dns named[1996]: thawing all zones: success
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone 10.168.192.in-addr.arpa/IN: loaded serial 7
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: journal file is out of date: removing journal file
feb 05 12:00:29 dns named[1996]: zone desdelinux.fan/IN: סידורי 9 נטען

buzz @ sysadmin: קיר החוף המארח
shorewall.desdelinuxל-.fan יש כתובת 192.168.10.10

buzz @ sysadmin: ~ $ מארח 192.168.10.10
10.10.168.192.in-addr.arpa domain name pointer shorewall.desdelinux.אוהד.

buzz@sysadmin:~$ לחפור desdelinux.מעריץ axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr

root @ dns: ~ # journalctl -f
....
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR started
feb 05 12:03:05 dns named[1996]: client 192.168.10.1#37835 (desdelinux.fan): transfer of 'desdelinux.fan/IN': AXFR ended
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR started
feb 05 12:03:20 dns named[1996]: client 192.168.10.1#46905 (10.168.192.in-addr.arpa): transfer of '10.168.192.in-addr.arpa/IN': AXFR ended

תקציר

עד כה יש לנו שרת DNS של Caché, שתומך ב- Recursion, שהוא סמכותי לאזור desdelinux.אוהד, וזה מאפשר ל- DHCP לעדכן את אזורי ההעברה והאחור עם שמות המחשבים וה- IP שהוא מעניק.

מאמר זה ושני הקודמים «DNS ו- DHCP ב- openSUSE 13.2 'הארלקין'"ו-"DNS ו- DHCP ב- CentOS 7»הם כמעט אחד. תוכלו למצוא מושגים כלליים אודות DNS ו- DHCP, והמיוחד בכל הפצה בכל אחד מהם. הם א נקודת כניסה לנושא, ובסיס להתפתחויות מורכבות יותר.

אנו לא נהסס להתעקש - שוב - על חשיבות קריאת התיעוד הטכני המותקן כברירת מחדל בכל חבילה, לפני הגדרת כל פרט. אנחנו אומרים את זה מנסיוננו שלנו.

המסירה הבאה

זה כנראה "Microsoft® Active Directory + BIND"


23 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   לְטָאָה דיג'ו

    איזו קטע הדרכה ששלחת לשותף, אני לא יודע מאיפה כל כך הרבה יכולת לפרט ולסדר בנושאים מורכבים כמו זה.

    ברכותיי הכנות ביותר, כבוד להיות מסוגל לקרוא אותך

  2.   באפו דיג'ו

    אני חייב לומר לך שהמדריכים שאתה מפרסם הם HOSTIA, אני אוהב אותם.
    אני תמיד מחכה לפרק הבא שלך.
    כשתסיים, תכניס אותו לקובץ PDF? זהו תיעוד שלדעתי הוא בעל ערך רב, הוא ראוי להישמר היטב.
    תודה רבה וברכה גדולה.
    באפו.

  3.   פדריקו דיג'ו

    באפו: תודה רבה על הערכתך והערתך. התגמול הטוב ביותר עבור הזמן, העבודה והמאמץ שאני מקדיש לכל מורה הוא ההערה. בין אם זה חיובי או שלילי, אבל זה הסימן שהוא לא נעלם מעיניו. אני מניח שהרבה קוראים פשוט מורידים ושומרים, או מסמנים אותו בסימניות. אבל אני יכול רק להניח שעל פי מספר הביקורים. חבל שלא רבים מגיבים, אם כי אני יודע שהנושאים שאני עוסק בהם הם ביסודם של סיסדמינים. ברכות גם לך ואני אחכה לך במאמרים הבאים שלי.

  4.   פדריקו דיג'ו

    לטאה: תודה על הערכתך הכנה שתמיד אזכור.

  5.   ארטוס דיג'ו

    איך תהיה התצורה אם יהיו לי שני ממשקי רשת במקרה של bind
    תודה וברכה על החומר.

  6.   פדריקו דיג'ו

    ארטוס: תודה על תגובתך וברכותיך.
    התשובה לשאלתך ראויה למאמר נפרד על השימוש ב- Views - צפיות ב- BIND.

