Dnsmasq ב- CentOS 7.3 - רשתות SME

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. אנו מקדישים מאמר זה ל דנסמסק תוכנית מאוד פשוטה המספקת שירותים DNS - DHCP באמצעות תוכנה אחת. התיעוד הטוב ביותר שקיים בתוכנה זו הוא זה המותקן עם החבילה עצמה /usr/share/doc/dnsmasq-2.66/, קובץ התצורה -דוגמאות- /etc/dnsmasq.conf, וזה שהושג על ידי הפקודה איש דנסמסק. זה גם מאוד בריא לבקר אצלך אתר רשמי.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
סה"כ 136 -rw-r - r--. שורש שורש 1 18007 17 באפריל 2013 העתקה -rw-r - r--. שורש 1 שורש 59811 11 בנובמבר 13:20 CHANGELOG -rw-r - r--. שורש שורש 1 5164 17 באפריל 2013 DBus-interface -rw-r - r--. שורש שורש 1 5009 17 באפריל 2013 doc.html -rw-r - r--. שורש שורש אחד 1 25075 באפריל 17 שאלות נפוצות -rw-r - r--. שורש שורש אחד 2013 1 באפריל 12019 setup.html
  • ההליך המתואר בפוסט תקף גם עבור דביאן 8 "ג'סי". קובץ התצורה / etc / dnsmasq זהה. בג'סי, אולי אתה צריך להתקין רק את חבילת dnsmasq שלך ולא שום דבר אחר. אני כותב את זה כי אני רואה את זה מיותר להכין מאמר נפרד ל- Dnsmasq בדביאן. למרבה המזל, הספריות הקשורות לתיעוד ותצורה זהות. 😉

Dnsmaq הוא יצירה של סיימון קלי.

מה זה דנסמסק?

תוכנה חינמית דנסמסק הוא שרת DNS משלח y DHCP עבור רשתות מחשבים קטנות. דוגמה אופיינית הן הרשתות הקיימות בחברות הקטנות והבינוניות שלנו. הוא דורש מעט משאבי חומרה לצורך פעולתו וניתן להריצו בפלטפורמות שונות כגון לינוקס, BSD, אנדרואיד ו- OS X. הוא נכלל כמעט בכל המאגרים של הפצות לינוקס ו- BSD.

השרת DHCP דל דנסמסק ניתן להשכיר כתובות IP באופן דינמי וסטטי, למספר רשתות עם טווחי כתובות IP שונים. הוא משולב בשרת DNS והיא מאפשרת למכונות מקומיות שמקבלות כתובת IP להופיע כפי שרשומות ב- DNS עם רשומות ה- DNS הנכונות שלהן, הן ישירות והן לאחור.

דרך העבודה המקומית דנסמסק לאחסן במטמון רשומות DNS שהושגו על ידי שאילתות משלחים, מפחית את העומס על אלה ומשפר את הביצועים הכוללים של מהירות התגובה לשאילתות DNS שונות.

תומך בסטנדרטים מודרניים כגון IPv6 y DNSSEC, התחל - סירה דרך הרשת עם תמיכה בפרוטוקולים BOOTP, TFTP, ו PXE.

ביקום לינוקס, Dnsmasq נמצא בשימוש נרחב בשרתים למכונות ללא דיסק קשיח ולקוחות דקים. ב- Microsoft® Windows, עם התוכנה ARDENCE®, שווה ערך ל- Dnsmasq- משמש כשרת DHCP שנקרא טלוריאנית.

באיזה תרחיש נוכל להשתמש ב- Dnsmasq?

אם נבצע איש דנסמסק ב- CentOS נקבל את הדף עבור אותו מדריך בשפה האנגלית. בתיק dnsmasq.8.gz -ב ספרדית- המותקנת עם הפצת Debian 8 «Jessie», זה בא לידי ביטוי בדיוק הבא:

