Dnsmasq ב- CentOS 7.3 - רשתות SME

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. אנו מקדישים מאמר זה ל דנסמסק תוכנית מאוד פשוטה המספקת שירותים DNS - DHCP באמצעות תוכנה אחת. התיעוד הטוב ביותר שקיים בתוכנה זו הוא זה המותקן עם החבילה עצמה /usr/share/doc/dnsmasq-2.66/, קובץ התצורה -דוגמאות- /etc/dnsmasq.conf, וזה שהושג על ידי הפקודה איש דנסמסק. זה גם מאוד בריא לבקר אצלך אתר רשמי.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
סה"כ 136 -rw-r - r--. שורש שורש 1 18007 17 באפריל 2013 העתקה -rw-r - r--. שורש 1 שורש 59811 11 בנובמבר 13:20 CHANGELOG -rw-r - r--. שורש שורש 1 5164 17 באפריל 2013 DBus-interface -rw-r - r--. שורש שורש 1 5009 17 באפריל 2013 doc.html -rw-r - r--. שורש שורש אחד 1 25075 באפריל 17 שאלות נפוצות -rw-r - r--. שורש שורש אחד 2013 1 באפריל 12019 setup.html
  • ההליך המתואר בפוסט תקף גם עבור דביאן 8 "ג'סי". קובץ התצורה / etc / dnsmasq זהה. בג'סי, אולי אתה צריך להתקין רק את חבילת dnsmasq שלך ולא שום דבר אחר. אני כותב את זה כי אני רואה את זה מיותר להכין מאמר נפרד ל- Dnsmasq בדביאן. למרבה המזל, הספריות הקשורות לתיעוד ותצורה זהות. 😉

Dnsmaq הוא יצירה של סיימון קלי.

מה זה דנסמסק?

תוכנה חינמית דנסמסק הוא שרת DNS משלח y DHCP עבור רשתות מחשבים קטנות. דוגמה אופיינית הן הרשתות הקיימות בחברות הקטנות והבינוניות שלנו. הוא דורש מעט משאבי חומרה לצורך פעולתו וניתן להריצו בפלטפורמות שונות כגון לינוקס, BSD, אנדרואיד ו- OS X. הוא נכלל כמעט בכל המאגרים של הפצות לינוקס ו- BSD.

השרת DHCP דל דנסמסק ניתן להשכיר כתובות IP באופן דינמי וסטטי, למספר רשתות עם טווחי כתובות IP שונים. הוא משולב בשרת DNS והיא מאפשרת למכונות מקומיות שמקבלות כתובת IP להופיע כפי שרשומות ב- DNS עם רשומות ה- DNS הנכונות שלהן, הן ישירות והן לאחור.

דרך העבודה המקומית דנסמסק לאחסן במטמון רשומות DNS שהושגו על ידי שאילתות משלחים, מפחית את העומס על אלה ומשפר את הביצועים הכוללים של מהירות התגובה לשאילתות DNS שונות.

תומך בסטנדרטים מודרניים כגון IPv6 y DNSSEC, התחל - סירה דרך הרשת עם תמיכה בפרוטוקולים BOOTP, TFTP, ו PXE.

ביקום לינוקס, Dnsmasq נמצא בשימוש נרחב בשרתים למכונות ללא דיסק קשיח ולקוחות דקים. ב- Microsoft® Windows, עם התוכנה ARDENCE®, שווה ערך ל- Dnsmasq- משמש כשרת DHCP שנקרא טלוריאנית.

באיזה תרחיש נוכל להשתמש ב- Dnsmasq?

אם נבצע איש דנסמסק ב- CentOS נקבל את הדף עבור אותו מדריך בשפה האנגלית. בתיק dnsmasq.8.gz -ב ספרדית- המותקנת עם הפצת Debian 8 «Jessie», זה בא לידי ביטוי בדיוק הבא:

גבולות

  • ערכי ברירת המחדל עבור מגבלות משאבים הם בדרך כלל שמרניים ומתאימים לשימוש במכשירים מסוג נתב. תקוע עם מעבדים איטיים וזיכרון נמוך. בחומרה יותר  מסוגלים, ניתן להגדיל את הגבולות ולתמוך בעוד רבים לקוחות. הדברים הבאים חלים על dnsmasq-2.37: גרסאות קודמות לא הם טיפסו כל כך טוב.
  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות. זמני הליסינג לא צריכים להיות קצרים מדי (פחות מאחד זְמַן). ניתן להגדיל את הערך של –dns-forward-max: התחל עם המקבילה למספר הלקוחות ולהגדיל אותה אם DNS. שים לב שביצועי DNS תלויים גם בשרתים DNS במעלה הזרם. ניתן להגדיל את גודל מטמון ה- DNS: המגבלה חובה הוא 10,000 שמות וברירת המחדל (150) נמוכה מאוד. שליחת SIGUSR1 ל- dnsmasq מייצרת מידע על סיביות שימושי לכוונון עדין של גודל המטמון. לפרטים ראה סעיף הערות.
  • שרת ה- TFTP המובנה מסוגל לתמוך בהעברות מרובות קבצים בו זמנית: המגבלה המוחלטת קשורה למספר ידיות הקבצים המותרות לתהליך ויכולת המערכתtem call select () כדי לתמוך במספרים גדולים של ידיות קבצים. אם המגבלה מוגדרת גבוהה מדי עם –tftp-max היא תוקטן והגבול בפועל יישעון בעת ​​ההפעלה. שימו לב שעוד העברות אפשרי כאשר אותו קובץ נשלח מה כאשר כל טרנסferencia שולח קובץ אחר. אפשר להשתמש ב- dnsmasq כדי לשלול פרסום באינטרנט באמצעות רשימה של שרתי באנרים ידועים, כולם נפתחים ל- 127.0.0.1 או 0.0.0.0 ב- / etc / hosts או בקובץ מארחים נוסף. הרשימה יכולה להיות ארוך מאוד. Dnsmasq נבדק בהצלחה עם מיליון שמות. גודל הקובץ הזה זקוק למעבד של 1 GHz ובערךזיכרון RAM של 60 מגה-בתים.

את הפסקאות לעיל כלל לא כתבתי או ערכתי. הם באים לידי ביטוי כשהם באים ב איש בספרדית מ dnsmasq 2.72 ממאגר דביאן 8.6. מהם ומהנוהג בשימוש בתוכנה זו, אנו יכולים להסיק כי נדיר - לא בלתי אפשרי - למצוא תרחיש ברשתות ה- SME שלנו העולה על כמות ה 1000 לקוחות או מחשבים המחוברים לרשת LAN.

  • Dnsmasq מסוגלת לתמוך ב- DNS ו- DHCP לפחות אלף (1,000) לקוחות.

שיקולים בצד

תמיד הדהים אותי שהתוכנה עטורת הפרסים ClearOS Enterprise 5.2 SP1 ישתמש ב- Dnsmasq המשויך אליו NTP- כשרת תשתית כברירת מחדל, ולהמשיך להשתמש בו ככזה - לפחות עד גרסאות 7.xxx- in משחרר אתה משלם עבור התקנת Active Directory® המבוסס על סמבה 4. חבל עלינו, חובבי תוכנה חופשית, שהחברה ClearFoundationיפסיק לספק תוכנה באיכות זו בגרסאות מאוחרות יותר מ- 5.xxx לטובת רווחים כספיים טובים יותר. אני חושב שזה אינו מניב את החברה עצמה.

למרות שאני א אוהד דביאן -ואני בכלל לא רוצה לעשות תעמולה לבחירה האישית מאוד שליתמיד הערצתי את החברה Red Hat®, Inc. שהמודל העסקי שלה הציב אותה כמנהיגה הבלתי מעורער של תוכנה חופשית. בנוסף, הוא נותן החסות של השיבוט הבינארי CentOS - תוכנה חופשית 100% - של מערכת ההפעלה הכוכבת שלו Red Hat® Enterprise Linux - RHEL. על משהו נאמר ש- CentOS היא RHEL שאינו נתמך ???

  • יש לי ריצה a סמבה קלאסי NT 4.0 בקר תחום ראשי בסגנון מבוסס על ה ClearOS Enterprise 5.2 SP1 במשך יותר מ -4 שנים ברשת של חברה עם לקוחות Windows XP, 7, 8, Windows Server 2003 ו- Windows Server 2012. מה יש לדגדג כמה ערכי רישום של כל לקוח Windows בגירסה גבוהה יותר מ- XP? זה נכון. מה עובד הכי טוב? זה גם נכון. שמספר הקבוצות לא מגיע ל 100? נכון גם.

שכל ישר

  • למרות שמבחינתי «השכל הישר הוא הכי פחות נפוץ מבין החושים», מקם את עצמך קודם כל בצרכים שלך ואז בחר בסצנה האמנותית לפי מה שאתה צריך לבטא ולפתור לפי התסריט שלך.
  • אל תשתמש בטיל חוצה יבשות כדי להרוג יתוש. אל תסבך את החיים שלא לצורך: התחל מהפתרון הפשוט ביותר. אם אתה לא פותר עם זה, העלה את המורכבות נקודה אחת וכו '.

בואו להתקין את CentOS 7 ואת ה- Dnsmasq

להתקנת מערכת הבסיס אנו מונחים על ידי המאמר CentOS 7 Hypervisor I ובמבחר החבילות אנו מסמנים רק את האפשרות «שרת תשתית«. הפרמטרים הכלליים בהם נשתמש בהכנת מאמר זה הם הבאים:

שם FQDN של המכונה הווירטואלית: dns.fromlinux.fan
כתובת IP: 10.10.10.5

CentOS 7 מתקין את ברירת המחדל של dnsmasq

כן קוראים יקרים, ב- CentOS 7 החבילה דנסמסק מותקן במהלך ההתקנה של שרת תשתית ו אני מניח מאשר גם באופציות אחרות.

