DNS ראשי ראשי עבור LAN ב- Debian 6.0 (V) וסופי

fico

5 דקות

אלה שהלכו אחרי 12da3 y 4ta חלק ממאמר זה והייעוצים שנערכו ל- BIND שלהם השיבו תוצאות משביעות רצון, הם כבר מומחים בנושא. :-) ובלי לנסר עוד בואו ניכנס לחלק האחרון:

  • יצירת הקובץ של אזור הראשי הראשי מהסוג "הפוך" 10.168.192.in-addr.arpa
  • פתרון בעיות
  • תקציר

יצירת הקובץ של אזור הראשי הראשי מהסוג "הפוך" 10.168.192.in-addr.arpa

שם האזור מביא אותם אליכם, נכון? וזה כי האזורים ההפוכים הם חובה לקבל רזולוציית שם נכונה על פי תקני האינטרנט. אין לנו ברירה אלא ליצור את המתאים לדומיין שלנו. לשם כך אנו משתמשים כתבנית בקובץ /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

אנו עורכים את הקובץ /var/cache/bind/192.168.10.rev ואנחנו משאירים את זה ככה:

; /var/cache/bind/192.168.10.rev; ; BIND קובץ נתונים הפוך לאזור מאסטר 10.168.192.in-addr.arpa; קבצי נתונים של BIND עבור אזור אזור (הפוך) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; סדרתי 604800; רענן 86400; נסה שוב 2419200; תפוג 604800); מטמון שלילי TTL; @ IN NS ns. 10 ב- PTR ns.amigos.cu. 1 ב- PTR gandalf.amigos.cu. 9 ב- PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; אנו יכולים גם לכתוב את כתובת ה- IP המלאה. לְשֶׁעָבַר:; 192.168.10.1 ב- PTR gandalf.amigos.cu.
  • שים לב כיצד במקרה זה השארנו את הזמנים בשניות כפי שהוא נוצר כברירת מחדל כאשר ה- לאגד 9. זה עובד אותו דבר. הם זמנים זהים לאלה המצוינים בתיק friends.cu.host. כשאתה בספק, בדוק.
  • כמו כן, שים לב שאנו מצהירים רק על הרשומות ההפוכות של המארחים שיש להם IP שהוקצה או "אמיתי" ברשת LAN שלנו, וזה מזהה אותו באופן ייחודי.
  • זכור לעדכן את קובץ ה- Reverse Zone בכל כתובות ה- IP הנכונות המוצהרות באזור Direct.
  • זכור להגדיל את מספר סידורי אזור בכל פעם שהם משנים את הקובץ ולפני שמפעילים מחדש את ה- BIND.

בואו נבדוק את האזור שנוצר לאחרונה:

named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

אנו בודקים את התצורה:

named-checkconf -z בשם-checkconf -p

אם הכל התנהל כשורה, אנו מפעילים מחדש את השירות:

שירות bind9 הפעלה מחדש

מעתה ואילך, בכל פעם שאנחנו משנים את קבצי האזור, אנחנו רק צריכים לבצע:

טען מחדש rndc

לשם כך אנו מכריזים על המפתח /etc/bind/named.conf.options, לא?

פתרון בעיות

חשוב מאוד הוא התוכן הנכון של הקובץ / Etc / resolv.conf כפי שראינו בפרק הקודם. זכור לציין בו לפחות את הדברים הבאים:

חפש שרת שמות amigos.cu 192.168.10.20

הפקודה לחפור של החבילה dnutils. במסוף הקלד את הפקודות שקדמו להן #:

# dig -x 127.0.0.1 ..... ;; סעיף תשובה: 1.0.0.127.in-addr.arpa. 604800 ב- PTR localhost. .... # dig -x 192.168.10.9 .... ;; סעיף תשובה: 9.10.168.192.in-addr.arpa. 604800 ב- PTR mail.amigos.cu. .... # מארח gandalf gandalf.amigos.cu כתובת 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu כתובת 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; אפשרויות גלובליות: + cmd ;; זמן החיבור נגמר; לא ניתן היה להגיע לשרתים # dig gandalf.amigos.cu .... ;; סעיף תשובה: gandalf.amigos.cu. 604800 ב- 192.168.10.1 .... אם יש להם גישה לאינטרנט הקובני או הגלובלי, והמשלחים מוצהרים כראוי נסה: # dig debian.org .... ;; קטע השאלה :; debian.org. ב ;; סעיף תשובה: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # מארח bohemia.cu bohemia.cu יש כתובת 190.6.81.130 # מארח yahoo.es yahoo.es יש כתובת 77.238.178.122 yahoo.es יש כתובת 87.248.120.148 דואר yahoo.es מטופל מאת 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; סעיף תשובה: 122.178.238.77.in-addr.arpa. 429 ב- PTR w2.rc.vip.ird.yahoo.com.