גבולות

  • ערכי ברירת המחדל עבור מגבלות משאבים הם בדרך כלל שמרניים ומתאימים לשימוש במכשירים מסוג נתב. תקוע עם מעבדים איטיים וזיכרון נמוך. בחומרה יותר  מסוגלים, ניתן להגדיל את הגבולות ולתמוך בעוד רבים לקוחות. הדברים הבאים חלים על dnsmasq-2.37: גרסאות קודמות לא הם טיפסו כל כך טוב.
  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות. זמני הליסינג לא צריכים להיות קצרים מדי (פחות מאחד זְמַן). ניתן להגדיל את הערך של –dns-forward-max: התחל עם המקבילה למספר הלקוחות ולהגדיל אותה אם DNS. שים לב שביצועי DNS תלויים גם בשרתים DNS במעלה הזרם. ניתן להגדיל את גודל מטמון ה- DNS: המגבלה חובה הוא 10,000 שמות וברירת המחדל (150) נמוכה מאוד. שליחת SIGUSR1 ל- dnsmasq מייצרת מידע על סיביות שימושי לכוונון עדין של גודל המטמון. לפרטים ראה סעיף הערות.
  • שרת ה- TFTP המובנה מסוגל לתמוך בהעברות מרובות קבצים בו זמנית: המגבלה המוחלטת קשורה למספר ידיות הקבצים המותרות לתהליך ויכולת המערכתtem call select () כדי לתמוך במספרים גדולים של ידיות קבצים. אם המגבלה מוגדרת גבוהה מדי עם –tftp-max היא תוקטן והגבול בפועל יישעון בעת ​​ההפעלה. שימו לב שעוד העברות אפשרי כאשר אותו קובץ נשלח מה כאשר כל טרנסferencia שולח קובץ אחר. אפשר להשתמש ב- dnsmasq כדי לשלול פרסום באינטרנט באמצעות רשימה של שרתי באנרים ידועים, כולם נפתחים ל- 127.0.0.1 או 0.0.0.0 ב- / etc / hosts או בקובץ מארחים נוסף. הרשימה יכולה להיות ארוך מאוד. Dnsmasq נבדק בהצלחה עם מיליון שמות. גודל הקובץ הזה זקוק למעבד של 1 GHz ובערךזיכרון RAM של 60 מגה-בתים.

את הפסקאות לעיל כלל לא כתבתי או ערכתי. הם באים לידי ביטוי כשהם באים ב איש בספרדית מ dnsmasq 2.72 ממאגר דביאן 8.6. מהם ומהנוהג בשימוש בתוכנה זו, אנו יכולים להסיק כי נדיר - לא בלתי אפשרי - למצוא תרחיש ברשתות ה- SME שלנו העולה על כמות ה 1000 לקוחות או מחשבים המחוברים לרשת LAN.

  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות.

שיקולים בצד

תמיד הדהים אותי שהתוכנה עטורת הפרסים ClearOS Enterprise 5.2 SP1 ישתמש ב- Dnsmasq המשויך אליו NTP- כשרת תשתית כברירת מחדל, ולהמשיך להשתמש בו ככזה - לפחות עד גרסאות 7.xxx- in משחרר אתה משלם עבור התקנת Active Directory® המבוסס על סמבה 4. חבל עלינו, חובבי תוכנה חופשית, שהחברה ClearFoundationיפסיק לספק תוכנה באיכות זו בגרסאות מאוחרות יותר מ- 5.xxx לטובת רווחים כספיים טובים יותר. אני חושב שזה אינו מניב את החברה עצמה.

למרות שאני א אוהד דביאן -ואני בכלל לא רוצה לעשות תעמולה לבחירה האישית מאוד שליתמיד הערצתי את החברה Red Hat®, Inc. שהמודל העסקי שלה הציב אותה כמנהיגה הבלתי מעורער של תוכנה חופשית. בנוסף, הוא נותן החסות של השיבוט הבינארי CentOS - תוכנה חופשית 100% - של מערכת ההפעלה הכוכבת שלו Red Hat® Enterprise Linux - RHEL. על משהו נאמר ש- CentOS היא RHEL שאינו נתמך ???

  • יש לי ריצה a סמבה קלאסי NT 4.0 בקר תחום ראשי בסגנון מבוסס על ה ClearOS Enterprise 5.2 SP1 במשך יותר מ -4 שנים ברשת של חברה עם לקוחות Windows XP, 7, 8, Windows Server 2003 ו- Windows Server 2012. מה יש לדגדג כמה ערכי רישום של כל לקוח Windows בגירסה גבוהה יותר מ- XP? זה נכון. מה עובד הכי טוב? זה גם נכון. שמספר הקבוצות לא מגיע ל 100? נכון גם.

שכל ישר

  • למרות שמבחינתי «השכל הישר הוא הכי פחות נפוץ מבין החושים», מקם את עצמך קודם כל בצרכים שלך ואז בחר בסצנה האמנותית לפי מה שאתה צריך לבטא ולפתור לפי התסריט שלך.
  • אל תשתמש בטיל חוצה יבשות כדי להרוג יתוש. אל תסבך את החיים שלא לצורך: התחל מהפתרון הפשוט ביותר. אם אתה לא פותר עם זה, העלה את המורכבות נקודה אחת וכו '.