[root @ dns ~] # yum info dnsmasq
תוספים טעונים: המהיר ביותר מירור, langpacks טוען מהירויות מראה מהקובץ המארח במטמון חבילות מותקנות שם: dnsmasq אדריכלות: x86_64 גרסה: 2.66 שחרור: 21.el7 גודל: 464 k
מאגר: מותקן
ממאגר: centos-base סיכום: כתובת URL של שרת DNS קל / מטמון קל משקל: http://www.thekelleys.org.uk/dnsmasq/ רישיון: GPLv2 תיאור: Dnsmasq הוא קל משקל, קל לתצורה של מעביר DNS ו- DHCP: שרת . הוא נועד לספק DNS ובאופציה DHCP לרשת קטנה. זה יכול לשרת את שמות המכונות המקומיות שהן: לא ב- DNS העולמי. שרת DHCP משתלב עם שרת ה- DNS ומאפשר להופיע מכונות עם כתובות המוקצות ל- DHCP: ב- DNS עם שמות המוגדרים בכל מארח או בקובץ תצורה מרכזי. Dnsmasq תומך סטטי ודינמי: DHCP חכירה ו- BOOTP לאתחול רשת של מכונות חסרות דיסקים.

הגרסה של דנסמסק מותקן הוא 2.66, ומתאים לגירסת CentOS:

[root @ dns ~] # cat / proc / גרסה
גרסת לינוקס 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (גרסת gcc 4.8.5 20150623 (רד האט 4.8.5-11) (GCC)) # 1 SMP ד '18 בינואר 13:06:36 UTC 2017

בואו לאפשר ולהגדיר את ה- dnsmasq

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5 dns. מ- linux.fan dns

[root @ dns ~] # מארח
DNS
[root @ dns ~] # host -f
dns.fromlinux.fan


[root @ dns ~] # systemctl מאפשר dnsmasq
[root @ dns ~] # systemctl התחל dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - שרת אחסון במטמון DNS. נטען: נטען (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת הגדרות קבועות מראש של הספק: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 11:47:19 EST; לפני 4 שניות PID ראשי: 1179 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1179 / usr / sbin / dnsmasq -k 18 בפברואר 11:47:19 dns systemd [1]: שרת מטמון DNS התחיל .. פברואר 18 11:47:19 dns systemd [1]: הפעלת שרת מטמון DNS .... 18 בפברואר 11:47:19 dns dnsmasq [1179]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 11:47:19 dns dnsmasq [1179 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... ה 18 בפברואר 11:47:19 dns dnsmasq [1179]: קריאה /etc/resolv.conf 18 בפברואר 11:47:19 dns dnsmasq [1179]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 11:47:19 dns dnsmasq [1179]: read / etc / hosts - 3 כתובות רמז: כמה שורות היו בגודל אליפסה, השתמש ב- l כדי להראות במלואן.

אל תשכח את הצעד הבא:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

כתובות IP קבועות

עם Dnsmasq, כתובות השרתים או המחשבים הדורשים IP קבוע - הן IPv4 ו- IPv6 - מוצהרים בקובץ / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 # שרתים 10.10.10.1 sysadmin.desdelinux.fan sysadmin 10.10.10.3 ad-dc.desdelinux.10.10.10.4. קבצי ad-dc. .desdelinux.fan שרת קבצים 10.10.10.5 dns.desdelinux.fan dns 10.10.10.6 proxyweb.desdelinux.fan proxyweb 10.10.10.7 blog.desdelinux.fan בלוג 10.10.10.8 ftpserver.desdelinux.fan ftpserver 10.10.10.9 mail.desdelinux.fan דואר