... ובכלל עם תחומים אחרים מחוץ ל- LAN שלנו. התייעץ וברר על דברים מעניינים באינטרנט.

אחת הדרכים הטובות ביותר לבדוק את פעולת השרת לאגד 9, ובכלל של כל שירות מותקן אחר, קורא את תפוקת ה- הודעות יומן מערכת באמצעות הפקודה זנב -f / var / log / syslog לרוץ כמשתמששורש.

מעניין מאוד לראות את תפוקת הפקודה כשאנו שואלים את BIND המקומי שלנו שאלה לגבי דומיין או מארח חיצוני. במקרה זה, ניתן להציג מספר תרחישים:

  • אם אין לנו גישה לאינטרנט, השאילתה שלנו תיכשל.
  • אם יש לנו גישה לאינטרנט ואנחנו לא הכרזנו משלחים, סביר להניח שלא נקבל תגובה.
  • אם יש לנו גישה לאינטרנט והכרזנו על העוברים, אנו נקבל תשובה מכיוון שהם יהיו אחראים על התייעצות עם שרתי ה- DNS הנחוצים.

אם אנו עובדים על א LAN סגור שלא ניתן בשום דרך לצאת לחו"ל ואין לנו משלחים מכל סוג שהוא, אנו יכולים לבטל את הודעות החיפוש של שרתי שורש "ריקון" הקובץ /etc/bind/db.root. לשם כך, תחילה אנו שומרים את הקובץ בשם אחר ואז מוחקים את כל תוכנו. לאחר מכן אנו בודקים את התצורה ומפעילים מחדש את השירות:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root בשם-checkconf -z בשם-checkconf -p שירות bind9 הפעלה מחדש

תקציר

עד כה, אנשים, הקדמה קטנה לשירות ה- DNS. מה שעשינו עד כה יכול לשרת אותנו בצורה מושלמת עבור העסק הקטן שלנו. גם לבית אם אנו יוצרים מכונות וירטואליות עם מערכות הפעלה שונות וכתובות IP שונות, ואנחנו לא רוצים להתייחס אליהן לפי IP אלא לפי שם. אני תמיד מתקין BIND במארח הבית שלי כדי להתקין, להגדיר ולבדוק שירותים שתלויים במידה רבה בשירות ה- DNS. אני עושה שימוש נרחב בשולחן העבודה ובשרתים הווירטואליים, ואני לא אוהב לשמור קובץ / Etc / hosts בכל אחת מהמכונות. אני טועה יותר מדי.

אם מעולם לא התקנת והגדרת BIND, אל תדחה אם משהו משתבש בניסיון הראשון ואתה צריך להתחיל מחדש. אנו ממליצים תמיד במקרים אלה להתחיל בהתקנה נקייה. זה שווה ניסיון!

למי שזקוק לזמינות גבוהה בשירות רזולוציית השמות, שניתן להשיג על ידי הגדרת תצורה של שרת מאסטר משני, אנו ממליצים להמשיך איתנו בהרפתקה הבאה: DNS ראשי משני עבור LAN.

מזל טוב לאלה שעקבו אחר כל המאמרים וקיבלו את התוצאות הצפויות!


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   st0rmt4il דיג'ו
    hace 11 שנים

    סוף סוף! .. ההודעה האחרונה: ד!

    תודה ששיתפת את חבר שלי!

    ברכות!

    השב ל st0rmt4il
  2.   רפאל הרננדז דיג'ו
    hace 11 שנים

    מעניין מאוד, המאמרים שלך, יש לי DNS סמכותי המותקן ב- freeBSD עבור תחום .edu.mx, עד כה זה עבד בצורה מושלמת בשבילי, אבל בחודש האחרון גיליתי כמה התקפות כלפי השרת, מה יהיו שיטות ההגנה ו- DNS חשוף?, ואני לא יודע אם זה יכול להיות, האם המאסטר נחשף לאינטרנט וגם אחד משני שמשרת רשת קטנה של כ- 60 מחשבים, שניהם קשורים זה לזה, או שהוא יכול להגדיר שני אזורים, אחד פנימי ואחד חיצוני, תודה ב- לִשְׁלוֹט

    תשובה לרפאל הרננדז
  3.   פיקורו דיג'ו
    hace 11 שנים

    לחבילת squeeze bind9 יש בעיה לעבוד עם סמבה, גרסה 9.8.4 כבר זמינה בסניף backports של squeeze, בגרסת wheeze אין את הבעיה הזו, עבור lenny venenux.net מאחזר את החבילה.

    מאמר טוב מאוד.

    זה המאמר היחיד שעושה הכל מוסבר היטב ..

