DNS ו- DHCP ב- Debian 8 "ג'סי" - רשתות SMB

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. לאחר צמד המאמרים הקודמים בנושא מערכת Domain Name ו - פרוטוקול תצורת מארח דינמי פורסם ב "DNS ו- DHCP ב- openSUSE 13.2 'הארלקין'"ו-"DNS ו- DHCP ב- CentOS 7«, שניהם מהסדרה רשתות קטנות ובינוניות, עלינו להגדיר שירותים אלה ב- Debian.

אנו חוזרים על כך שנקודת מוצא טובה ללמוד על המושגים התיאורטיים של DNS ו- DHCP היא ויקיפדיה.

אינדקס

התקנת מערכת ההפעלה

נתחיל מהתקנה בסיסית של שרת עם מערכת ההפעלה "ג'סי" של דביאן 8 מבלי להתקין שום סביבה גרפית או תוכנית אחרת. מכונה וירטואלית עם זיכרון RAM של 512 מגה-בייט וכונן קשיח של 20 ג'יגה היא די והותר.

בתהליך ההתקנה - במצב טקסט רצוי - ובעקבות סדר המסכים בחרנו בפרמטרים הבאים:

  • שפה: ספרדית - ספרדית
  • מדינה, טריטוריה או אזור: ארה"ב
  • מפת מקשים לשימוש: אנגלית אמריקאית
  • הגדר את הרשת באופן ידני:
    • כתובת IP: 192.168.10.5
    • מסיכת רשת: 255.255.255.0
    • שער: 192.168.10.1
    • כתובות שרת שמות: 127.0.0.1
    • שם המכונה: dns
    • שם דומיין: desdelinux.fan
  • סיסמת משתמש סופר: סוקלב (ואז בקש אישור)
  • שם מלא למשתמש החדש: Debian מערכת הפעלה ראשונה באז
  • שם משתמש לחשבון: באז
  • בחר סיסמה עבור המשתמש החדש: סוקלב (ואז בקש אישור)
  • בחר את אזור הזמן שלך: מזרח
  • שיטת חלוקה: מודרך - השתמש בדיסק כולו
    • בחר דיסק למחיצה: דיסק וירטואלי 1 (vda) - 21.5 GB Virto Block Device
    • ערכת חלוקה: כל הקבצים במחיצה אחת (מומלץ למתחילים חדשים).
    • סיים את המחיצה וכתב שינויים לדיסק
    • האם אתה רוצה לכתוב את השינויים בדיסקים?
  • האם אתה רוצה לנתח תקליטור או DVD אחר?:
  • האם ברצונך להשתמש בהעתק שלd?:
  • האם אתה רוצה לקחת את סקר השימוש בחבילה?:
  • בחר את התוכניות להתקנה:
    [] סביבת שולחן העבודה של דביאן
    [*] כלי מערכת סטנדרטיים
  • האם ברצונך להתקין את מטעין האתחול GRUB ברשומת האתחול הראשית?
    • / dev / vda
  • "ההתקנה הושלמה":

לדעתי הצנועה, התקנת דביאן היא פשוטה. נדרש לענות רק על שאלות של אפשרויות מוגדרות מראש ומידע אחר. אני אפילו מעז לומר שקל יותר לבצע את השלבים הקודמים מאשר באמצעות סרטון, למשל. כשאני קורא אני לא מאבד ריכוז. נושא אחר הוא לצפות, לקרוא, לפרש ולתת את הסרטון קדימה ואחורה, כשאני מאבד או לא מבין היטב איזו משמעות חשובה. גיליון בכתב יד, או קובץ טקסט רגיל המועתק לנייד, ישמש כמדריך יעיל באופן מושלם.

הגדרות ראשוניות

לאחר סיום ההתקנה הבסיסית וההפעלה מחדש הראשונה, אנו ממשיכים להכריז על מאגרי התוכנית.

בעת עריכת הקובץ sources.listאנו מגיבים כברירת מחדל על כל הערכים הקיימים מכיוון שנעבוד רק עם מאגרים מקומיים. התוכן הסופי של הקובץ - לא כולל השורות שהגיבו - יהיה:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie תרומה עיקרית deb http://192.168.10.1/repos/jessie/debian-security/ jessie / עדכונים תרומה עיקרית

אנו מעדכנים את המערכת

root @ dns: ~ # עדכון יכולת
root @ dns: ~ # שדרוג יכולת
root @ dns: ~ # אתחול מחדש

אנו מתקינים SSH לגישה מרחוק

root @ dns: ~ # יכולת להתקין

כדי לאפשר למשתמש להתחיל הפעלה מרחוק באמצעות SSH שורש -מ- LAN LAN הארגוני בלבד- אנו משנים את קובץ התצורה שלו:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin כן ....

root @ dns: ~ # systemctl הפעל מחדש את ssh.service
root @ dns: ~ # systemctl status ssh.service

אנו מתחילים הפעלה מרחוק באמצעות SSH ב- «dns» ממכונת «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... הסיסמה של root@192.168.10.5: ... root @ dns: ~ #

קבצי תצורה עיקריים

הקבצים העיקריים של תצורת המערכת יהיו בהתאם לבחירות שלנו במהלך ההתקנה:

root @ dns: ~ # cat / etc / hosts
127.0.0.1 localhost 192.168.10.5 dns.desdelinux.fan dns # השורות הבאות רצויות עבור מארחים מסוג IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
חפש משרת linux.fan שמות 127.0.0.1

root @ dns: ~ # host host
DNS

root @ dns: ~ # host host -f
dns.fromlinux.fan

root @ dns: ~ # חתול / וכו '/ רשת / ממשקים
# קובץ זה מתאר את ממשקי הרשת הזמינים במערכת שלך וכיצד להפעיל אותם. למידע נוסף, ראו ממשקים (5). מקור /etc/network/interfaces.d/* # ממשק רשת loopback אוטומטי lo iface lo inet loopback # ממשק הרשת העיקרי מאפשר חיבור לחיבור hot0 iface eth0 כתובת סטטית 192.168.10.5 netmask 255.255.255.0 רשת 192.168.10.0 שידור 192.168.10.255. 192.168.10.1 שער 127.0.0.1 # dns- * אפשרויות מיושמות על ידי חבילת resolvconf, אם dns-nameservers מותקן XNUMX dns-search מ- linux.fan

אנו מתקינים חבילות חוויית על

root @ dns: ~ # aptitude התקן htop mc deborphan

ניקוי חבילות שהורדו אם יש

root @ dns: ~ # aptitude install -f root @ dns: ~ # טיהור aptitude ~ c root @ dns: ~ # apt root root @ dns: ~ # aptitude autoclean

אנו מתקינים את ה- BIND9

  • לפני התקנת ה- BIND אנו ממליצים בחום בקר בדף סוגי רשומות DNS בוויקיפדיה, גם בגרסאות ספרדית וגם באנגלית. סוגי רושמים אלו הם אלו שנשתמש בהם בתצורה של קבצי ה- Zones, הן ישירים והן היפוכים. זה מאוד חינוכי לדעת עם מה אנחנו מתמודדים.
  • גם אנו מציעים קרא את הקטע הבא בקשה לתגובות RFC - בקשות לתגובות, שקשורות קשר הדוק לתפקוד תקין של שירות ה- DNS, במיוחד בכל הקשור לרקורציה לשרתי השורש:
    • RFCs 1912, 5735, 6303 ו- BCP 32: הנוגע ל localhost
    • RFCs 1912, 6303: אזור סגנון עבור כתובת IPv6 localhost
    • RFCs 1912, 5735 ו- 6303: מתייחס לרשת המקומית - רשת זו
    • RFCs 1918, 5735 ו- 6303: רשתות לשימוש פרטי
    • RFC 6598: שטח כתובות משותף
    • RFCs 3927, 5735 ו- 6303: קישור מקומי / APIPA
    • RFCs 5735 ו- 5736: מטלות פרוטוקול של כוח משימה להנדסת אינטרנט
    • RFCs 5735, 5737 ו- 6303: TEST-NET- [1-3] לתיעוד
    • RFCs 3849 ו- 6303: טווח דוגמאות IPv6 לתיעוד
    • BCP 32: שמות דומיינים לתיעוד ובדיקה
    • RFCs 2544 ו- 5735: בדיקת מידוד נתבים
    • RFC 5735: IANA שמורה - מרחב Class E ישן
    • RFC 4291: כתובות IPv6 שאינן מוקצות
    • RFCs 4193 ו- 6303: ULA של IPv6
    • RFCs 4291 ו- 6303: IPv6 Link Local
    • RFCs 3879 ו- 6303: כתובות אתר מקומיות שהותקנו מ- IPv6
    • RFC 4159: IP6.INT אינו בשימוש

התקנה

root @ dns: ~ # aptitude search bind9
p bind9 - שרת שמות דומיין אינטרנט p bind9-doc - תיעוד ל- BIND i bind9-host - גרסת ה- 'host' יחד עם BIND 9.X p bind9utils - כלי עזר ל- BIND p gforge-dns-bind9 - כלי פיתוח שיתופי - ניהול DNS (באמצעות Bind9) i A libbind9-90 - BIND9 ספריה משותפת המשמשת BIND