בואו ניצור את הקובץ /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# --------------------------------------------------------- ------------------ # אפשרויות כלליות # ----------------------------- -------------------------------------- דרוש תחום # אל תעביר שמות ללא חלק התחום bogus-priv # אל תעביר כתובות במרחבים לא מוכנים להרחיב # הוסף תחום אוטומטית לממשק המארח = eth0 # ממשק. היזהר מהממשק # למעט ממשק = eth1 # אל תקשיב לסדר הקפדני הזה של NIC # סדר בו אתה מתייעץ עם קובץ /etc/resolv.conf # כלול אפשרויות תצורה רבות נוספות # דרך קובץ או על ידי איתור קבצי התצורה # נוסף בספרייה # conf-file = / etc / dnsmasq.more.conf conf-dir = / etc / dnsmasq.d # מתייחס לתחום שם הדומיין = desdelinux.fan # שם דומיין # שרת הזמן הוא 10.10.10.1. 10.10.10.1 address = / time.windows.com / 7 # שולח אפשרות ריקה בערך WPAD. נדרש ללקוחות # Windos 252 ואילך להתנהג כראוי. ;-) dhcp-option = 10.10.0.7, "\ n" # קובץ שבו אנו נכריז על HOSTS שיהיו "אסורים" addn-hosts = / etc / banner_add_hosts # ----------------- -------------------------------------------------- # REGISTROSCNAMEMXTXT # ----------------------------------------------- -------------------- # סוג זה של רישום דורש הזנת מספר בקובץ / etc / hosts # למשל: 10 blog.fromlinux.fan blog # cname = ALIAS, REAL_NAME cname = www.desdelinux.fan, blog.desdelinux.fan # MX RECORDS # מחזיר רשומת MX ​​עם השם "desdelinux.fan" עם יעד # למכונת mail.desdelinux.fan ועדיפות של 10 mx- host = desdelinux.fan, mail.desdelinux.fan, 1 # יעד ברירת המחדל עבור רשומות MX שנוצרו # באמצעות האפשרות localmx יהיה: mx-target = mail.desdelinux.fan # מחזיר רשומת MX ​​המצביעה על mx- היעד לכל רשומות המכונות המקומיות localmx # TXT. אנו יכולים גם להכריז על רשומת SPF txt-record = desdelinux.fan, "v = spf4 a-all" txt-record = desdelinux.fan, "DesdeLinux, הבלוג שלך המוקדש לתוכנה חופשית" # --------- -------------------------------------------------- -------- # ----------------------------------------- -------------------------- # טווח ושימושים # --------------------- ---------------------------------------------- # טווח IPv1 ו- זמן חכירה מס '29 עד 10.10.10.30,10.10.10.250,8 מיועד לשרתים ולצרכים אחרים dhcp-range = XNUMXh

dhcp-lease-max = 222 # מספר כתובות מקסימלי לחכירה
                        # כברירת מחדל היא 150
# IPV6 טווח # dhcp-range = 1234 ::, ra-only # אפשרויות לטווח # אפשרויות dhcp-option = 1,255.255.255.0 # NETMASK dhcp-option = 3,10.10.10.253 # ROUTER GATEWAY dhcp-option = 6,10.10.10.5. 15 # שרתי DNS dhcp-option = 19,1, מ- linux.fan # DNS Domain Domain dhcp-option = 28,10.10.10.255 # option ip-forwarding ON dhcp-option = 42,10.10.10.1 # BROADCAST dhcp-option = 40. 41,10.10.10.5 # NTP # dhcp-option = 4, DCH # NIS שם דומיין # dhcp-option = 44,10.10.10.5 # שרת NIS # WINS EXTERNAL SAMBA45,10.10.10.5 SERVER # # dhcp-option = 4 # WINS # dhcp-option = 46,8 # תרשימי NetBIOS # שרת WINS SAMBA73,10.10.10.3 חיצוני # # dhcp-option = XNUMX # צומת NetBIOS # dhcp-option = XNUMX # שרת אצבע dhcp-סמכותי # DHCP סמכותי ברשת המשנה # - -------------------------------------------------- ---------------- # --------------------------------- ---------------------------------- # LOGGINGAL / var / log / הודעות # ------- -------------------------------------------------- ---------- שאילתות יומן

# END של הקובץ /etc/dnsmasq.conf
# --------------------------------------------------------- ------------------

בואו נבדוק את התחביר ונתחיל מחדש את השירות

[root @ dns ~] # dnsmasq - test
dnsmasq: תחביר בדוק אישור.
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - שרת אחסון במטמון DNS. טעון: טעון (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת ספק מראש: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 12:48:05 EST; לפני 5 שניות PID ראשי: 1288 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1288 / usr / sbin / dnsmasq -k 18 בפברואר 12:48:05 dns systemd [1]: התחיל שרת מטמון DNS .. פברואר 18 12:48:05 dns systemd [1]: הפעלת שרת מטמון DNS ... 18 בפברואר 12:48:05 dns dnsmasq [1288]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 12:48:05 dns dnsmasq [1288 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... ה 18 בפברואר 12:48:05 dns dnsmasq-dhcp [1288]: DHCP, טווח IP 10.10.10.30 - 10.10 .... ח 18 בפברואר 12:48: 05 dns dnsmasq [1288]: קריאה /etc/resolv.conf 18 בפברואר 12:48:05 dns dnsmasq [1288]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 12:48:05 dns dnsmasq [1288 ]: read / etc / hosts - 11 כתובות
18 בפברואר 12:48:05 dns dnsmasq [1288]: טעינת השמות נכשלה מ /etc/banner_ad...ry
רמז: כמה שורות היו eellipsized, להשתמש -l להראות במלואו.