בואו להתקין את CentOS 7 ואת ה- Dnsmasq

להתקנת מערכת הבסיס אנו מונחים על ידי המאמר CentOS 7 Hypervisor I ובמבחר החבילות אנו מסמנים רק את האפשרות «שרת תשתית«. הפרמטרים הכלליים בהם נשתמש בהכנת מאמר זה הם הבאים:

Nombre FQDN de la máquina virtual:  dns.desdelinux.אוהד
כתובת IP: 10.10.10.5

CentOS 7 מתקין את ברירת המחדל של dnsmasq

כן קוראים יקרים, ב- CentOS 7 החבילה דנסמסק מותקן במהלך ההתקנה של שרת תשתית ו אני מניח מאשר גם באופציות אחרות.

[root @ dns ~] # yum info dnsmasq
תוספים טעונים: המהיר ביותר מירור, langpacks טוען מהירויות מראה מהקובץ המארח במטמון חבילות מותקנות שם: dnsmasq אדריכלות: x86_64 גרסה: 2.66 שחרור: 21.el7 גודל: 464 k
מאגר: מותקן
ממאגר: centos-base סיכום: כתובת URL של שרת DNS קל / מטמון קל משקל: http://www.thekelleys.org.uk/dnsmasq/ רישיון: GPLv2 תיאור: Dnsmasq הוא קל משקל, קל לתצורה של מעביר DNS ו- DHCP: שרת . הוא נועד לספק DNS ובאופציה DHCP לרשת קטנה. זה יכול לשרת את שמות המכונות המקומיות שהן: לא ב- DNS העולמי. שרת DHCP משתלב עם שרת ה- DNS ומאפשר להופיע מכונות עם כתובות המוקצות ל- DHCP: ב- DNS עם שמות המוגדרים בכל מארח או בקובץ תצורה מרכזי. Dnsmasq תומך סטטי ודינמי: DHCP חכירה ו- BOOTP לאתחול רשת של מכונות חסרות דיסקים.

הגרסה של דנסמסק מותקן הוא 2.66, ומתאים לגירסת CentOS:

[root @ dns ~] # cat / proc / גרסה
גרסת לינוקס 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (גרסת gcc 4.8.5 20150623 (רד האט 4.8.5-11) (GCC)) # 1 SMP ד '18 בינואר 13:06:36 UTC 2017

בואו לאפשר ולהגדיר את ה- dnsmasq

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5  dns.desdelinux.fan  dns

[root @ dns ~] # מארח
DNS
[root @ dns ~] # host -f
dns.desdelinux.אוהד


[root @ dns ~] # systemctl מאפשר dnsmasq
[root @ dns ~] # systemctl התחל dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - שרת אחסון במטמון DNS. נטען: נטען (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת הגדרות קבועות מראש של הספק: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 11:47:19 EST; לפני 4 שניות PID ראשי: 1179 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1179 / usr / sbin / dnsmasq -k 18 בפברואר 11:47:19 dns systemd [1]: שרת מטמון DNS התחיל .. פברואר 18 11:47:19 dns systemd [1]: הפעלת שרת מטמון DNS .... 18 בפברואר 11:47:19 dns dnsmasq [1179]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 11:47:19 dns dnsmasq [1179 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... ה 18 בפברואר 11:47:19 dns dnsmasq [1179]: קריאה /etc/resolv.conf 18 בפברואר 11:47:19 dns dnsmasq [1179]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 11:47:19 dns dnsmasq [1179]: read / etc / hosts - 3 כתובות רמז: כמה שורות היו בגודל אליפסה, השתמש ב- l כדי להראות במלואן.

אל תשכח את הצעד הבא:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

כתובות IP קבועות

עם Dnsmasq, כתובות השרתים או המחשבים הדורשים IP קבוע - הן IPv4 ו- IPv6 - מוצהרים בקובץ / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

# Servidores
10.10.10.1      sysadmin.desdelinux.fan         sysadmin
10.10.10.3  ad-dc.desdelinux.fan            ad-dc
10.10.10.4      fileserver.desdelinux.fan       fileserver
10.10.10.5  dns.desdelinux.fan          dns
10.10.10.6  proxyweb.desdelinux.fan         proxyweb
10.10.10.7  blog.desdelinux.fan         blog
10.10.10.8  ftpserver.desdelinux.fan        ftpserver
10.10.10.9  mail.desdelinux.fan         mail

בואו ניצור את הקובץ /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------------------------
# O P C I O N E S   G E N E R A L E S
# -------------------------------------------------------------------
domain-needed   # No pasar nombres sin la parte del dominio
bogus-priv  # No pasar direcciones en el espacio no enrutado
expand-hosts    # Adiciona automaticamente el dominio al host
interface=eth0  # Interface. OJO con la Interface
# except-interface=eth1 # NO escuchar por esta NIC
strict-order    # Orden en que consulta el archivo /etc/resolv.conf

# Incluya muchas mas opciones de configuración
# mediante un archivo o ubicando los archivos
# de configuración adicionales en un directorio
# conf-file=/etc/dnsmasq.more.conf
conf-dir=/etc/dnsmasq.d