נסה גם לרוץ חיפוש כושר ~ dbind9

root @ dns: ~ # aptitude להתקין bind9

root @ dns: ~ # systemctl הפעל מחדש את bind9.service

root @ dns: ~ # systemctl status bind9.service
● bind9.service - שרת שם תחום BIND נטען: נטען (/lib/systemd/system/bind9.service; מופעל) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   פעיל: פעיל (פועל) מאז יום שישי 2017-02-03 10:33:11 EST; לפני שניות Docs: man: named (1) תהליך: 8 ExecStop = / usr / sbin / rndc stop (code = exited, status = 1460 / SUCCESS) PID ראשי: 0 (בשם) CGroup: /system.slice/bind1465.service └─9 / usr / sbin / בשם -f -u לאגד 1465 בפברואר 03:10:33 dns בשם [11]: אזור ריק אוטומטי: 1465. BD8.IP0.1.0.0.2.ARPA 6 בפברואר 03:10:33 dns בשם [11]: ערוץ פקודה מאזין בתאריך 1465 # 127.0.0.1 פברואר 953 03:10:33 dns בשם [11]: ערוץ פקודה האזנה ב :: 1465 # 1 פברואר 953 03:10:33 dns בשם [11]: מנוהל -keys-zone: טעינה טורית 1465 בפברואר 2 03:10:33 dns בשם [11]: zone 1465.in-addr.arpa/IN: טעונה טורית 0 בפברואר 1 03:10:33 dns בשם [11]: zone localhost / IN: טעון סדרתי 1465 בפברואר 2 03:10:33 dns בשם [11]: אזור 1465.in-addr.arpa/IN: טעון סדרתי 127 בפברואר 1 03:10:33 dns בשם [11]: zone 1465.in -addr.arpa/IN: טעון סדרתי 255 בפברואר 1 03:10:33 dns בשם [11]: כל האזורים טעונים 1465 בפברואר 03:10:33 dns בשם [11]: פועל רמז: כמה קווים היו אליפסיים, השתמש ב- l להראות במלואה.

קבצי תצורה המותקנים על ידי ה- BIND9

באופן מעט שונה לתצורה של שירות ה- DNS ב- CentOS וב- openSUSE, ב- Debian הקבצים הבאים נוצרים בספריה. / וכו / לקשור:

root @ dns: ~ # ls -l / etc / bind /
סה"כ 52 -rw-r - r-- 1 שורש שורש 2389 30 ביוני 2015 לאגד. מקשים -rw-r - r-- 1 שורש שורש 237 יוני 30 2015 db.0 -rw-r - r-- 1 שורש שורש 271 30 ביוני 2015 db.127 -rw-r - r-- 1 שורש שורש 237 יוני 30 2015 db.255 -rw-r - r-- 1 שורש שורש 353 30 יוני 2015 db.empty -rw- r - r-- 1 שורש שורש 270 יוני 30 2015 db.local -rw-r - r-- 1 root root 3048 Jun 30 2015 db.root -rw-r - r-- 1 root binding 463 Jun 30 2015 בשם.conf -rw-r - r-- 1 שורש לאגד 490 יוני 30 2015 בשם.conf.default-zones -rw-r - r-- 1 שורש לאגד 165 יוני 30 2015 בשם.conf.local -rw -r - r- 1 שורש לאגד 890 3 בפברואר 10:32 בשם.conf.options -rw-r ----- 1 bind bind 77 פברואר 3 10:32 rndc.key -rw-r - r- - שורש שורש 1 1317 ביוני 30, 2015 zones.rfc1918

כל הקבצים לעיל הם בטקסט רגיל. אם אנו רוצים לדעת את המשמעות והתוכן של כל אחד מהם, נוכל לעשות זאת באמצעות הפקודות פחות o חתול, וזה פרקטיקה טובה.

תיעוד נלווה

בפנקס הכתובות / usr / share / doc / bind9 תהיה לנו:

root @ dns: ~ # ls -l / usr / share / doc / bind9
סה"כ 56 -rw-r - r-- 1 שורש שורש 5927 30 ביוני 2015 זכויות יוצרים -rw-r - r-- 1 שורש שורש 19428 30 2015 יוני 1 changelog.Debian.gz -rw-r - r-- 11790 שורש שורש 27 2014 בינואר 1 שאלות נפוצות.gz -rw-r - r-- שורש שורש 396 30 ביוני 2015 NEWS.Debian.gz -rw-r - r-- שורש שורש 1 3362 יוני 30 2015 README.Debian. gz -rw-r - r-- 1 שורש שורש 5840 27 בינואר 2014 README.gz

בתיעוד הקודם אנו נמצא חומר לימוד שופע שאנו ממליצים לקרוא לפני קביעת התצורה של ה- BIND ואף לפני חיפוש באינטרנט מאמרים הקשורים ל- BIND ו- DNS בכלל.. אנו הולכים לקרוא את התוכן של חלק מאותם קבצים:

שאלות נפוצות o Fבתשובה Aהחלקה Qהערות לגבי BIND 9

  1. שאלות אוסף והתקנה - שאלות אודות קומפילציה והתקנה
  2. שאלות תצורה והתקנה - שאלות בנושא תצורה וכוונון
  3. שאלות תפעול - שאלות על המבצע
  4. שאלות כלליות - פניות כלליות
  5. שאלות ספציפיות למערכת ההפעלה - שאלות ספציפיות לגבי כל מערכת הפעלה
    1. HPUX
    2. לינוקס
    3. Windows
    4. FreeBSD
    5. Solaris
    6. Apple Mac OS X

NEWS. Debian.gz

NEWS. דביאן לסיכום אומר לנו שהפרמטרים allow-query-cache y אפשר-רקורסיה מופעלים כברירת מחדל עבור רשימות ACL המוטמעות ב- BIND -מובנה- 'רשתות מקומיות'ו-'localhost'. זה גם מודיע לנו כי שינויי ברירת המחדל נעשו כדי להפוך את שרתי המטמון לאטרקטיביים פחות להתקפה על ידי זיוף מרשתות חיצוניות.

כדי לבדוק מה כתוב בפסקה הקודמת, אם ממכונה ברשת עצמה 192.168.10.0 / 24 שהיא זו שבדוגמה שלנו, אנו מגישים בקשת DNS על הדומיין מ- linux.net, ובמקביל בשרת עצמו dns.fromlinux.fan אנחנו מבצעים זנב -f / var / log / syslog נקבל את הדברים הבאים:

buzz @ sysadmin: ~ $ dig localhost
.... ;; PSTUDOSECTION אופטי :; EDNS: גרסה: 0, דגלים:; udp: 4096 ;; פרק השאלה:; localhost. ב ;; סעיף תשובה: localhost. 604800 IN A 127.0.0.1 ;; מדור רשות: localhost. 604800 IN localhost ב- NS. ;; קטע נוסף: localhost. 604800 ב- AAAA :: 1

buzz @ sysadmin: ~ $ dig מ- linux.net
....
;; PSTUDOSECTION אופטי :; EDNS: גרסה: 0, דגלים:; udp: 4096 ;; סעיף השאלה :; desdelinux.net. ב
....
root @ dns: ~ # tail -f / var / log / syslog ....
4 בפברואר 13:04:31 dns בשם [1602]: שגיאה (לא ניתן להגיע לרשת) בפתרון 'desdelinux.net/A/IN': 2001: 7fd :: 1 # 53 4 בפברואר 13:04:31 dns בשם [1602]: שגיאה (לא ניתן להגיע לרשת) בפתרון 'desdelinux.net/A/IN': 2001: 503: c27 :: 2: 30 # 53
....

התפוקה של syslog זה הרבה יותר זמן בגלל החיפוש אחר שרתי השורש על ידי BIND. כמובן הקובץ / Etc / resolv.conf בקבוצה sysadmin.fromlinux.fan מצביע על DNS 192.168.10.5.

מביצוע הפקודות הקודמות אנו יכולים להסיק כמה מסקנות מלכתחילה:

  • ה- BIND מוגדר כברירת מחדל כשרת מטמון פונקציונלי ללא צורך בתצורה נוספת, ועונה על שאילתות DNS עבור ה- רשתות מקומיות ו - localhost
  • רקורסיה - רקורסיה מופעלת עבור רשתות מקומיות ו - localhost
  • עדיין לא שרת סמכותי
  • בניגוד ל- CentOS, שם היינו צריכים להכריז על הפרמטר «האזנה יציאה 53 {127.0.0.1; 192.168.10.5; }; » במפורש כדי להאזין לבקשות DNS דרך ממשק הרשת 192.168.10.5 DNS עצמו, בדביאן אין צורך בכך שהוא תומך בבקשות DNS עבור רשתות מקומיות ו - localhost בְּרִירַת מֶחדָל. עיין בתוכן הקובץ /etc/bind/named.conf.options והם יראו שאין הצהרה תקשיב.
  • שאילתות IPv4 ו- IPv6 מופעלות

אם רק על ידי קריאה ופירוש - פח כמו שאנחנו אומרים בקובה - הארכיון NEWS. Debian.gz הגענו למסקנות מעניינות המאפשרות לנו לדעת קצת יותר על פילוסופיית התצורה המוגדרת כברירת מחדל של צוות דביאן ביחס ל- BIND, אילו היבטים מעניינים נוספים נוכל לדעת מהמשך קריאת קבצי התיעוד הנלווה?.