    במקרה שיש לך אזור מוסמך באחריותך, ואתה רוצה שיהיה לך BIND יחיד להשתתף בשאילתות פנימיות מה- LAN שלך ובשאילתות חיצוניות מהאינטרנט - עם ה- BIND המוגן על ידי חומת אש כמובן - מומלץ להשתמש ב צפיות.

    תצוגות, למשל, מאפשרות לך להציג תצורה עבור רשת ה- SME שלך ואחרת עבור האינטרנט. כאשר איננו מגדירים תצוגה כלשהי במפורש, ה- BIND יוצר במשתמע תצוגה אחת המציגה את כל המחשבים המתייעצים איתה.

    כשימוש בתצוגות אני רואה בכך נושא מתקדם puede ולכתוב מאמר על כך, לפני או אחרי ההודעה שהובטחה שהוכרזה בסיומה.

    כעת, אם יש לך שני ממשקי רשת הפונים לרשת ה- SME שלך - נוצרו על ידי שתי רשתות פרטיות - מכל סיבה שהיא של עיצוב, איזון עומס, מספר ציוד או אחר, ואתה רוצה להציג את כל האזורים שלך לשתי הרשתות, אתה יכול לפתור בהצהרה:

    תקשיב {
    127.0.0.1;
    ממשק IP פרטי;
    ממשק IP-Private2;
    };

    באופן זה, ה- BIND מאזין לבקשות בשני הממשקים.

    אם כל המחשבים שלך נמצאים ברשת פרטית Class C 192.168.10.0/255.255.240.0 - עד 4094 מארחים - למשל, אתה יכול גם להשתמש בהצהרה:

    האזנה {127.0.0.1; 192.168.10.0/20; };

    ואתה ממשיך להציג תצוגה יחידה לכל המחשבים המחוברים לרשת המקומית הפרטית שלך.

    אני מקווה שהתשובה הקצרה שלי תעזור לך. ברכות והצלחה.

    1.    ארטוס דיג'ו

      תודה על התשובה כל כך מהר. אתה מבין שאני מגדיר שרת דביאן עם גרסה 9 (Strech), יש לו DNS, dhcp ודיונון כ- proxy, עבור מסנני התוכן אשתמש ב- e2guardian.

      למחשב שני ממשקי רשת, שיאפשרו למחשבים ברשת לצאת לאינטרנט.
      נתב: 192.168.1.1
      eth0: 192.168.1.55 (דרך ממשק זה הוא יעבור לאינטרנט)
      eth1:192.168.100.1 (LAN)

      הרעיון הוא שהמחשבים יכולים ללכת לאינטרנט דרך שרת proxy זה, שיספק גם ips ו- dns למחשבים ברשת הפנימית.

      במקרה זה, אני לא זקוק לשרת כדי להשתתף בבקשות dns דרך ממשק eth0 (אני לא רוצה להציג את האזורים שלי לשתי הרשתות, רק לרשת LAN שלי); אז אם אסיר את ממשק ה- IP1 הפרטי, האם זה יספיק?

      שוב תודה ובברכה.

  7.   אדוארדו נואל דיג'ו

    מאמר טוב מאוד ידידי
    יש לך את ה- BIND בעורקים שלך, גם אם אתה אומר וחושב אחרת 🙂
    פליסידדס

  8.   פדריקו דיג'ו

    Artus: הסר את ממשק 192.168.1.55 מהצהרת האזנה והלך. או הכריזו רק על האזנה {127.0.0.1; 192.168.100.1; }; וזה הכל. ה- BIND יקשיב רק בממשקים אלה.

    1.    ארטוס דיג'ו

      בסדר תודה.

  9.   פדריקו דיג'ו

    אדוארדו: ידידי, אני עדיין מעדיף את dnsmasq עבור רשתות "קטנות", ונצטרך לראות כמה "גדולים" הם יכולים להיות. 😉 למרות שאני מזהה ששרת ה- BIND + isc-dhcp הוא שרת ה- BIND + isc-dhcp. 😉

  10.   פדריקו דיג'ו

    אדוארדו: שכחתי לומר לך שהמומחה ל- BIND, הוא אתה, מאסטר.