# Relativos al Nombre del Dominio
domain=desdelinux.fan   # Nombre del dominio

# El Servidor de Tiempo es 10.10.10.1
address=/time.windows.com/10.10.10.1

# Envía una opción vacía del valor WPAD. Se requiere para que 
# se comporten bien los clientes Windos 7 y posteriores. ;-)
dhcp-option=252,"\n"

# Archivo donde declararemos los HOSTS que serán "baneados"
addn-hosts=/etc/banner_add_hosts

# -------------------------------------------------------------------
# R E G I S T R O S   C N A M E    M X    T X T
# -------------------------------------------------------------------
# Este tipo de registro requiere de una entrada
# en el archivo /etc/hosts
# ej: 10.10.0.7 blog.desdelinux.fan blog
# cname=ALIAS,REAL_NAME
cname=www.desdelinux.fan,blog.desdelinux.fan

# REGISTROS MX
# Devuelve un registro MX con el nombre "desdelinux.fan" con destino
# al equipo mail.desdelinux.fan y prioridad de 10
mx-host=desdelinux.fan,mail.desdelinux.fan,10

# El destino por defecto para los registros MX que se creen
# utilizando la opción localmx será:
mx-target=mail.desdelinux.fan

# Devuelve un registro MX apuntando al mx-target para TODAS
# las máquinas locales
localmx

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a -all"
txt-record=desdelinux.fan,"DesdeLinux, su Blog dedicado al Software Libre"

# -------------------------------------------------------------------

# -------------------------------------------------------------------
# R A N G O   Y   S U S   O P C I O N E S
# -------------------------------------------------------------------
# Rango IPv4 y tiempo de arrendamiento
# De la 1 a la 29 son para los Servidores y otras necesidades
dhcp-range=10.10.10.30,10.10.10.250,8h

dhcp-lease-max = 222 # מספר כתובות מקסימלי לחכירה
                        # כברירת מחדל היא 150
# Rango IPV6
# dhcp-range=1234::, ra-only

# Opciones para el RANGO
# O P C I O N E S
dhcp-option=1,255.255.255.0 # NETMASK
dhcp-option=3,10.10.10.253  # ROUTER GATEWAY
dhcp-option=6,10.10.10.5    # DNS Servers
dhcp-option=15,desdelinux.fan   # DNS Domain Name
dhcp-option=19,1        # option ip-forwarding ON
dhcp-option=28,10.10.10.255 # BROADCAST
dhcp-option=42,10.10.10.1   # NTP
# dhcp-option=40,DCH        # NIS Domain Name
# dhcp-option=41,10.10.10.5 # NIS Server
# SERVIDOR WINS SAMBA4 EXTERNO  #
# dhcp-option=44,10.10.10.5 # WINS
# dhcp-option=45,10.10.10.5 # Datagramas NetBIOS
# SERVIDOR WINS SAMBA4 EXTERNO  #
# dhcp-option=46,8      # Nodo NetBIOS
# dhcp-option=73,10.10.10.3 # Finger Server

dhcp-authoritative              # DHCP Autoritario en la subnet
# -------------------------------------------------------------------

# -------------------------------------------------------------------
# L O G G I N G   A L    /var/log/messages
# -------------------------------------------------------------------
log-queries

# END של הקובץ /etc/dnsmasq.conf
# --------------------------------------------------------- ------------------

בואו נבדוק את התחביר ונתחיל מחדש את השירות

[root @ dns ~] # dnsmasq - test
dnsmasq: תחביר בדוק אישור.
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - שרת אחסון במטמון DNS. טעון: טעון (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת ספק מראש: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 12:48:05 EST; לפני 5 שניות PID ראשי: 1288 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1288 / usr / sbin / dnsmasq -k 18 בפברואר 12:48:05 dns systemd [1]: התחיל שרת מטמון DNS .. פברואר 18 12:48:05 dns systemd [1]: הפעלת שרת מטמון DNS ... 18 בפברואר 12:48:05 dns dnsmasq [1288]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 12:48:05 dns dnsmasq [1288 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... ה 18 בפברואר 12:48:05 dns dnsmasq-dhcp [1288]: DHCP, טווח IP 10.10.10.30 - 10.10 .... ח 18 בפברואר 12:48: 05 dns dnsmasq [1288]: קריאה /etc/resolv.conf 18 בפברואר 12:48:05 dns dnsmasq [1288]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 12:48:05 dns dnsmasq [1288 ]: read / etc / hosts - 11 כתובות
18 בפברואר 12:48:05 dns dnsmasq [1288]: טעינת השמות נכשלה מ /etc/banner_ad...ry
רמז: כמה שורות היו eellipsized, להשתמש -l להראות במלואו.