README.Debian.gz

README.Debian מודיע לנו - בין היבטים רבים אחרים - כי הרחבות האבטחה של מערכת שמות הדומיינים - הרחבות אבטחת מערכת שמות מתחם o DNSSEC, מופעלים; ומאשר מחדש כי תצורת ברירת המחדל עובדת עבור מרבית השרתים (שרתי עלים - שרתי עלים הכוונה לעלים של עץ הדומיין) ללא צורך בהתערבות המשתמש.

  • DNSSEC על פי ויקיפדיה: הרחבות האבטחה של מערכת שם הדומיין (DNSSEC) היא קבוצת מפרט של כוח המשימה להנדסת אינטרנט (IETF) כדי לאבטח סוגים מסוימים של מידע המסופק על ידי מערכת השמות. שם תחום (DNS) המשמש בפרוטוקול האינטרנט (IP). זוהי קבוצה של הרחבות ל- DNS המספקות ללקוחות DNS (או רזולוצרים) אימות של מקור נתוני ה- DNS, הכחשה מאומתת של קיומם ושלמות הנתונים, אך לא זמינות או סודיות.

על תוכנית תצורה אומר לנו שכל קבצי התצורה הסטטיים, קבצי האזור לשרתי השורש ואזורי ההעברה וההפוך של localhost הם נמצאים / וכו / לקשור.

מדריך העבודה לשדים בשם es / var / cache / binding כך שכל קובץ חולף שנוצר על ידי בשם כגון מאגרי מידע שעבורם הוא משמש כשרת עבדים, נכתבים במערכת הקבצים / var, לשם הם שייכים.

בניגוד לגירסאות קודמות של חבילת BIND עבור דביאן, הקובץ בשם.קונף ו - db. * מסופקים, הם מתויגים כקבצי תצורה. בצורה כזו שאם אנו זקוקים לשרת DNS שפועל בעיקר כשרת מטמון ושאינו סמכותי עבור אף אחד אחר, נוכל להשתמש בו כשהוא מותקן ומוגדר כברירת מחדל.

אם אתה צריך ליישם DNS מורשה, הם מציעים להכניס את הקבצים של אזורי המאסטר לאותה ספריה / וכו / לקשור. אם המורכבות של האזורים שעבורם בשם יהיה סמכותי דורש זאת, מומלץ ליצור מבנה ספריות משנה, בהתייחס לקבצי האזור באופן מוחלט בקובץ בשם.קונף.

כל קובץ אזור שעבורו בשם להתנהג כששרת העבדים חייב להיות ממוקם ב / var / cache / binding.

קבצי האזורים כפופים לעדכונים דינמיים על ידי DHCP או הפקודה nsupdate, צריך להיות מאוחסן ב / var / lib / bind.

אם מערכת ההפעלה משתמשת פרמאר, הפרופיל המותקן פועל רק עם הגדרות ברירת המחדל של BIND. שינויים הבאים בתצורת ה- בשם הם עשויים לדרוש שינויים בפרופיל ה- Apparmor. ביקר https://wiki.ubuntu.com/DebuggingApparmor לפני שממלא טופס המאשים א באג בשירות ההוא.

ישנן מספר בעיות הקשורות להפעלת דביאן BIND בכלוב צ'רוט - בית סוהר. בקר בכתובת http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html למידע נוסף.

מידע אחר

איש בשם, איש בשם.קונף, איש בשם-צ'ק-קונף, איש בשם-צ'ק-אזור, איש רנדק, וכן הלאה

root @ dns: ~ # בשם -v
BIND 9.9.5-9 + deb8u1-Debian (גרסת תמיכה מורחבת)

root @ dns: ~ # בשם -V
BIND 9.9.5-9 + deb8u1-Debian (גרסת תמיכה מורחבת) נבנה על ידי make עם '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' - enable-threads '' - enable-largefile '\' - with-libtool '' - enable-shared '' - enable-static '\' - with-openssl = / usr '' - with-gssapi = / usr '' - with-gnu-ld '\' - with-geoip = / usr '' --with-atf = no '' - enable-ipv9 '' - Enable-rrl '\' - Enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'מהדור על ידי GCC 50 באמצעות גרסת OpenSSL : OpenSSL 6k 2 בינואר 4.9.2 באמצעות גרסת libxml1.0.1: 8

root @ dns: ~ # ps -e | grep בשם
  408? 00:00:00 נקרא

root @ dns: ~ # ps -e | grep לאגד
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind 9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
בשם.pid session.key  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-rw-r - r-- 1 bind bind 4 בפברואר 4 13:20 /var/run/named/named.pid

root @ dns: ~ # rndc status
גרסה: 9.9.5-9 + deb8u1-Debian מעבדים שנמצאו: 9 אשכולות עובדים: 8 מאזינים ל- UDP לכל ממשק: מספר אזורים: 50 רמת ניפוי באגים: 1 העברות פועלות: 1 העברות נדחו: 1 שאילתות סואה בעיצומן: 100 רישום שאילתות אינו פעיל לקוחות רקורסיביים: 0/0/0 tcp לקוחות: השרת 0/0 פועל
  • אין להכחיש את החשיבות של התייעצות בתיעוד המותקן עם חבילת BIND9 לפני כל אחר.

bind9-doc

root @ dns: ~ # aptitude להתקין קישורים bind9-doc2
root @ dns: ~ # dpkg -L bind9-doc

El paquete bind9-doc מתקין, בין מידע שימושי אחר, את מדריך הפניה למנהלי מערכת BIND 9. כדי לגשת למדריך - באנגלית - אנו מבצעים:

root @ dns: ~ # links2 file: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
מדריך עזר למנהל מערכת BIND 9 זכויות יוצרים (c) 2004-2013 Internet Systems Consortium, Inc. ("ISC") זכויות יוצרים (c) 2000-2003 Consortium Software Software.

אנו מקווים שתהנו לקרוא אותו.

  • מבלי לעזוב את הבית, יש לנו תיעוד רשמי שופע על ה- BIND ועל שירות ה- DNS בכלל.

אנו מגדירים את ה- BIND בסגנון דביאן

/etc/bind/named.conf "המנהל"

root @ dns: ~ # nano /etc/bind/named.conf
// זהו קובץ התצורה העיקרי של שרת ה- DNS BIND.
//
// אנא קרא /usr/share/doc/bind9/README.Debian.gz למידע על
// מבנה של קבצי תצורה של BIND בדביאן, * לפני * שתתאים אישית
// קובץ תצורה זה.
//
// אם אתה רק מוסיף אזורים, אנא עשה זאת ב /etc/bind/named.conf.local

כוללים "/etc/bind/named.conf.options";
כוללים "/etc/bind/named.conf.local";
כוללים "/etc/bind/named.conf.default-zones";

האם הכותרת שהגיבה מצריכה תרגום?

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
אפשרויות {directory "/ var / cache / bind"; // אם יש חומת אש בינך לבין שרת שמות שאתה רוצה // לדבר איתם, ייתכן שיהיה עליך לתקן את חומת האש כדי לאפשר למספר // יציאות לדבר. ראה http://www.kb.cert.org/vuls/id/800113 // אם ספק שירותי האינטרנט שלך סיפק כתובת IP אחת או יותר עבור שרתים // שמות יציבים, סביר להניח שתרצה להשתמש בהם כמעבירים. // בטל את ההערה של החסימה הבאה והוסף את הכתובות המחליפות // את מציין המיקום של all-0. // משלחים {// 0.0.0.0; //}; // ================================================== ====================== $ // אם BIND רושם הודעות שגיאה לגבי פג תוקף מפתח הבסיס, // יהיה עליכם לעדכן את המפתחות. ראה https://www.isc.org/bind-keys // ==================================== ===================================== $

    // אנחנו לא רוצים DNSSEC
        לא מאפשר dnssec;
        //אימות dnssec אוטומטי;

        auth-nxdomain לא; # תואם ל- RFC1035

 // אנחנו לא צריכים להקשיב לכתובות IPv6
        // האזנה ב- v6 {any; };
    להקשיב ב- v6 {none; };

 // לבדיקות מ- localhost ו- sysadmin
    // דרך dig desdelinux.fan axfr // אין לנו DNS Slave ... עד עכשיו
 העברת הרשאה {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

בכותרת המגובה של קובץ זה, הם ממליצים לכלול את האזורים המצוינים ב- RFC-1918 מתואר בתיק /etc/bind/zones.rfc1918. הכללת אזורים אלה באופן מקומי קובעת כי כל שאילתות בנוגע אליהם אינן יוצאות מחוץ לרשת המקומית לשרתי השורש, שיש לה שני יתרונות משמעותיים:

  • רזולוציה מקומית מהירה יותר עבור משתמשים מקומיים
  • זה לא יוצר תנועה מיותרת - או מזויפת - לשרתי השורש.