שים לב שבפלט הקודם ה מצב מערכת dnsmasq מחזירה את השגיאה:

18 בפברואר 12:48:05 dns dnsmasq [1288]: טעינת השמות נכשלה מ /etc/banner_ad...ry

מתלונן שאתה לא יכול למצוא את הקובץ / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service 
● dnsmasq.service - שרת אחסון במטמון DNS. נטען: נטען (/usr/lib/systemd/system/dnsmasq.service; מופעל; הגדרת ספק מראש: מושבתת) פעיל: פעיל (פועל) מאז שבת 2017-02-18 12:54:26 EST; לפני 7 שניות PID ראשי: 1394 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─1394 / usr / sbin / dnsmasq -k 18 בפברואר 12:54:26 dns systemd [1]: שרת מטמון DNS התחיל .. פברואר 18 12:54:26 dns systemd [1]: הפעלת שרת מטמון DNS ... 18 בפברואר 12:54:26 dns dnsmasq [1394]: התחיל, גרסה 2.66 גודל מטמון 150 פברואר 18 12:54:26 dns dnsmasq [1394 ]: הידור אפשרויות זמן: IPv6 GNU-getopt DB ... 18 בפברואר 12:54:26 dns dnsmasq-dhcp [1394]: DHCP, טווח IP 10.10.10.30 - 10.10 .... ח 18 בפברואר 12:54 : 26 dns dnsmasq [1394]: קריאה /etc/resolv.conf 18 בפברואר 12:54:26 dns dnsmasq [1394]: מתעלם משרת שמות 127.0.0.1 - מקומי ב ... ce 18 בפברואר 12:54:26 dns dnsmasq [ 1394]: read / etc / hosts - 11 כתובות 18 בפברואר 12:54:26 dns dnsmasq [1394]: read / etc / banner_add_hosts - 0 כתובות רמז: שורות מסוימות היו בעלות אליפסה, השתמש ב- l כדי להציג אותן במלואן.

וכבר יש לנו שירותי DNS ו- DHCP פועלים.

חשוב

  • אם נשנה את הקובץ /etc/dnsmasq.conf, עלינו להפעיל מחדש את השירות כדי שהשינויים ייכנסו לתוקף.
  • אם אנו משנים את הקובץ / etc / hosts כדי לחסל, לשנות או להוסיף IP קבוע עם שם המארח המתאים לו, עלינו להפעיל מחדש את השירות כדי שהשינויים ייכנסו לתוקף..
  • לא ניתן להשתמש בשירות זה לטעון מחדש את מערכת dnsmasq.service.

אנו פותחים את היציאות הדרושות בחומת האש

במאמר של ידידי ועמיתי לויגיס טורו -aka לטאה- "כיצד לפתוח יציאות בחומת האש של סנטוס 7»ההליך שעלינו לפעול לפתיחת היציאות בחומת האש ש- CentOS מתקין כברירת מחדל מוסבר היטב. אני עדיין לא יודע להחיל את כללי ההקשר של Selinux על שירות ה- dnsmasq ב- CentOS. אם מישהו מכיר אותו, אנא נאיר אותנו.

קבצים / וכו '/ פרוטוקולים y / וכו '/ שירותים הם מדריך טוב מאוד לדעת אילו יציאות אנחנו צריכים לפתוח כדי ששירותי ה- DNS וה- DHCP המסופקים על ידי Dnsmasq יעבדו היטב.

[root @ dns ~] # firewall-cmd - get-active-zones
ממשקים ציבוריים: eth0

שירות תחום o שרת שמות מתחם (dns). נוהל לסחוב «IP עם הצפנה»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / tcp - קבוע
הצלחה

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / udp - קבוע
הצלחה

שירות אתחול o שרת BOOTP (dhcp). נוהל ippc «ליבת חבילות פלוריבוס באינטרנט»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / tcp - קבוע
הצלחה

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / udp - קבוע
הצלחה

[root @ dns ~] # חומת אש-cmd - טען מחדש
הצלחה

[root @ dns ~] # firewall-cmd - list-all
יעד ציבורי (פעיל): ברירת מחדל של היפוך בלוק icmp: ללא ממשקים: מקורות eth0: שירותים: יציאות dhcpv6-client ssh: 53 / udp 67 / tcp 53 / tcp 67 / udp פרוטוקולים: maskerade: ללא port-ports: sourceports: icmp-blocks: כללים עשירים:

חשוב

  • אם אנו מספקים שירותי ליסינג כתובות IPv6, עלינו לפתוח גם יציאות dhcpv6-server 547 / tcp ו- dhcpv6-server 547 / udp.

בדיקות

בואו נבדוק באמצעות מספר שאילתות DNS כיצד פועל Dnsmasq החדש המותקן שלנו. לשם כך אנו בוחרים את הצוות הידוע sysadmin.fromlinux.fan, ומאותו מחשב, המחובר לרשת LAN, נבצע מספר שאילתות, אך לא לפני שנבדוק שהקובץ מוגדר כהלכה / Etc / resolv.conf:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager מ- linux.fan nameserver 10.10.10.5

הגדרות קבצים / Etc / resolv.conf זה נכון. נתחיל בהתייעצויות

buzz @ sysadmin: ~ $ dns מארח
לכתובת dns.desdelinux.fan כתובת 10.10.10.5 dns.desdelinux.fan המארח לא נמצא: 5 (סירוב) דואר dns.desdelinux.fan מטופל על ידי 1 mail.desdelinux.fan.