שים לב שבפלט הקודם ה מצב מערכת dnsmasq מחזירה את השגיאה:

18 בפברואר 12:48:05 dns dnsmasq [1288]: טעינת השמות נכשלה מ /etc/banner_ad...ry

מתלונן שאתה לא יכול למצוא את הקובץ / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service 
● dnsmasq.service - שרת אחסון במטמון DNS. נטען: נטען (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת ספק מראש: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 12:54:26 EST; לפני 7 שניות PID ראשי: 1394 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1394 / usr / sbin / dnsmasq -k 18 בפברואר 12:54:26 dns systemd [1]: שרת מטמון DNS התחיל .. פברואר 18 12:54:26 dns systemd [1]: הפעלת שרת מטמון DNS ... 18 בפברואר 12:54:26 dns dnsmasq [1394]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 12:54:26 dns dnsmasq [1394 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... 18 בפברואר 12:54:26 dns dnsmasq-dhcp [1394]: DHCP, טווח IP 10.10.10.30 - 10.10 .... ח 18 בפברואר 12:54 : 26 dns dnsmasq [1394]: קריאה /etc/resolv.conf 18 בפברואר 12:54:26 dns dnsmasq [1394]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 12:54:26 dns dnsmasq [ 1394]: read / etc / hosts - 11 כתובות 18 בפברואר 12:54:26 dns dnsmasq [1394]: read / etc / banner_add_hosts - 0 כתובות רמז: שורות מסוימות היו בעלות אליפסה, השתמש ב- l כדי להציג אותן במלואן.

וכבר יש לנו שירותי DNS ו- DHCP פועלים.

חשוב

  • אם נשנה את הקובץ /etc/dnsmasq.conf, עלינו להפעיל מחדש את השירות כדי שהשינויים ייכנסו לתוקף.
  • אם אנו משנים את הקובץ / etc / hosts כדי לחסל, לשנות או להוסיף IP קבוע עם שם המארח המתאים לו, עלינו להפעיל מחדש את השירות כדי שהשינויים ייכנסו לתוקף..
  • לא ניתן להשתמש בשירות זה לטעון מחדש את מערכת dnsmasq.service.

אנו פותחים את היציאות הדרושות בחומת האש

במאמר של ידידי ועמיתי לויגיס טורו -aka לטאה- "כיצד לפתוח יציאות בחומת האש של סנטוס 7»ההליך שעלינו לפעול לפתיחת היציאות בחומת האש ש- CentOS מתקין כברירת מחדל מוסבר היטב. אני עדיין לא יודע להחיל את כללי ההקשר של Selinux על שירות ה- dnsmasq ב- CentOS. אם מישהו מכיר אותו, אנא נאיר אותנו.

קבצים / וכו '/ פרוטוקולים y / וכו '/ שירותים הם מדריך טוב מאוד לדעת אילו יציאות אנחנו צריכים לפתוח כדי ששירותי ה- DNS וה- DHCP המסופקים על ידי Dnsmasq יעבדו היטב.

[root @ dns ~] # firewall-cmd - get-active-zones
ממשקים ציבוריים: eth0

שירות תחום o שרת שמות מתחם (dns). נוהל לסחוב «IP עם הצפנה»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / tcp - קבוע
הצלחה

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / udp - קבוע
הצלחה

שירות אתחול o שרת BOOTP (dhcp). נוהל ippc «ליבת חבילות פלוריבוס באינטרנט»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / tcp - קבוע
הצלחה

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / udp - קבוע
הצלחה

[root @ dns ~] # חומת אש-cmd - טען מחדש
הצלחה

[root @ dns ~] # firewall-cmd - list-all
יעד ציבורי (פעיל): ברירת מחדל של היפוך בלוק icmp: ללא ממשקים: מקורות eth0: שירותים: יציאות dhcpv6-client ssh: 53 / udp 67 / tcp 53 / tcp 67 / udp פרוטוקולים: maskerade: ללא port-ports: sourceports: icmp-blocks: כללים עשירים:

חשוב

  • אם אנו מספקים שירותי ליסינג כתובות IPv6, עלינו לפתוח גם יציאות dhcpv6-server 547 / tcp ו- dhcpv6-server 547 / udp.

בדיקות

בואו נבדוק באמצעות מספר שאילתות DNS כיצד פועל Dnsmasq החדש המותקן שלנו. לשם כך אנו בוחרים את הצוות הידוע מנהל מערכת.desdelinux.אוהד, ומאותו מחשב, המחובר לרשת LAN, נבצע מספר שאילתות, אך לא לפני שנבדוק שהקובץ מוגדר כהלכה / Etc / resolv.conf:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager desdelinuxשרת שמות .fan 10.10.10.5

הגדרות קבצים / Etc / resolv.conf זה נכון. נתחיל בהתייעצויות

buzz @ sysadmin: ~ $ dns מארח
dns.desdelinux.fan has address 10.10.10.5
Host dns.desdelinux.fan not found: 5(REFUSED)
dns.desdelinux.fan mail is handled by 1 mail.desdelinux.אוהד.