באופן אישי אין לי חיבור לאינטרנט לבדיקת רקורסיה או העברה. עם זאת, ומכיוון שלא ביטלנו את הרקורסיה בקובץ named.conf.options - בדרך של רקורסיה לא; אנו יכולים לכלול את האזורים הנ"ל ואחרים שאסביר להלן..

בעת התקנת BIND 9.9.7 במערכת ההפעלה FreeBSD 10.0, שהיא גם - ובדרך אגב - תוכנה חופשית, קובץ התצורה /usr/local/etc/namedb/named.conf.sample הוא מכיל סדרה שלמה של אזורים הממליצים על הגשה מקומית גם כדי להשיג את היתרונות האמורים.

כדי לא לשנות את תצורת ה- BIND המקורית בדביאן, אנו מציעים ליצור את הקובץ /etc/bind/zones.rfcFreeBSD ולכלול אותו ב /etc/bind/named.conf.local עם התוכן המצוין למטה ועם הנתיבים - שבילים לקבצים שכבר הותאמו לדביאן:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// שטח כתובות משותף (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// קישור מקומי / APIPA (RFCs 3927, 5735 ו- 6303)
אזור "254.169.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// הקצאות פרוטוקול IETF (RFC 5735 ו- 5736)
אזור "0.0.192.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// TEST-NET- [1-3] לתיעוד (RFCs 5735, 5737 ו- 6303)
אזור "2.0.192.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "100.51.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "113.0.203.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// טווח דוגמאות IPv6 לתיעוד (RFC 3849 ו- 6303)
אזור "8.bd0.1.0.0.2.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// שמות דומיינים לתיעוד ובדיקה (BCP 32)
אזור "מבחן" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "דוגמה" {master type; קובץ "/etc/bind/db.empty"; }; אזור "לא חוקי" {master master; קובץ "/etc/bind/db.empty"; }; אזור "example.com" {master type; קובץ "/etc/bind/db.empty"; }; אזור "example.net" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "example.org" {master type; קובץ "/etc/bind/db.empty"; };

// בדיקת מידוד נתבים (RFCs 2544 ו- 5735)
אזור "18.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "19.198.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IANA שמורה - Old Class E Space (RFC 5735)
אזור "240.in-addr.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "241.in-addr.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "242.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "243.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "244.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "245.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "246.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "247.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "248.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "249.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "250.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "251.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "252.in-addr.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "253.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "254.in-addr.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; };

// IPv6 כתובות לא מוקצות (RFC 4291)
אזור "1.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "3.ip6.arpa" {מאסטר מסוג; קובץ "/etc/bind/db.empty"; }; אזור "4.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "5.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "7.ip6.arpa" {סוג מאסטר; קובץ "/etc/bind/db.empty"; }; אזור "8.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "9.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "a.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "b.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "c.ip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "d.ip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "e.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "0.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "1.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "2.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "3.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "4.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "5.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "7.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "8.f.ip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "9.f.ip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "afip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "bfip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "0.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "1.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "2.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "3.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "4.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "5.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "6.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "7.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IPv6 ULA (RFCs 4193 ו- 6303)
אזור "cfip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "dfip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; };

// קישור IPv6 מקומי (RFCs 4291 ו- 6303)
אזור "8.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "9.efip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "aefip6.arpa" {master master; קובץ "/etc/bind/db.empty"; }; אזור "befip6.arpa" {master type; קובץ "/etc/bind/db.empty"; };

// כתובות אתר מקומיות שהוצאו משימוש ב- IPv6 (RFCs 3879 ו- 6303)
אזור "cefip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "defip6.arpa" {master type; קובץ "/etc/bind/db.empty"; }; אזור "eefip6.arpa" {מאסטר סוג; קובץ "/etc/bind/db.empty"; }; אזור "fefip6.arpa" {master master; קובץ "/etc/bind/db.empty"; };

// IP6.INT הוצא משימוש (RFC 4159)
אזור "ip6.int" {master master; קובץ "/etc/bind/db.empty"; };

למרות שחיסלנו את האפשרות להאזין לבקשות IPv6 בדוגמה שלנו, כדאי לכלול את אזורי ה- IPv6 בקובץ הקודם למי שזקוק להם.

התוכן הסופי של /etc/bind/named.conf.local הוא:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // בצע כאן תצורה מקומית // // שקול להוסיף כאן את אזורי 1918, אם הם לא משמשים בארגון שלך //
כוללים "/etc/bind/zones.rfc1918"; כוללים "/etc/bind/zones.rfcFreeBSD";

// הצהרת שם, סוג, מיקום והיתר עדכון
// של אזורי רשומות ה- DNS // שני האזורים הם MASTERS
אזור "desdelinux.fan" {
 סוג מאסטר;
 קובץ "/var/lib/bind/db.desdelinux.fan";
};

אזור "10.168.192.in-addr.arpa" {
 סוג מאסטר;
 קובץ "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

אנו יוצרים את הקבצים עבור כל אזור

ניתן להעתיק את תוכן הקבצים בכל אזור פשוטו כמשמעו מהמאמר «DNS ו- DHCP ב- CentOS 7«, כל עוד אנו מקפידים לשנות את ספריית היעד ל / var / lib / bind:

[root @ dns ~] # nano /var/lib/bind/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); מינימום או; זמן מטמון שלילי לחיות; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית"; sysadmin IN A 192.168.10.1 ad-dC IN A 192.168.10.3 שרת קבצים IN A 192.168.10.4 dns IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

[root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); מינימום או; זמן מטמון שלילי לחיות; @ IN NS dns.fromlinux.fan. ; 1 ב PTR sysadmin.fromlinux.fan. 3 IN PTR ad-dc.fromlinux.fan. 4 IN PTR fileserver.fromlinux.fan. 5 ב- PTR dns.fromlinux.fan. 6 ב- PTR proxyweb.desdelinux.fan. 7 ב PTR blog.desdelinux.fan. 8 IN PTR ftpserver.fromlinux.fan. 9 ב- PTR mail.fromlinux.fan.

אנו בודקים את התחביר של כל אזור

root @ dns: ~ # named-checkzone מ- linux.fan / var / lib / bind / db. מ- linux.fan 
אזור מ- linux.fan/IN: טעון סדרתי 1 בסדר

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
אזור 10.168.192.in-addr.arpa/IN: טורי סדרתי 1 בסדר

בדיקת הגדרות ה- BIND הכלליות

root @ dns: ~ # named-checkconf -zp
  • בעקבות נוהל שינוי ה- בשם.קונף בהתאם לצרכים שלנו ולבדוק, וליצור כל קובץ אזור ולבדוק אותו, אנו בספק שנצטרך להתמודד עם בעיות תצורה גדולות. בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד. 😉

הבדיקות החזירו תוצאות משביעות רצון, לכן נוכל להפעיל מחדש את ה- BIND - בשם.

אנו מפעילים מחדש את ה- BIND ובודקים את מצבו

[root @ dns ~] # systemctl הפעל מחדש את bind9.service
[root @ dns ~] # systemctl status bind9.service
● bind9.service - שרת שם תחום BIND נטען: נטען (/lib/systemd/system/bind9.service; מופעל) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf פעיל: פעיל (פועל) מאז יום שני 2017-02-05 07:45:03 EST; לפני 5 שניות Docs: man: called (8) תהליך: 1345 ExecStop = / usr / sbin / rndc stop (code = exited, status = 0 / SUCCESS) PID ראשי: 1350 (בשם) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / called -f -u bind 05 פברואר 07:45:03 dns בשם [1350]: אזור 1.f.ip6.arpa/IN: טעון סדרתי 1 פבואר 05 07:45:03 dns בשם [1350]: אזור afip6.arpa/IN: נטען סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור localhost / IN: טעון סדרתי 2 בפברואר 05 07:45:03 dns בשם [1350]: מבחן אזור / IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור לדוגמא / IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: zone 5.efip6.arpa/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור bfip6.arpa/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: אזור ip6.int/IN: טעון סדרתי 1 בפברואר 05 07:45:03 dns בשם [1350]: כל האזורים הנטענים בפברואר 05 07:45:03 dns בשם [1350]: פועל

אם נקבל שגיאה כלשהי בפלט של הפקודה האחרונה, עלינו להפעיל מחדש את ה- בשם. שירות ובדוק מחדש את שלך מצב. אם השגיאות נעלמו, השירות התחיל בהצלחה. אחרת, עלינו לבצע סקירה יסודית של כל הקבצים ששונו ויצרו, ולחזור על הנוהל.