עם התצורה המוצעת, אנו יכולים למחוק את פלט הפקודה המארח ללא אפשרויות כשמדובר ב- Dnsmasq, כאשר מחזירים קווים כדלקמן:

המארח dns.desdelinux.fan לא נמצא: 5 (סירוב)

אם איננו רוצים פלט מסוג זה, עלינו להשתמש בפקודה המארח עם אפשרויות -t A, -t CNAME, -t NS, -t SOA, -t SIG, -t AXFR. לִרְאוֹת איש מארח למידע נוסף:

buzz @ sysadmin: ~ $ host -t ל- dns.fromlinux.fan
ל- dns.fromlinux.fan כתובת 10.10.10.5

[root @ dns ~] # host -t ל- dns
ל- dns.fromlinux.fan כתובת 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ מארח 10.10.10.5
5.10.10.10.in-addr.arpa מצביע שם תחום dns.fromlinux.fan.

Dnsmasq אינו מיועד לתוכנית Master-Slave

buzz @ sysadmin: ~ $ host -t AXFR מ- linux.fan
מנסה "desdelinux.fan" מארח desdelinux.fan לא נמצא: 5 (סירוב); ההעברה נכשלה.

זה גם לא נועד להחזיר רשומות NS ו- SOA

buzz @ sysadmin: ~ $ host -t NS מ- linux.fan
מארח מ- linux.fan לא נמצא: 5 (סירוב)

buzz @ sysadmin: ~ $ host -t SOA מ- linux.fan
מארח מ- linux.fan לא נמצא: 5 (סירוב)

buzz @ sysadmin: ~ $ dig IN SOA מ- linux.fan
buzz @ sysadmin: ~ $ dig IN NS מ- linux.fan

אם הוא תומך ברשומות MX, CNAME ו- TXT

buzz @ sysadmin: ~ $ host -t ל- www
www.desdelinux.fan הוא כינוי ל blog.desdelinux.fan. ל blog.desdelinux.fan כתובת 10.10.10.7
buzz @ sysadmin: ~ $ host -t MX מ- linux.fan
דואר desdelinux.fan מטופל על ידי 10 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host -t CNAME www
www.desdelinux.fan הוא כינוי ל blog.desdelinux.fan.

buzz @ sysadmin: ~ $ host -t ל blog.fromlinux.fan
ל blog.desdelinux.fan כתובת 10.10.10.7

buzz @ sysadmin: ~ $ host -t TXT מ- linux.fan
טקסט תיאורי של desdelinux.fan "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" desdelinux.fan טקסט תיאורי "v = spf1 a -all"

PTR מתעד פניות

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa מצביע שם תחום blog.desdelinux.fan.

buzz @ sysadmin: ~ $ מארח 10.10.10.7
7.10.10.10.in-addr.arpa מצביע שם תחום blog.desdelinux.fan.

לקוחות Microsoft® Windows

בריא מאוד הוא לרוץ על קונסולת שרתים dns.fromlinux.fan הפקודה journalctl -f לפני שמפעילים מכונה שמפעילה מערכת הפעלה Microsoft® Windows, כדי לראות את המספר העצום של שאילתות DNS לאתרים שונים שהיא מבצעת. זה באמת משעשע מאוד. 😉

אם אנו רוצים למנוע משאילתות הקשורות לחלק מהאתרים הללו לנסוע לשרתי השורשים - שרתי שורש או כלפי משלחים שאנחנו מצהירים עליו בתיק / Etc / resolv.conf, אנו יכולים לעשות שימוש טוב בקובץ / etc / banner_add_host, למלא אותו בכמה שיותר אתרים שאנחנו צריכים להכריז עליו. דוגמא:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq - test
dnsmasq: תחביר בדוק אישור.

[root @ dns ~] # systemctl הפעל מחדש את dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

[root @ dns ~] # host -t ל- spynet4.microsoft.com
לכתובת spynet4.microsoft.com יש כתובת 127.0.0.1

[root @ dns ~] # host -t לאתר www.download.windowsupdate.com
לכתובת www.download.windowsupdate.com יש כתובת 127.0.0.1
  • הפורמט של קובץ / etc / banner_add_hosts זהה לקובץ / etc / hosts. בואו נזכור שרשימת התחומים ל"איסור "יכולה להיות ארוכה ככל שנצטרך, על פי האמור בסעיף גבולות של מאמר זה.