עם התצורה המוצעת, אנו יכולים למחוק את פלט הפקודה המארח ללא אפשרויות כשמדובר ב- Dnsmasq, כאשר מחזירים קווים כדלקמן:

Host dns.desdelinux.fan not found: 5(REFUSED)

אם איננו רוצים פלט מסוג זה, עלינו להשתמש בפקודה המארח עם אפשרויות -t A, -t CNAME, -t NS, -t SOA, -t SIG, -t AXFR. לִרְאוֹת איש מארח למידע נוסף:

buzz@sysadmin:~$ host -t A dns.desdelinux.אוהד
dns.desdelinuxל-.fan יש כתובת 10.10.10.5

[root @ dns ~] # host -t ל- dns
dns.desdelinuxל-.fan יש כתובת 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ מארח 10.10.10.5
5.10.10.10.in-addr.arpa domain name pointer dns.desdelinux.אוהד.

Dnsmasq אינו מיועד לתוכנית Master-Slave

buzz@sysadmin:~$ host -t AXFR desdelinux.אוהד
Trying "desdelinux.fan"
Host desdelinux.fan not found: 5(REFUSED)
; Transfer failed.

זה גם לא נועד להחזיר רשומות NS ו- SOA

buzz@sysadmin:~$ host -t NS desdelinux.אוהד
מארח desdelinux.fan not found: 5(REFUSED)

buzz@sysadmin:~$ host -t SOA desdelinux.אוהד
מארח desdelinux.fan not found: 5(REFUSED)

buzz@sysadmin:~$ לחפור ב-SOA desdelinux.אוהד
buzz@sysadmin:~$ dig IN NS desdelinux.אוהד

אם הוא תומך ברשומות MX, CNAME ו- TXT

buzz @ sysadmin: ~ $ host -t ל- www
www.desdelinux.fan is an alias for blog.desdelinux.fan.
blog.desdelinuxל-.fan יש כתובת 10.10.10.7
buzz@sysadmin:~$ host -t MX desdelinux.אוהד
desdelinux.fan mail is handled by 10 mail.desdelinux.אוהד.

buzz @ sysadmin: ~ $ host -t CNAME www
www.desdelinux.fan is an alias for blog.desdelinux.אוהד.

buzz@sysadmin:~$ host -t A blog.desdelinux.אוהד
בלוג.desdelinuxל-.fan יש כתובת 10.10.10.7

buzz@sysadmin:~$ host -t TXT desdelinux.אוהד
desdelinux.fan descriptive text "DesdeLinux, su Blog dedicado al Software Libre"
desdelinux.fan descriptive text "v=spf1 a -all"

PTR מתעד פניות

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa domain name pointer blog.desdelinux.אוהד.

buzz @ sysadmin: ~ $ מארח 10.10.10.7
7.10.10.10.in-addr.arpa domain name pointer blog.desdelinux.אוהד.

לקוחות Microsoft® Windows

בריא מאוד הוא לרוץ על קונסולת שרתים dns.desdelinux.אוהד הפקודה journalctl -f לפני שמפעילים מכונה שמפעילה מערכת הפעלה Microsoft® Windows, כדי לראות את המספר העצום של שאילתות DNS לאתרים שונים שהיא מבצעת. זה באמת משעשע מאוד. 😉

אם אנו רוצים למנוע משאילתות הקשורות לחלק מהאתרים הללו לנסוע לשרתי השורשים - שרתי שורש או כלפי משלחים שאנחנו מצהירים עליו בתיק / Etc / resolv.conf, אנו יכולים לעשות שימוש טוב בקובץ / etc / banner_add_host, למלא אותו בכמה שיותר אתרים שאנחנו צריכים להכריז עליו. דוגמא:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq - test
dnsmasq: תחביר בדוק אישור.

[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

[root @ dns ~] # host -t ל- spynet4.microsoft.com
לכתובת spynet4.microsoft.com יש כתובת 127.0.0.1

[root @ dns ~] # host -t לאתר www.download.windowsupdate.com
לכתובת www.download.windowsupdate.com יש כתובת 127.0.0.1
  • הפורמט של קובץ / etc / banner_add_hosts זהה לקובץ / etc / hosts. בואו נזכור שרשימת התחומים ל"איסור "יכולה להיות ארוכה ככל שנצטרך, על פי האמור בסעיף גבולות של מאמר זה.