בדיקות

ניתן לבצע את הבדיקות על אותו שרת או על מכונה המחוברת לרשת LAN. אנחנו מעדיפים לעשות אותם מהקבוצה sysadmin.fromlinux.fan אליהם נתנו אישור מפורש לבצע העברות אזוריות. הקובץ / Etc / resolv.conf של אותו צוות הוא:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager מ- linux.fan nameserver 192.168.10.5

buzz @ sysadmin: ~ $ חפירה מ- linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> מ- linux.fan axfr ;; אפשרויות גלובליות: + cmd מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 מ- linux.fan. 10800 ב- NS dns.fromlinux.fan. מ- linux.fan. 10800 IN MX 10 mail.fromlinux.fan. מ- linux.fan. 10800 IN TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 mail.fromlinux.fan. 10800 IN A 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN A 192.168.10.6 sysadmin.fromlinux.fan. 10800 IN עד 192.168.10.1 מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; זמן שאילתה: 1 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: א 'בפברואר 05 07:49:01 EST 2017
;; גודל XFR: 13 רשומות (הודעות 1, בתים 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; אפשרויות גלובליות: + cmd 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 ב- NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 ב- PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 IN PTR fileserver.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 ב- PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 ב- PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 ב- PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 ב- PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; זמן שאילתה: 1 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: א 'בפברואר 05 07:49:47 EST 2017
;; גודל XFR: 11 רשומות (הודעות 1, בתים 333)

buzz @ sysadmin: ~ $ dig IN SOA מ- linux.fan
buzz @ sysadmin: ~ $ dig IN MX מ- linux.fan buzz @ sysadmin: ~ $ dig IN TXT מ- linux.fan

buzz @ sysadmin: ~ $ proxyweb המארח
ל- proxyweb.desdelinux.fan כתובת 192.168.10.6

buzz @ sysadmin: ~ $ ftpserver
ל- ftpserver.desdelinux.fan כתובת 192.168.10.8

buzz @ sysadmin: ~ $ מארח 192.168.10.9
9.10.168.192.in-addr.arpa מצביע שם תחום mail.fromlinux.fan.

... וכל בדיקה אחרת שאנחנו צריכים.

אנו מתקינים ומגדירים את התצורה של DHCP

ב- Debian שירות DHCP מסופק על ידי החבילה שרת isc-dhcp:

root @ dns: ~ # aptitude search isc-dhcp
i isc-dhcp-client - לקוח DHCP לקבלת כתובת IP אוטומטית p isc-dhcp-client-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (ניפוי לקוחות) i isc-dhcp-common - קבצים נפוצים המשמשים את כל חבילות isc-dhcp p isc-dhcp-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (סמל ניפוי באגים p isc-dhcp-dev - API לגישה ולשינוי שרת DHCP ומצב לקוח p isc-dhcp-ממסר - ממסר ISC DHCP daemon p isc-dhcp-relay-dbg - שרת ISC DHCP להקצאת כתובת IP אוטומטית (ניפוי באגים) p isc-dhcp-server - שרת ISC DHCP להקצאת כתובת IP אוטומטית p isc-dhcp-server-dbg - ISC DHCP server הקצאת כתובות IP אוטומטית (ניפוי שרתים) p isc-dhcp-server-ldap - שרת DHCP המשתמש ב- LDAP כמסמך אחורי

root @ dns: ~ # aptitude להתקין שרת isc-dhcp

לאחר התקנת החבילה, -omnipresent- system מתלונן שהוא לא יכול היה להתחיל את השירות. ב- Debian עלינו להצהיר במפורש על איזה ממשק רשת היא תשכיר כתובות IP ותגיב לבקשות, ה- שרת isc-dhcp:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # באילו ממשקים על שרת DHCP (dhcpd) לשרת בקשות DHCP? # הפרד ממשקים מרובים עם רווחים, למשל "eth0 eth1".
ממשקים = ​​"eth0"

תיעוד מותקן

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
סה"כ 44 -rw-r - r-- שורש 1 1235 14 דצמבר 2014 זכויות יוצרים -rw-r - r-- שורש שורש 1 26031 בפברואר 13 changelog.Debian.gz drwxr-xr-x 2015 שורש שורש 2 פברואר 4096 5:08 דוגמאות -rw-r - r-- 10 שורש שורש 1 592 דצמבר 14 NEWS.Debian.gz -rw-r - r-- 2014 שורש שורש 1 1099 דצמבר 14 README.Debian

מקש TSIG "dhcp-key"

מומלץ לייצר את המפתח TSIG o חתימה על עסקה - Tכופר SIGטבע, לאימות עדכוני DNS דינמיים על ידי DHCP. כפי שראינו במאמר הקודם «DNS ו- DHCP ב- CentOS 7אנו רואים כי יצירת מפתח זה אינה כה חיונית, במיוחד כאשר שני השירותים מותקנים על אותו שרת. עם זאת, אנו מציעים את ההליך הכללי לייצורו האוטומטי:

root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n משתמש dhcp-key
מקש Kdhcp. + 157 + 11088

root @ dns: ~ # חתול Kdhcp-key. +157 + 11088. פרטי 
פורמט מפתח פרטי: v1.3 אלגוריתם: 157 (HMAC_MD5) מפתח: TEqfcx2FUMYBQ1hA1ZGelA == ביטים: AAA = נוצר: 20170205121618 פרסם: 20170205121618 הפעל: 20170205121618

root @ dns: ~ # nano dhcp.key
מפתח dhcp-key {
        אלגוריתם hmac-md5;
        סוד "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key שורש @ dns: ~ # ls -l /etc/bind/*.key
-rw-r ----- 1 שורש לאגד 78 פברואר 5 08:21 /etc/bind/dhcp.key -rw-r ----- 1 לאגד לאגד 77 פברואר 4 11:47 / etc / bind / rndc .מַפְתֵחַ
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-rw-r ----- 1 שורש שורש 78 בפברואר 5 08:21 /etc/dhcp/dhcp.key

עדכון אזורי ה- BIND באמצעות מקש dhcp

root @ dns: ~ # nano /etc/bind/named.conf.local
// // בצע כאן תצורה מקומית // // שקול להוסיף כאן את אזורי 1918, אם הם לא משמשים בארגון שלך // כוללים "/etc/bind/zones.rfc1918"; כוללים "/etc/bind/zones.rfcFreeBSD"; כוללים "/etc/bind/dhcp.key"; // הצהרת שם, סוג, מיקום והרשאת עדכון // של אזורי רישום ה- DNS // שני האזורים הם אזור MASTER "desdelinux.fan" {master master; קובץ "/var/lib/bind/db.desdelinux.fan";
 allow-update {key dhcp-key; };
}; אזור "10.168.192.in-addr.arpa" {סוג מאסטר; קובץ "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update {key dhcp-key; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

אנו מגדירים את שרת ה- isc-dhcp

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
ביניים בסגנון ddns-update; ddns-updates על; ddns-domainname "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; התעלם מעדכוני לקוח; מוּסמָך; אפשרות העברת ip כבויה; שם תחום אפשרות "desdelinux.fan"; כוללים "/etc/dhcp/dhcp.key"; אזור מ- linux.fan. {ראשית 127.0.0.1; מפתח dhcp-key; } אזור 10.168.192.in-addr.arpa. {127.0.0.1 ראשוני; מקש dhcp-key; } מיקוד מחדש של רשת משותפת {subnet 192.168.10.0 netmask 255.255.255.0 {routers option 192.168.10.1; מסכת רשת משנה אופציה 255.255.255.0; אפשרות שידור אפשרות 192.168.10.255; שרתי שמות מתחם אופציה 192.168.10.5; אפשרות שרתים נטביוס אפשרות 192.168.10.5; טווח 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

אנו בודקים את הקובץ dhcpd.conf

root @ dns: ~ # dhcpd -t
קונסורציום מערכות אינטרנט באינטרנט שרת DHCP 4.3.1 זכויות יוצרים 2004-2014 קונסורציום מערכות אינטרנט. כל הזכויות שמורות. למידע, אנא בקר בכתובת https://www.isc.org/software/dhcp/ קובץ תצורה: /etc/dhcp/dhcpd.conf קובץ מסד נתונים: /var/lib/dhcp/dhcpd. משכיר קובץ PID: / var / run /dhcpd.pid

אנו מפעילים מחדש את ה- BIND ומתחילים את שרת isc-dhcp

root @ dns: ~ # systemctl הפעל מחדש את bind9.service 
root @ dns: ~ # systemctl status bind9.service 

root @ dns: ~ # systemctl התחל isc-dhcp-server.service
root @ dns: ~ # systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: שרת DHCP טעון: נטען (/etc/init.d/isc-dhcp-server) פעיל: פעיל (פועל) מאז א '2017-02-05 08:41:45 EST; לפני 6 שניות תהליך: 2039 ExecStop = / etc / init.d / isc-dhcp-server stop (code = exited, status = 0 / SUCCESS) תהליך: 2049 ExecStart = / etc / init.d / isc-dhcp-server start ( קוד = יציאה, סטטוס = 0 / SUCCESS) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 Feb 05 08:41:43 dns dhcpd [2056]: כתב 0 קובץ שכירות להשכרה. 05 בפברואר 08:41:43 dns dhcpd [2057]: שירות התחלת השרת. 05 בפברואר 08:41:45 dns isc-dhcp-server [2049]: הפעלת שרת ISC DHCP: dhcpd.