  11.   מטלטל דיג'ו

    שנים שעשיתי שימוש ב- BIND ואני ממשיך ללמוד עם הכתיבה שלך, תודה רבה לך פדריקו, עם סדרת ההדרכות הזו פוטר sysadmin. אני חוזר ואני חוזר ואומר, הרעיון להקיף את כל הידע הזה בפורמט נייד רשמי הוא לא רע בכלל, תן לו ראש שמשהו טוב מאוד יכול לצאת. ברכת שלום.

  12.   פדריקו דיג'ו

    חבר דנטר: ההערות שלך מתקבלות תמיד היטב. להקיף הכל קשה וכמעט בלתי אפשרי, כי נושא חדש תמיד עולה. לפי פרקים, זה הולך וזה אפשרי. מאמר כלשהו יצטרך לשכתב כדי לקבל עקביות בתצורות. אני לא מבטיח כלום, אבל נראה.

  13.   איסמעאל אלווארז וונג דיג'ו

    שלום פדריקו, הנה התגובות שלי:
    1) הדגש שאתה שם על "... קרא לפני שתגדיר את ה- BIND ואפילו לפני שאתה מחפש באינטרנט מאמרים הקשורים ל- BIND ו- DNS ..." מחפש אותם במחשב שלנו וכל זה "... בלי לצאת מהבית ..." כדי להשתמש שלך מילים משלו.
    2) בפוסט זה אנו מוצאים תיאוריה נוספת על DNS שמשלימה את זו שסופקה בשני ההודעות הקודמות ותמיד זוכה להערכה; לדוגמא: DNSSEC (הרחבות אבטחה של מערכת שמות תחומים) ולמה הוא משמש; כמו גם את תוכנית התצורה של BIND עם קבצי התצורה הסטטיים שלה, קבצי אזור לשרתי השורשים ואזורי ההעברה והאחור של localhost בדביאן.
    3) נהדר הקצה של אי השבתת רקורסיה (באמצעות השורה "רקורסיה לא;") ואז כלול בקובץ התצורה /etc/bind/named.conf.local, את קבצי האזור / etc / bind / zones. rfc1918 ו- /etc/bind/zones.rfcFreeBSD כדי למנוע כל שאילתות הקשורות אליהם להשאיר את הרשת המקומית לשרתי השורש.
    4) בשונה מההודעה הקודמת על CentOS 7, בהודעה זו אם מפתח TSIG "dhcp-key" נוצר לעדכוני DNS דינמיים מ- DHCP; כדי לאפשר זאת בקובץ /etc/bind/named.conf.local, כלול "allow-update {key dhcp-key; }; » בתצורת האזורים הישירים וההפוכים של התחום שלנו.
    5) הפרט הנהדר (שווה לפוסט הקודם ב- CentOS 7) של כל מה שקשור לבדיקות הפעולה של DNS, DHCP ועם הלקוחות.
    6) נהדר הקצה לשימוש בפקודה "התקן" (אם איך אתה כותב את זה, אני לא מתכוון לאפשרות של אותו שם המשמשת בפקודות אחרות), לא ידעתי את זה, כי זה אמיתי "3 ב -1" העתקות קבוצות (cp), הקמת בעלים (chown) והרשאות (chmod).
    . לבסוף, תגובתך ל- Artus בנוגע לשימוש ב- Views in BIND טובה מאוד, האחת עבור ה- LAN (רשת פרטית) והשנייה עבור האינטרנט כך שניתן יהיה להתייעץ עם השירותים הציבוריים בלבד. אני מקווה שבהמשך יהיה לך זמן להכין פוסט מכיוון שהוא נושא יישום מעשי מאוד עבור סיסדמינים רבים.
    שום דבר פדריקו שאני ממשיך להתלהב יותר מסדרת PYMES ואני מצפה לפוסט הבא "Microsoft Active Directory + BIND"

  14.   פדריקו דיג'ו

    וונג: עמית וחבר, ההערות שלך משלימות את המאמרים שלי ומדגימות שהן מובנות. לפקודה "התקן" יש אפשרויות רבות נוספות. שאילתא איש להתקין. תודה לאלף על תגובה !!!