לבדיקה מהלקוח seven.fromlinux.fan שנתן את כתובת ה- IP:

buzz @ sysadmin: ~ $ host -t A שבע
ל- Seven.desdelinux.fan כתובת 10.10.10.115

אנו מבצעים את הפקודה בלקוח Windows עצמו cmd:

Microsoft Windows [נוסח 6.1.7601]
זכויות יוצרים (c) 2009 תאגיד מיקרוסופט. כל הזכויות שמורות.

C: \ משתמשים \ באז> nslookup
שרת ברירת מחדל: כתובת dns.desdelinux.fan: 10.10.10.5> שרת dns: כתובת dns.desdelinux.fan: כתובת 10.10.10.5: כתובת dns.desdelinux.fan: 10.10.10.5> שרת ftpserver: כתובת dns.desdelinux.fan: 10.10.10.5 שם: ftpserver.desdelinux.fan כתובת: 10.10.10.8> www שרת: dns.desdelinux.fan כתובת: 10.10.10.5 שם: blog.desdelinux.fan כתובת: 10.10.10.7 כינויים: www.desdelinux.fan> דואר שרת: dns.desdelinux.fan כתובת: 10.10.10.5 שם: mail.desdelinux.fan כתובת: 10.10.10.9> sysadmin שרת: dns.desdelinux.fan כתובת: 10.10.10.5 שם: sysadmin.desdelinux.fan כתובת: 10.10.10.1 > www.download.windowsupdate.com שרת: dns.desdelinux.fan כתובת: 10.10.10.5 שם: www.download.windowsupdate.com כתובת: 127.0.0.1> צא C: \ Users \ buzz>

תקציר

עד כה ראינו כמה מאפיינים עיקריים של ה- Dnsmasq. אני מציע קרא וחקר את הקבצים המוזכרים בפסקה הראשונה במאמר זה, אם ברצונך לדעת יותר על תוכנית מפוארת ומפתיעה זו. באמצעות השימוש בו אנו יכולים להקל מאוד על חיינו.

בסביבות 2014 קראתי את המאמר «כיצד: Samba4 AD PDC + Windows XP, Vista ו- 7«. יוצר המאמר מכריז בלי להסמיק: «אני שונא לאגד, אז זה dnsmasq להצלה»(Sic) שפירושו פחות או יותר«אני שונא את BIND, אז דנסמסק נחלץ להצלה«. למען הפרוטוקול, הביטוי הזה לא נאמר על ידי.

כדרך אגיב, כי במאמר זה המחבר אינו מבהיר את מקורן של כמה רשומות DNS ובאופן כללי אין זה מדריך טוב ליישום Active Directory® המבוסס על סמבה 4. אם הייתי מוכה מההעדפה הקנאית שלך דנסמסק.

אני בכלל לא שונא את BIND. ארבעת המאמרים הקודמים שלי -4 מוכיחים זאת:

כפי שכתבתי בהזדמנויות קודמות, כמעט אף פעם אני ממליץ, אבל אני מציע. במקרה של דנסמסק כן אני ממליץ השימוש בו ברשתות קטנות ובינוניות.

המסירה הבאה

הפרק הבא -אני חושב שאני חושב- אקדיש אותו לשילוב של Dnsmasq עם Microsoft® Active Directory®. זו תהיה נקודת כניסה טובה למאמר -muy- בהמשך זה יעסוק כיצד ליצור AD-DC עם Samba 4 ו- Dnsmasq.


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

12 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   ג'ואן הרננדז דיג'ו

    בוקר טוב פראי !!! אני מאשר את כל מה שאתה אומר ובאמת שהפעלת אותה רשת עד היום לא נותנת סיבה להתלונן. אני כבר לא מנהל מערכת של אותה רשת, כי אתה מכיר את הבעיות שהיו לי ... אבל בזמן שהייתי אחראי על אותה רשת ועד היום שאני מתקשר עם זו שמולה, אין שום סיבה להתלונן. החוויות הטובות ביותר שלי עם ClearOS ו- DNSmasq.

  2.   פדריקו דיג'ו

    חבר ג'ואן, תודה על עזרתך באישור הדברים שכתבתי על החברה עם ClearOS.

  3.   מטלטל דיג'ו

    מה שאני הכי אוהב ב- dnsmasq הוא עד כמה זה יכול להיות רב תכליתי, בקובץ יחיד אתה מגדיר DNS ו- DHCP. בקשר לביצועים אין לי תלונות, לפני זמן מה כיביתי שרת 2003R2 שפעל כ- DC, כמה לקוחות לינוקס מעיריות רחוקות "נתלו" ומכיוון שלא הייתה לי שום דרך לשנות את העדפות ה- DNS שלהם, מה שעשיתי היה להעלות ג'סי עם ה- IP הזה ו- dnsmasq במטמון ה- DNS החדש, הכל בסדר.
    מאמר טוב מאוד פיקו, בברכה.