בדיקות עם לקוחות

הקמנו לקוח עם מערכת ההפעלה Windows 7, בשם "LAGER".

buzz @ sysadmin: ~ $ לאגר מארח
ל- LAGER.desdelinux.fan כתובת 192.168.10.30

buzz @ sysadmin: ~ $ לחפור ב- txt lager.fromlinux.fan

אנו משנים את שמו של אותו לקוח ל"שבע "ומפעילים מחדש את הלקוח

buzz @ sysadmin: ~ $ לאגר מארח
;; זמן החיבור נגמר; לא ניתן היה להגיע לשרתים

זמזום@sysadmin: ~ $ מארח שבעה
לשבעה.מ- Linux.fan כתובת 192.168.10.30
buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa מצביע שם תחום seven.fromlinux.fan.

buzz @ sysadmin: ~ $ לחפור בטקסט שבע.מ- Linux.fan

שינינו את שמו של לקוח Windows 7 בחזרה ל- "win7"

buzz @ sysadmin: ~ $ מארח שבעה
;; זמן החיבור נגמר; לא ניתן היה להגיע לשרתים

buzz @ sysadmin: ~ $ מארח win7
ל- win7.fromlinux.fan כתובת 192.168.10.30
buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa מצביע שם תחום win7.fromlinux.fan.

buzz @ sysadmin: ~ $ לחפור ב- txt win7.fromlinux.fan
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> ב- txt win7.fromlinux.fan ;; אפשרויות גלובליות: + cmd ;; קיבל תשובה: ;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 11218 ;; דגלים: qr aa rd ra; שאלה: 1, תשובה: 1, רשות: 1, תוספת: 2 ;; PSTUDOSECTION אופטי :; EDNS: גרסה: 0, דגלים:; udp: 4096 ;; קטע השאלה :; win7.fromlinux.fan. IN TXT ;; סעיף תשובה: win7.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ;; מדור רשות: desdelinux.fan. 10800 ב- NS dns.fromlinux.fan. ;; קטע נוסף: dns.fromlinux.fan. 10800 IN A 192.168.10.5 ;; זמן שאילתה: 0 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: א 'בפברואר 05 09:13:20 EST 2017 ;; MSG SIZE rcvd: 129

buzz @ sysadmin: ~ $ חפירה מ- linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; אפשרויות גלובליות: + cmd מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 מ- linux.fan. 10800 ב- NS dns.fromlinux.fan. מ- linux.fan. 10800 IN MX 10 mail.fromlinux.fan. מ- linux.fan. 10800 IN TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 mail.fromlinux.fan. 10800 IN A 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN A 192.168.10.6 sysadmin.fromlinux.fan. 10800 IN A 192.168.10.1
win7.fromlinux.fan. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
win7.fromlinux.fan. 3600 IN A 192.168.10.30
מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 ;; זמן שאילתה: 2 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: א 'בפברואר 05 09:15:13 EST 2017 ;; גודל XFR: 15 רשומות (הודעות 1, בתים 453)

בפלט לעיל הדגשנו על נוֹעָז ה TTL -בשניות - למחשבים עם כתובות IP המוענקות על ידי שירות DHCP, אלה שיש להם הצהרה מפורשת על ה- TTL 3600 שניתנה על ידי ה- DHCP. כתובות IP קבועות מונחות על ידי $ TTL של 3 שעות -3 שעות = 10800 שניות - המוצהר ברשומת ה- SOA של כל קובץ אזור.

הם יכולים גם לבדוק את האזור ההפוך.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

פקודות מעניינות במיוחד הן:

[root @ dns ~] # named-journalprint /var/lib/bind/db.desdelinux.fan.jnl
מ- desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 הוסף desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 הוסף LAGER.fromlinux.fan. 3600 ב 192.168.10.30 הוסף LAGER.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" מ- desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 מ- LAGER.fromlinux.fan. 3600 IN A 192.168.10.30 להוסיף מ linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 מ desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 מ- LAGER.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" הוסף desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 מ desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 הוסף desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 הוסף שבע.פרומלינוקס.פאן. 3600 IN 192.168.10.30 הוסף שבע.פרומלינוקס.פאן. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" מ- desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 משבע.פרומלינוקס.פאן. 3600 IN A 192.168.10.30 להוסיף מ linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 מ desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 מ Seven.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" הוסף desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 מ desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 7 86400 3600 604800 10800 הוסף desdelinux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 8 86400 3600 604800 10800 הוסף win7.fromlinux.fan. 3600 IN 192.168.10.30 הוסף win7.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
מ- 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 הוסף 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 הוסף 30.10.168.192.in-addr.arpa. 3600 ב- PTR LAGER.fromlinux.fan. מ- 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 2 86400 3600 604800 10800 מתוך 30.10.168.192.in-addr.arpa. 3600 ב- PTR LAGER.fromlinux.fan. הוסף 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 דל 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 3 86400 3600 604800 10800 הוסף 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 הוסף 30.10.168.192.in-addr.arpa. 3600 ב- PTR seven.fromlinux.fan. מ- 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 4 86400 3600 604800 10800 מתוך 30.10.168.192.in-addr.arpa. 3600 ב- PTR seven.fromlinux.fan. הוסף 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 דל 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 5 86400 3600 604800 10800 הוסף 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 הוסף 30.10.168.192.in-addr.arpa. 3600 ב- PTR win7.fromlinux.fan.

[root @ dns ~] # journalctl -f

שינוי ידני של קבצי אזורים

לאחר ש- DHCP נכנס למשחק העדכון הדינמי של קבצי אזור ה- BIND, אם נצטרך לשנות ידנית קובץ אזור, עלינו לבצע את ההליך הבא, אך לא לפני שנדע מעט יותר על פעולת האזור. תוֹעֶלֶת rndc -איש rndc- לשליטה של בשם.

  • הקפאת rndc [אזור [מחלקה [תצוגה]]], משעה את העדכון הדינמי של אזור. אם לא צוין אחד מהם, הכל יקפא. הפקודה מאפשרת עריכה ידנית של האזור הקפוא או של כל האזורים. כל עדכון דינמי יידחה כשהוא מוקפא.
  • להפשיר rndc [אזור [מחלקה [תצוגה]]], מאפשר עדכונים דינמיים באזור קפוא בעבר. שרת ה- DNS טוען מחדש את קובץ האזור מהדיסק, ועדכונים דינמיים מופעלים מחדש לאחר השלמת הטעינה מחדש.

אזהרות שיש לנקוט כאשר אנו עורכים ידנית קובץ אזור? אותו הדבר כאילו היינו יוצרים אותו, מבלי לשכוח להגדיל את המספר הסידורי ב -1 או סידורי לפני שמירת הקובץ עם השינויים הסופיים.

אנו מקפיאים את האזורים

כאשר אנו הולכים לבצע שינויים באזורים קדימה והפוך בזמן ש- DNS ו- DHCP פועלים, הדבר הבריא ביותר לעשות הוא להקפיא את אזורי ה- DNS:

[root @ dns ~] # הקפאת rndc

לה זונה fromlinux.fan מכיל את הרשומות הבאות:

[root @ dns ~] # cat /var/lib/bind/db.fromlinux.fan
המקור $. TTL $ 10800; 3 שעות מ- linux.fan ב- SOA dns. מ- linux.fan. root.dns.fromlinux.fan. (
                                8; סידורי
                                86400; רענון (יום אחד) 1; נסה שוב (שעה אחת) 3600; תפוג (שבוע אחד) 1; מינימום (604800 שעות)) NS dns.fromlinux.fan. MX 1 mail.fromlinux.fan. TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" $ ORIGIN fromlinux.fan. ad-dc ל 10800 בלוג ל 3 dns ל 10 שרת קבצים ל 192.168.10.3 ftpserver ל 192.168.10.7 דואר ל 192.168.10.5 proxyweb ל 192.168.10.4 sysadmin ל 192.168.10.8 $ TTL 192.168.10.9; 192.168.10.6 שעה win192.168.10.1 A 3600 TXT "1b7ddd192.168.10.30a31b7228be3fda3e73e2f9e09"

בואו נוסיף את השרת «חוף»עם ה- IP 192.168.10.10:

root @ dns: ~ # nano /var/lib/bind/db.fromlinux.fan
המקור $. TTL $ 10800; 3 שעות מ- linux.fan ב- SOA dns. מ- linux.fan. root.dns.fromlinux.fan. (
                9; סידורי
                86400; רענון (יום אחד) 1; נסה שוב (שעה אחת) 3600; תפוג (שבוע אחד) 1; מינימום (604800 שעות)) NS dns.fromlinux.fan. MX 1 mail.fromlinux.fan. TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" $ ORIGIN fromlinux.fan. ad-dc ל 10800 בלוג ל 3 dns ל 10 שרת קבצים ל 192.168.10.3 ftpserver ל 192.168.10.7 דואר ל 192.168.10.5 proxyweb ל 192.168.10.4
חוף א '192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; 1 שעה win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

אנו אמורים לשנות גם את האזור ההפוך:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
המקור $. TTL $ 10800; 3 שעות 10.168.192.in-addr.arpa ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (
                                7; סידורי
                                86400; רענון (יום אחד) 1; נסה שוב (שעה אחת) 3600; תפוג (שבוע אחד) 1; מינימום (604800 שעות)) NS dns.fromlinux.fan. ORIGIN $ 1.in-addr.arpa. 10800 PTR sysadmin.fromlinux.fan. 3 PTR ad-dc.fromlinux.fan. TTL $ 10.168.192; שעה אחת 1 PTR win3.fromlinux.fan. TTL $ 3600; 1 שעות 30 PTR fileserver.fromlinux.fan. 7 PTR dns.fromlinux.fan. 10800 PTR proxyweb.fromlinux.fan. 3 PTR blog.desdelinux.fan. 4 PTR ftpserver.fromlinux.fan. 5 PTR mail.fromlinux.fan.
10 PTR shorewall.fromlinux.fan.