לבדיקה מהלקוח שבע.desdelinux.אוהד שנתן את כתובת ה- IP:

buzz @ sysadmin: ~ $ host -t A שבע
שבע.desdelinux.fan has address 10.10.10.115

אנו מבצעים את הפקודה בלקוח Windows עצמו cmd:

Microsoft Windows [נוסח 6.1.7601]
זכויות יוצרים (c) 2009 תאגיד מיקרוסופט. כל הזכויות שמורות.

C: \ משתמשים \ באז> nslookup
Default Server:  dns.desdelinux.fan
Address:  10.10.10.5

> dns
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    dns.desdelinux.fan
Address:  10.10.10.5

> ftpserver
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    ftpserver.desdelinux.fan
Address:  10.10.10.8

> www
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    blog.desdelinux.fan
Address:  10.10.10.7
Aliases:  www.desdelinux.fan

> mail
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    mail.desdelinux.fan
Address:  10.10.10.9

> sysadmin
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    sysadmin.desdelinux.fan
Address:  10.10.10.1

> www.download.windowsupdate.com
Server:  dns.desdelinux.fan
Address:  10.10.10.5

Name:    www.download.windowsupdate.com
Address:  127.0.0.1

> quit

C:\Users\buzz>

תקציר

עד כה ראינו כמה מאפיינים עיקריים של ה- Dnsmasq. אני מציע קרא וחקר את הקבצים המוזכרים בפסקה הראשונה במאמר זה, אם ברצונך לדעת יותר על תוכנית מפוארת ומפתיעה זו. באמצעות השימוש בו אנו יכולים להקל מאוד על חיינו.

בסביבות 2014 קראתי את המאמר «כיצד: Samba4 AD PDC + Windows XP, Vista ו- 7«. יוצר המאמר מכריז בלי להסמיק: «אני שונא לאגד, אז זה dnsmasq להצלה»(Sic) שפירושו פחות או יותר«אני שונא את BIND, אז דנסמסק נחלץ להצלה«. למען הפרוטוקול, הביטוי הזה לא נאמר על ידי.

כדרך אגיב, כי במאמר זה המחבר אינו מבהיר את מקורן של כמה רשומות DNS ובאופן כללי אין זה מדריך טוב ליישום Active Directory® המבוסס על סמבה 4. אם הייתי מוכה מההעדפה הקנאית שלך דנסמסק.

אני בכלל לא שונא את BIND. ארבעת המאמרים הקודמים שלי -4 מוכיחים זאת:

כפי שכתבתי בהזדמנויות קודמות, כמעט אף פעם אני ממליץ, אבל אני מציע. במקרה של דנסמסק כן אני ממליץ השימוש בו ברשתות קטנות ובינוניות.

המסירה הבאה

הפרק הבא -אני חושב שאני חושב- אקדיש אותו לשילוב של Dnsmasq עם Microsoft® Active Directory®. זו תהיה נקודת כניסה טובה למאמר -muy- בהמשך זה יעסוק כיצד ליצור AD-DC עם Samba 4 ו- Dnsmasq.


12 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   ג'ואן הרננדז דיג'ו

    בוקר טוב פראי !!! אני מאשר את כל מה שאתה אומר ובאמת שהפעלת אותה רשת עד היום לא נותנת סיבה להתלונן. אני כבר לא מנהל מערכת של אותה רשת, כי אתה מכיר את הבעיות שהיו לי ... אבל בזמן שהייתי אחראי על אותה רשת ועד היום שאני מתקשר עם זו שמולה, אין שום סיבה להתלונן. החוויות הטובות ביותר שלי עם ClearOS ו- DNSmasq.

  2.   פדריקו דיג'ו

    חבר ג'ואן, תודה על עזרתך באישור הדברים שכתבתי על החברה עם ClearOS.

  3.   מטלטל דיג'ו

    מה שאני הכי אוהב ב- dnsmasq הוא עד כמה זה יכול להיות רב תכליתי, בקובץ יחיד אתה מגדיר DNS ו- DHCP. בקשר לביצועים אין לי תלונות, לפני זמן מה כיביתי שרת 2003R2 שפעל כ- DC, כמה לקוחות לינוקס מעיריות רחוקות "נתלו" ומכיוון שלא הייתה לי שום דרך לשנות את העדפות ה- DNS שלהם, מה שעשיתי היה להעלות ג'סי עם ה- IP הזה ו- dnsmasq במטמון ה- DNS החדש, הכל בסדר.
    מאמר טוב מאוד פיקו, בברכה.

    1.    פדריקו דיג'ו

      מה אתה חושב על הגבול השמרני של שירות עד 1000 מחשבים? יש לי אפשרות לאמת את הנתונים עם חבר שמוקדש להציע שירותים של אתר "שבוי" באמצעות WiFi, ולאחרונה הוא נתן את השירות - עם BIND + Isc-dhcp- ליותר מ -1000 מוביילים בתיאטרון קארל מרקס. . הוא שכר אותי כדי להפוך אותו לשרת עם צריכת משאבים הנמוכה ביותר האפשרית, לעבודה זו.