  15.   88 דיג'ו

    עדיין לא קראתי את ההערות, אעשה זאת לאחר שאאמר את הקריטריונים שלי.
    עשית והשגת הרבה, נתת לנו אור אך לא זה שנראה בקצה המנהרה כשאין תקווה + כמו שאנחנו אומרים בדרך כלל; לא שלא בכדי, נתת את האור המלא כדי שתוכל לומר "בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד", כפי שאתה מסביר בפוסט.
    POST TRUNK ויחד עם הקודמים לכמה הפצות מפורסמות יותר. עמדת בהרחבת המושגים והתיאוריה שבהזדמנויות רבות גובה מאתנו את מחירם. קראתי בפירוט, ברוגע ואי אפשר שלא להגיב ולהרגיש לגמרי אסיר תודה על מסירות ומסירות כאלה.
    ללא התייחסות נוספת, כולנו מאחלים לך בריאות ושתמשיך לתרום; אנו מודים לך ושיהיה לך מזל, כלכלה, בריאות (אנו מאחלים לך כפול) ואהבה (עם סנדרה ליותר, חחח).
    אני יודע שהתגובה חורגת מעט מתוכן ההודעה, היא עוברת לאישי מכיוון שאנחנו חברים ואני מעריץ את המסירה שלך ללא אנוכיות. אף אחד אף אחד לא עושה את מה שאתה עושה לאלו מאיתנו שרוצים ללמוד יותר ויותר ויש לנו את האחריות לנהל רשתות קטנות ובינוניות על כתפינו, משימה לא קלה.
    Sl2 כולם.

  16.   פדריקו דיג'ו

    crespo88: תודה רבה על הערכותיך לגבי מאמרים אחרים שפורסמו. חלק מהקוראים עשויים לחשוב שאני נותן הכל, כשזה לא נכון. אני תמיד מתייחס לנקודת כניסה, גם אם הדוגמאות פונקציונליות לחלוטין. BIND הוא התעשייה האלקטרונית ו- DHCP לא נמצא הרחק מאחור. כדי להכיר אותם מעל הממוצע, עליך לעבור תואר שני באוניברסיטת הלסינקי, 😉

  17.   מיגל גוארמטו דיג'ו

    אני מוצא את הנושא הזה מעניין וחשוב מאוד. אני מעוניין במחקר זה על כל מה שמנהל רשתות לינוקס ובעיקר שרתים: dns, dhcp דינמי וסטטי ורשתות וירטואליות, bin9, סמבה, שרתי הדפסה, ldap, פיקוח רשת עם יישומים מאגרי מידע ליישומי מתכנתים ו- vlan וכו '. לכן זה חשוב והטיפים האלה טובים מאוד ועם פרקטיקות ודוגמאות.

  18.   פדריקו דיג'ו

    היי מיגל !!!
    תודה על התגובה ואני מקווה שהסדרה תעזור לך במה שמעניין אותך. בברכה.

  19.   חורחה דיג'ו

    תודה רבה על המאמר פדריקו, הוא מראה שאתה יודע על דביאן. חיבוק.

  20.   פדריקו דיג'ו

    תודה רבה חורחה על תגובתך. מקווה שהמאמרים שלי יעזרו לך.

  21.   אולם פבלו ראול ורגס דיג'ו

    תודה רבה על הפוסט המתועד היטב ודוחק בנו לקרוא, לקרוא ולקרוא שוב. עכשיו עם הפוסט הבא שאתה מתכוון לפרסם, הייתי רוצה שתקח בחשבון את נקודות ההתכנסות שיהיו:
    Active Directory של מיקרוסופט עם Samba4 כ- Active Directory

    חוץ מזה רציתי להתייעץ עם הדברים הבאים:
    איך היישום של Bind + Isc-dhcp יהיה ב- FW ב- dmz שבו בקר התחום יהיה ב- dmz עם סמבה 4 לספירה