אנו מפשירים ומטעינים את האזורים

[root @ dns ~] # rndc הפשרה

root @ dns: ~ # journalctl -f
- יומנים מתחילים ביום א '2017-02-05 06:27:10 EST. - פברואר 05 12:00:29 dns בשם [1996]: קיבל פיקוד על ערוץ הבקרה 'הפשיר' 05 בפברואר 12:00:29 dns בשם [1996]: הפשרת כל האזורים: הצלחה 05 בפברואר 12:00:29 dns בשם [ 1996]: אזור 10.168.192.in-addr.arpa/IN: קובץ היומן לא מעודכן: הסרת קובץ היומן 05 בפברואר 12:00:29 dns בשם [1996]: אזור 10.168.192.in-addr.arpa/ IN: נטען סדרתי 7 בפברואר 05 12:00:29 dns בשם [1996]: אזור desdelinux.fan/IN: קובץ היומן אינו מעודכן: הסרת קובץ היומן 05 בפברואר 12:00:29 dns בשם [1996]: אזור desdelinux .fan / IN: טורי סדרתי 9

buzz @ sysadmin: קיר החוף המארח
ל- shorewall.fromlinux.fan כתובת 192.168.10.10

buzz @ sysadmin: ~ $ מארח 192.168.10.10
10.10.168.192.in-addr.arpa מצביע שם תחום shorewall.fromlinux.fan.

buzz @ sysadmin: ~ $ חפירה מ- linux.fan axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr

root @ dns: ~ # journalctl -f
.... 05 בפברואר 12:03:05 dns בשם [1996]: לקוח 192.168.10.1 # 37835 (desdelinux.fan): העברת 'desdelinux.fan/IN': AXFR התחיל 05 בפברואר 12:03:05 dns בשם [1996]: לקוח 192.168.10.1 # 37835 (desdelinux.fan): העברת 'desdelinux.fan/IN': AXFR הסתיים 05 בפברואר 12:03:20 dns בשם [1996]: לקוח 192.168.10.1 # 46905 (10.168.192. 10.168.192.in-addr.arpa): העברה של '05 .12.in-addr.arpa / IN ': AXFR התחיל ב- 03 בפברואר 20:1996:192.168.10.1 dns בשם [46905]: לקוח 10.168.192 # 10.168.192 (XNUMX .in-addr.arpa): העברה של 'XNUMX .XNUMX.in-addr.arpa / IN ': AXFR הסתיים

תקציר

עד כה יש לנו שרת DNS של Caché, שתומך ב- Recursion, שהוא סמכותי לאזור fromlinux.fan, וזה מאפשר ל- DHCP לעדכן את אזורי ההעברה והאחור עם שמות המחשבים וה- IP שהוא מעניק.

מאמר זה ושני הקודמים «DNS ו- DHCP ב- openSUSE 13.2 'הארלקין'"ו-"DNS ו- DHCP ב- CentOS 7»הם כמעט אחד. תוכלו למצוא מושגים כלליים אודות DNS ו- DHCP, והמיוחד בכל הפצה בכל אחד מהם. הם א נקודת כניסה לנושא, ובסיס להתפתחויות מורכבות יותר.

אנו לא נהסס להתעקש - שוב - על חשיבות קריאת התיעוד הטכני המותקן כברירת מחדל בכל חבילה, לפני הגדרת כל פרט. אנחנו אומרים את זה מנסיוננו שלנו.

המסירה הבאה

זה כנראה "Microsoft® Active Directory + BIND"


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

23 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   לְטָאָה דיג'ו

    איזו קטע הדרכה ששלחת לשותף, אני לא יודע מאיפה כל כך הרבה יכולת לפרט ולסדר בנושאים מורכבים כמו זה.

    ברכותיי הכנות ביותר, כבוד להיות מסוגל לקרוא אותך

  2.   באפו דיג'ו

    אני חייב לומר לך שהמדריכים שאתה מפרסם הם HOSTIA, אני אוהב אותם.
    אני תמיד מחכה לפרק הבא שלך.
    כשתסיים, תכניס אותו לקובץ PDF? זהו תיעוד שלדעתי הוא בעל ערך רב, הוא ראוי להישמר היטב.
    תודה רבה וברכה גדולה.
    באפו.

  3.   פדריקו דיג'ו

    באפו: תודה רבה על הערכתך והערתך. התגמול הטוב ביותר עבור הזמן, העבודה והמאמץ שאני מקדיש לכל מורה הוא ההערה. בין אם זה חיובי או שלילי, אבל זה הסימן שהוא לא נעלם מעיניו. אני מניח שהרבה קוראים פשוט מורידים ושומרים, או מסמנים אותו בסימניות. אבל אני יכול רק להניח שעל פי מספר הביקורים. חבל שלא רבים מגיבים, אם כי אני יודע שהנושאים שאני עוסק בהם הם ביסודם של סיסדמינים. ברכות גם לך ואני אחכה לך במאמרים הבאים שלי.

  4.   פדריקו דיג'ו

    לטאה: תודה על הערכתך הכנה שתמיד אזכור.

  5.   ארטוס דיג'ו

    איך תהיה התצורה אם יהיו לי שני ממשקי רשת במקרה של bind
    תודה וברכה על החומר.

  6.   פדריקו דיג'ו

    ארטוס: תודה על תגובתך וברכותיך.
    התשובה לשאלתך ראויה למאמר נפרד על השימוש ב- Views - צפיות ב- BIND.

    במקרה שיש לך אזור מוסמך באחריותך, ואתה רוצה שיהיה לך BIND יחיד להשתתף בשאילתות פנימיות מה- LAN שלך ובשאילתות חיצוניות מהאינטרנט - עם ה- BIND המוגן על ידי חומת אש כמובן - מומלץ להשתמש ב צפיות.

    תצוגות, למשל, מאפשרות לך להציג תצורה עבור רשת ה- SME שלך ואחרת עבור האינטרנט. כאשר איננו מגדירים תצוגה כלשהי במפורש, ה- BIND יוצר במשתמע תצוגה אחת המציגה את כל המחשבים המתייעצים איתה.

    כשימוש בתצוגות אני רואה בכך נושא מתקדם puede ולכתוב מאמר על כך, לפני או אחרי ההודעה שהובטחה שהוכרזה בסיומה.

    כעת, אם יש לך שני ממשקי רשת הפונים לרשת ה- SME שלך - נוצרו על ידי שתי רשתות פרטיות - מכל סיבה שהיא של עיצוב, איזון עומס, מספר ציוד או אחר, ואתה רוצה להציג את כל האזורים שלך לשתי הרשתות, אתה יכול לפתור בהצהרה:

    תקשיב {
    127.0.0.1;
    ממשק IP פרטי;
    ממשק IP-Private2;
    };

    באופן זה, ה- BIND מאזין לבקשות בשני הממשקים.

    אם כל המחשבים שלך נמצאים ברשת פרטית Class C 192.168.10.0/255.255.240.0 - עד 4094 מארחים - למשל, אתה יכול גם להשתמש בהצהרה:

    האזנה {127.0.0.1; 192.168.10.0/20; };

    ואתה ממשיך להציג תצוגה יחידה לכל המחשבים המחוברים לרשת המקומית הפרטית שלך.

    אני מקווה שהתשובה הקצרה שלי תעזור לך. ברכות והצלחה.

    1.    ארטוס דיג'ו

      תודה על התשובה כל כך מהר. אתה מבין שאני מגדיר שרת דביאן עם גרסה 9 (Strech), יש לו DNS, dhcp ודיונון כ- proxy, עבור מסנני התוכן אשתמש ב- e2guardian.

      למחשב שני ממשקי רשת, שיאפשרו למחשבים ברשת לצאת לאינטרנט.
      נתב: 192.168.1.1
      eth0: 192.168.1.55 (דרך ממשק זה הוא יעבור לאינטרנט)
      eth1: 192.168.100.1 (LAN)

      הרעיון הוא שהמחשבים יכולים ללכת לאינטרנט דרך שרת proxy זה, שיספק גם ips ו- dns למחשבים ברשת הפנימית.

      במקרה זה, אני לא זקוק לשרת כדי להשתתף בבקשות dns דרך ממשק eth0 (אני לא רוצה להציג את האזורים שלי לשתי הרשתות, רק לרשת LAN שלי); אז אם אסיר את ממשק ה- IP1 הפרטי, האם זה יספיק?