      1.    מטלטל דיג'ו

        זה חייב להיות ברור שכביכול "מגבלות" אלו נמדדו לפני כמה שנים ועם חומרה הרבה מתחת לסטנדרט הנוכחי, גם ה- dnsmasq וגם הלקוחות התפתחו הרבה, אני די בטוח שזה יעמוד בעומס של משתמשים אלו. תעד תמיד וחסום את אלף השאילתות שאנדרואיד מנסה לטלפן הביתה, היי. לחיים

  4.   פדריקו דיג'ו

    אני אקח את עצתך ברצינות רבה, מהפנט. שוב תודה

  5.   איוו דיג'ו

    כפי שהפך נפוץ בסדרה זו של חברות קטנות ובינוניות, פוסט זה ב- "DNSMASQ" הוא מאמר נהדר נוסף שהמחבר נותן לנו לסיסאדמינים לפתח את עצמנו מבחינה טכנית ותיאורטית.
    במקרה האישי שלי ידעתי במעורפל על dnsmasq שכן העדיפתי את ה- DNS (Bind) ו- DHCP כשני שירותים עצמאיים. בשבילי זה נהדר! הדבר dnsmasq לאפשר להגדיר את שניהם בשירות יחיד (דרך הקובץ /etc/dnsmasq.conf).
    גדול! המסוגל לתמוך בלפחות 1,000 לקוחות עם DNS ו- DHCP מבלי להשפיע על ביצועיו.
    טוב מאוד הוא הטיפ כיצד להימנע משאילתות הקשורות לשרתי שורש או מעבירים באמצעות הקובץ / etc / banner_add_host, שם אנו מכניסים את אתרי "N" שעלינו להכריז כאילו הם "localhosts".
    לבסוף וכפי שהיה מקובל במחבר בסעיף "המסירה הבאה", כעת הוא מתכנן לספק פנינה נוספת "שילובו של Dnsmasq עם Microsoft® Active Directory®".
    ובכן, אנחנו כבר מצפים לזה.

  6.   גלגל המזלות דיג'ו

    הייתי עסוק ולא יכולתי לעקוב אחר המאמרים שלך. התגעגעתי לכמה. כל כתיבה חדשה שלך היא הפתעה נעימה המכילה תורות חדשות. המשך כך חברו של פיקו

  7.   88 דיג'ו

    דנסמסק, אני עד להפעלתו על בסיס יומי, זה הכי טוב. תמיד אמרתי לך והתעקשתי על שילוב של bind9 ו- isc-dhcp-server (פיתרון שאני אוהב מאוד, כי מנסה כל כך הרבה פעמים למדתי וראיתי ורכשתי את המעט שאני יודע על dns ו- dhcp, VIIII, יכולתי לראות מה מיקרוסופט לא נותן לך להתבונן, מה הם לא רוצים שתלמד וישמור אותך בחדר חשוך ונעול, הם באמת שירותים שדיברו עליהם כאילו הם מפלצות והם אנשים טובים, אתה יכול להתמודד איתם את האמת), ותודה לך לכך נאלצת לשפר את עצמך עוד יותר, למעשה אנו כבר רואים את כל תוצאות המאמץ הזה ואנו מודים לך על איכות ההודעות שלך.
    זה במיוחד הוא סופר, אני לא לוקח קרדיט מהשאר, כמובן שלא, אפילו לא חושב על זה; אבל בגללך פגשתי את חברתי dnsmasq ורשת המגורים שלי חיה יותר משמחה לפגוש את עמיתנו החדש שיצר סיימון קלי. תודה גם עליו.

  8.   פדריקו דיג'ו

    IWO: לא תחכה זמן רב לפוסט הבא. עדיין לא סיימתי את זה כי אני מאוד עסוק בעבודה היומיומית שלי. הזמן ... אבל בטח יהיה לך את זה לשבוע הבא.

  9.   פדריקו דיג'ו

    Crespo88: אני לא יכול להוסיף שום דבר אחר לתגובה המלאה שלך. וכבר חסר לי זמן כי בשעה 7:XNUMX נגמר לי הניווט 😉
    תודה!.

  10.   סזריאלי דיג'ו

    היי, פיקו. מאמר טוב מאוד.
    ברצוני לדעת כיצד ליישם את dnsmasq על ברמטאל (HP Proliant gen 8) המארח מכונות וירטואליות של KVM.
    האם תצורת dnsmasq צריכה להיעשות על המארח או באחד מכלי ה- VM שעובד כשרת dnsmasq?
    אני בלאגן.
    ברכות.