    1.    פדריקו דיג'ו

      מה אתה חושב על הגבול השמרני של שירות עד 1000 מחשבים? יש לי אפשרות לאמת את הנתונים עם חבר שמוקדש להציע שירותים של אתר "שבוי" באמצעות WiFi, ולאחרונה הוא נתן את השירות - עם BIND + Isc-dhcp- ליותר מ -1000 מוביילים בתיאטרון קארל מרקס. . הוא שכר אותי כדי להפוך אותו לשרת עם צריכת משאבים הנמוכה ביותר האפשרית, לעבודה זו.

      1.    מטלטל דיג'ו

        זה חייב להיות ברור שכביכול "מגבלות" אלו נמדדו לפני כמה שנים ועם חומרה הרבה מתחת לסטנדרט הנוכחי, גם ה- dnsmasq וגם הלקוחות התפתחו הרבה, אני די בטוח שזה יעמוד בעומס של משתמשים אלו. תעד תמיד וחסום את אלף השאילתות שאנדרואיד מנסה לטלפן הביתה, היי. לחיים

  4.   פדריקו דיג'ו

    אני אקח את עצתך ברצינות רבה, מהפנט. שוב תודה

  5.   איוו דיג'ו

    כפי שהפך נפוץ בסדרה זו של חברות קטנות ובינוניות, פוסט זה ב- "DNSMASQ" הוא מאמר נהדר נוסף שהמחבר נותן לנו לסיסאדמינים לפתח את עצמנו מבחינה טכנית ותיאורטית.
    במקרה האישי שלי ידעתי במעורפל על dnsmasq שכן העדיפתי את ה- DNS (Bind) ו- DHCP כשני שירותים עצמאיים. בשבילי זה נהדר! הדבר dnsmasq לאפשר להגדיר את שניהם בשירות יחיד (דרך הקובץ /etc/dnsmasq.conf).
    גדול! המסוגל לתמוך בלפחות 1,000 לקוחות עם DNS ו- DHCP מבלי להשפיע על ביצועיו.
    טוב מאוד הוא הטיפ כיצד להימנע משאילתות הקשורות לשרתי שורש או מעבירים באמצעות הקובץ / etc / banner_add_host, שם אנו מכניסים את אתרי "N" שעלינו להכריז כאילו הם "localhosts".
    לבסוף וכפי שהיה מקובל במחבר בסעיף "המסירה הבאה", כעת הוא מתכנן לספק פנינה נוספת "שילובו של Dnsmasq עם Microsoft® Active Directory®".
    ובכן, אנחנו כבר מצפים לזה.

  6.   גלגל המזלות דיג'ו

    הייתי עסוק ולא יכולתי לעקוב אחר המאמרים שלך. התגעגעתי לכמה. כל כתיבה חדשה שלך היא הפתעה נעימה המכילה תורות חדשות. המשך כך חברו של פיקו

  7.   88 דיג'ו

    דנסמסק, אני עד להפעלתו על בסיס יומי, זה הכי טוב. תמיד אמרתי לך והתעקשתי על שילוב של bind9 ו- isc-dhcp-server (פיתרון שאני אוהב מאוד, כי מנסה כל כך הרבה פעמים למדתי וראיתי ורכשתי את המעט שאני יודע על dns ו- dhcp, VIIII, יכולתי לראות מה מיקרוסופט לא נותן לך להתבונן, מה הם לא רוצים שתלמד וישמור אותך בחדר חשוך ונעול, הם באמת שירותים שדיברו עליהם כאילו הם מפלצות והם אנשים טובים, אתה יכול להתמודד איתם את האמת), ותודה לך לכך נאלצת לשפר את עצמך עוד יותר, למעשה אנו כבר רואים את כל תוצאות המאמץ הזה ואנו מודים לך על איכות ההודעות שלך.
    זה במיוחד הוא סופר, אני לא לוקח קרדיט מהשאר, כמובן שלא, אפילו לא חושב על זה; אבל בגללך פגשתי את חברתי dnsmasq ורשת המגורים שלי חיה יותר משמחה לפגוש את עמיתנו החדש שיצר סיימון קלי. תודה גם עליו.

  8.   פדריקו דיג'ו

    IWO: לא תחכה זמן רב לפוסט הבא. עדיין לא סיימתי את זה כי אני מאוד עסוק בעבודה היומיומית שלי. הזמן ... אבל בטח יהיה לך את זה לשבוע הבא.

  9.   פדריקו דיג'ו

    Crespo88: אני לא יכול להוסיף שום דבר אחר לתגובה המלאה שלך. וכבר חסר לי זמן כי בשעה 7:XNUMX נגמר לי הניווט 😉
    תודה!.

  10.   סזריאלי דיג'ו

    היי, פיקו. מאמר טוב מאוד.
    ברצוני לדעת כיצד ליישם את dnsmasq על ברמטאל (HP Proliant gen 8) המארח מכונות וירטואליות של KVM.
    האם תצורת dnsmasq צריכה להיעשות על המארח או באחד מכלי ה- VM שעובד כשרת dnsmasq?
    אני בלאגן.
    ברכות.