      שוב תודה ובברכה.

  7.   אדוארדו נואל דיג'ו

    מאמר טוב מאוד ידידי
    יש לך את ה- BIND בעורקים שלך, גם אם אתה אומר וחושב אחרת 🙂
    פליסידדס

  8.   פדריקו דיג'ו

    Artus: הסר את ממשק 192.168.1.55 מהצהרת האזנה והלך. או הכריזו רק על האזנה {127.0.0.1; 192.168.100.1; }; וזה הכל. ה- BIND יקשיב רק בממשקים אלה.

    1.    ארטוס דיג'ו

      בסדר תודה.

  9.   פדריקו דיג'ו

    אדוארדו: ידידי, אני עדיין מעדיף את dnsmasq עבור רשתות "קטנות", ונצטרך לראות כמה "גדולים" הם יכולים להיות. 😉 למרות שאני מזהה ששרת ה- BIND + isc-dhcp הוא שרת ה- BIND + isc-dhcp. 😉

  10.   פדריקו דיג'ו

    אדוארדו: שכחתי לומר לך שהמומחה ל- BIND, הוא אתה, מאסטר.

  11.   מטלטל דיג'ו

    שנים שעשיתי שימוש ב- BIND ואני ממשיך ללמוד עם הכתיבה שלך, תודה רבה לך פדריקו, עם סדרת ההדרכות הזו פוטר sysadmin. אני חוזר ואני חוזר ואומר, הרעיון להקיף את כל הידע הזה בפורמט נייד רשמי הוא לא רע בכלל, תן לו ראש שמשהו טוב מאוד יכול לצאת. ברכת שלום.

  12.   פדריקו דיג'ו

    חבר דנטר: ההערות שלך מתקבלות תמיד היטב. להקיף הכל קשה וכמעט בלתי אפשרי, כי נושא חדש תמיד עולה. לפי פרקים, זה הולך וזה אפשרי. מאמר כלשהו יצטרך לשכתב כדי לקבל עקביות בתצורות. אני לא מבטיח כלום, אבל נראה.

  13.   איסמעאל אלווארז וונג דיג'ו

    שלום פדריקו, הנה התגובות שלי:
    1) הדגש שאתה שם על "... קרא לפני שתגדיר את ה- BIND ואפילו לפני שאתה מחפש באינטרנט מאמרים הקשורים ל- BIND ו- DNS ..." מחפש אותם במחשב שלנו וכל זה "... בלי לצאת מהבית ..." כדי להשתמש שלך מילים משלו.
    2) בפוסט זה אנו מוצאים תיאוריה נוספת על DNS שמשלימה את זו שסופקה בשני ההודעות הקודמות ותמיד זוכה להערכה; לדוגמא: DNSSEC (הרחבות אבטחה של מערכת שמות תחומים) ולמה הוא משמש; כמו גם את תוכנית התצורה של BIND עם קבצי התצורה הסטטיים שלה, קבצי אזור לשרתי השורשים ואזורי ההעברה והאחור של localhost בדביאן.
    3) נהדר הקצה של אי השבתת רקורסיה (באמצעות השורה "רקורסיה לא;") ואז כלול בקובץ התצורה /etc/bind/named.conf.local, את קבצי האזור / etc / bind / zones. rfc1918 ו- /etc/bind/zones.rfcFreeBSD כדי למנוע כל שאילתות הקשורות אליהם להשאיר את הרשת המקומית לשרתי השורש.
    4) בשונה מההודעה הקודמת על CentOS 7, בהודעה זו אם מפתח TSIG "dhcp-key" נוצר לעדכוני DNS דינמיים מ- DHCP; כדי לאפשר זאת בקובץ /etc/bind/named.conf.local, כלול "allow-update {key dhcp-key; }; » בתצורת האזורים הישירים וההפוכים של התחום שלנו.
    5) הפרט הנהדר (שווה לפוסט הקודם ב- CentOS 7) של כל מה שקשור לבדיקות הפעולה של DNS, DHCP ועם הלקוחות.
    6) נהדר הקצה לשימוש בפקודה "התקן" (אם איך אתה כותב את זה, אני לא מתכוון לאפשרות של אותו שם המשמשת בפקודות אחרות), לא ידעתי את זה, כי זה אמיתי "3 ב -1" העתקות קבוצות (cp), הקמת בעלים (chown) והרשאות (chmod).
    . לבסוף, תגובתך ל- Artus בנוגע לשימוש ב- Views in BIND טובה מאוד, האחת עבור ה- LAN (רשת פרטית) והשנייה עבור האינטרנט כך שניתן יהיה להתייעץ עם השירותים הציבוריים בלבד. אני מקווה שבהמשך יהיה לך זמן להכין פוסט מכיוון שהוא נושא יישום מעשי מאוד עבור סיסדמינים רבים.
    שום דבר פדריקו שאני ממשיך להתלהב יותר מסדרת PYMES ואני מצפה לפוסט הבא "Microsoft Active Directory + BIND"

  14.   פדריקו דיג'ו

    וונג: עמית וחבר, ההערות שלך משלימות את המאמרים שלי ומדגימות שהן מובנות. לפקודה "התקן" יש אפשרויות רבות נוספות. שאילתא איש להתקין. תודה לאלף על תגובה !!!

  15.   88 דיג'ו

    עדיין לא קראתי את ההערות, אעשה זאת לאחר שאאמר את הקריטריונים שלי.
    עשית והשגת הרבה, נתת לנו אור אך לא זה שנראה בקצה המנהרה כשאין תקווה + כמו שאנחנו אומרים בדרך כלל; לא שלא בכדי, נתת את האור המלא כדי שתוכל לומר "בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד", כפי שאתה מסביר בפוסט.
    POST TRUNK ויחד עם הקודמים לכמה הפצות מפורסמות יותר. עמדת בהרחבת המושגים והתיאוריה שבהזדמנויות רבות גובה מאתנו את מחירם. קראתי בפירוט, ברוגע ואי אפשר שלא להגיב ולהרגיש לגמרי אסיר תודה על מסירות ומסירות כאלה.
    ללא התייחסות נוספת, כולנו מאחלים לך בריאות ושתמשיך לתרום; אנו מודים לך ושיהיה לך מזל, כלכלה, בריאות (אנו מאחלים לך כפול) ואהבה (עם סנדרה ליותר, חחח).
    אני יודע שהתגובה חורגת מעט מתוכן ההודעה, היא עוברת לאישי מכיוון שאנחנו חברים ואני מעריץ את המסירה שלך ללא אנוכיות. אף אחד אף אחד לא עושה את מה שאתה עושה לאלו מאיתנו שרוצים ללמוד יותר ויותר ויש לנו את האחריות לנהל רשתות קטנות ובינוניות על כתפינו, משימה לא קלה.
    Sl2 כולם.

  16.   פדריקו דיג'ו

    crespo88: תודה רבה על הערכותיך לגבי מאמרים אחרים שפורסמו. חלק מהקוראים עשויים לחשוב שאני נותן הכל, כשזה לא נכון. אני תמיד מתייחס לנקודת כניסה, גם אם הדוגמאות פונקציונליות לחלוטין. BIND הוא התעשייה האלקטרונית ו- DHCP לא נמצא הרחק מאחור. כדי להכיר אותם מעל הממוצע, עליך לעבור תואר שני באוניברסיטת הלסינקי, 😉

  17.   מיגל גוארמטו דיג'ו

    אני מוצא את הנושא הזה מעניין וחשוב מאוד. אני מעוניין במחקר זה על כל מה שמנהל רשתות לינוקס ובעיקר שרתים: dns, dhcp דינמי וסטטי ורשתות וירטואליות, bin9, סמבה, שרתי הדפסה, ldap, פיקוח רשת עם יישומים מאגרי מידע ליישומי מתכנתים ו- vlan וכו '. לכן זה חשוב והטיפים האלה טובים מאוד ועם פרקטיקות ודוגמאות.

  18.   פדריקו דיג'ו

    היי מיגל !!!
    תודה על התגובה ואני מקווה שהסדרה תעזור לך במה שמעניין אותך. בברכה.

  19.   חורחה דיג'ו

    תודה רבה על המאמר פדריקו, הוא מראה שאתה יודע על דביאן. חיבוק.

  20.   פדריקו דיג'ו

    תודה רבה חורחה על תגובתך. מקווה שהמאמרים שלי יעזרו לך.

  21.   אולם פבלו ראול ורגס דיג'ו

    תודה רבה על הפוסט המתועד היטב ודוחק בנו לקרוא, לקרוא ולקרוא שוב. עכשיו עם הפוסט הבא שאתה מתכוון לפרסם, הייתי רוצה שתקח בחשבון את נקודות ההתכנסות שיהיו:
    Active Directory של מיקרוסופט עם Samba4 כ- Active Directory

    חוץ מזה רציתי להתייעץ עם הדברים הבאים:
    איך היישום של Bind + Isc-dhcp יהיה ב- FW ב- dmz שבו בקר התחום יהיה ב- dmz עם סמבה 4 לספירה