    יש לציין כי ה- acl עבור spofing אינו פועל מכיוון שבאותה צורה שהוא יוזרק מהרשת הפנימית, הפיתרון יהיה להכחיש את ההפניות מחדש עבור הלקוחות, וליצור ACL מורכב המונע הקצאה מחדש של שמות (משהו הדומה ל- dns static)

    טיפ מיוחד:

    זה יהיה טוב יותר להגדיר כיצד להפוך את ה- dns לסנן תוכן במקום חומת האש

    תשובה ל- PICCORO
    1.    פדריקו אנטוניו ואלדס טוג'אג דיג'ו
      hace 11 שנים

      תודה שהגבת @PICCORO !!!.
      אני מצהיר בתחילת כל המאמרים שלי שאני לא רואה את עצמי מומחה. הרבה פחות בנושא ה- DNS. כאן כולנו לומדים. אני אקח בחשבון את המלצותיך בעת התקנת DNS הפונה לאינטרנט ולא עבור LAN רגיל ופשוט.

      תשובה לפדריקו אנטוניו ואלדס טוג'אג
  4.   פרנק דווילה דיג'ו
    hace 9 שנים

    הדרכה מצוינת !!! זו הייתה עזרה נהדרת עבורי מאז שהתחלתי רק בתור השרת הזה, הכל עבד בסדר. תודה והמשיכו לפרסם מדריכים מעולים כל כך !!!

    השב לפרנק דווילה
  5.   ישו פננדז טולדו דיג'ו
    hace 9 שנים

    פיקו, שוב אני מברך אותך על החומר הנהדר הזה.

    אני לא מומחה ב- BIND9, סלח לי אם אני טועה בתגובה, אבל אני חושב שלא הגדרת את האזור לחיפושים הפוכים בקובץ named.conf.local

    תשובה ל- Jesús Fenández Toledo
    1.    אלב דיג'ו
      hace 9 שנים

      חבל שפיקו לא יכול לענות לך כרגע.

      תשובה לאלאב
      1.    פדריקו אנטוניו ואלדס טוג'אג דיג'ו
        hace 9 שנים

        ברכה ותודה, אלב, והנה אני מגיב. כמו תמיד, אני ממליץ לך לקרוא לאט ... 🙂

        תשובה לפדריקו אנטוניו ואלדס טוג'אג
    2.    פדריקו אנטוניו ואלדס טוג'אג דיג'ו
      hace 9 שנים

      בפוסט: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      אני כותב את הדברים הבאים:
      שינויים בקובץ /etc/bind/named.conf.local

      בקובץ זה אנו מצהירים על האזורים המקומיים של התחום שלנו. עלינו לכלול את האזורים קדימה והפוך כמינימום. זכור שבקובץ התצורה /etc/bind/named.conf.options אנו מצהירים באיזו ספרייה נארח את קבצי ה- Zones באמצעות הנחיית הספריות. בסופו של דבר, הקובץ צריך להיות כדלקמן:

      // /etc/bind/named.conf.local
      //
      // בצע כאן תצורה מקומית
      //
      // שקול להוסיף כאן את אזורי 1918, אם הם לא משמשים שלך
      // ארגון
      // כוללים "/etc/bind/zones.rfc1918";
      // שמות הקבצים בכל אזור הם א
      // טעם הצרכן. בחרנו ב- friends.cu.hosts
      // ו- 192.168.10.rev כי הם נותנים לנו בהירות שלהם
      // תוכן. אין יותר מסתורין 😉
      //
      // שמות האזורים אינם בוררים
      // והם יתאימו לשם הדומיין שלנו
      // ולרשת המשנה LAN
      // אזור ראשי ראשי: סוג «ישיר»
      אזור «amigos.cu» {
      סוג מאסטר;
      קובץ "amigos.cu.hosts";
      };
      // אזור ראשי ראשי: סוג "הפוך"
      אזור "10.168.192.in-addr.arpa" {
      סוג מאסטר;
      קובץ "192.168.10.rev";
      };
      // סוף הקובץ named.conf.local

      תשובה לפדריקו אנטוניו ואלדס טוג'אג
  6.   פביאן ולרי דיג'ו
    hace 9 שנים

    טוב, מאוד מעניין את ההודעה שלך על dns, הם עזרו לי להתחיל בעבודה בנושא, תודה. אני מבהיר שאני מתחיל בעניין זה. אך כשקראתי את המידע שפורסם, ראיתי שהוא עובד עם כתובות קבועות במארחים של רשת פנימית. השאלה שלי היא, איך היית עושה עם רשת פנימית עם כתובות IP דינמיות, המוקצות על ידי שרת dhcp, כדי ליצור את הקבצים של אזור המאסטר הראשי מסוג "ישיר" ו"הפוך "?

    אעריך את האור שתוכל לתת בעניין שהועלה. תודה. Fv

    תשובה לפביאן ולרי
    1.    פדריקו א 'ולדס טוג'אג דיג'ו
      hace 9 שנים

      תודה על התגובה, @fabian. תוכלו לעיין במאמרים הבאים, אשר אני מקווה שיעזרו לכם ליישם רשת עם כתובות דינמיות:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      לגבי

      תשובה לפדריקו א 'ואלדס טוג'אג