DNS Master Utama untuk LAN pada Debian 6.0 (V) dan akhir

Mereka yang mengikuti 1hb2da3hb y 4ta sebahagian daripada artikel ini dan rundingan yang dibuat kepada BIND mereka memberikan hasil yang memuaskan, mereka sudah menjadi pakar mengenai perkara ini. :-) Dan tanpa basa-basi lagi mari masuk ke bahagian terakhir:

  • Pembuatan fail "Inverse" jenis Utama Master Zone 10.168.192.in-addr.arpa
  • penyelesaian masalah
  • Ringkasan

Pembuatan fail "Inverse" jenis Utama Master Zone 10.168.192.in-addr.arpa

Nama kawasan itu membawa mereka kepada anda, bukan? Zon Terbalik wajib mempunyai resolusi nama yang betul mengikut standard Internet. Kami tidak mempunyai pilihan selain membuat yang sesuai dengan domain kami. Untuk ini kami gunakan sebagai templat fail /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

Kami mengedit fail /var/cache/bind/192.168.10.rev dan kita biarkan seperti ini:

; /var/cache/bind/192.168.10.rev; ; Fail data terbalik BIND untuk zon induk 10.168.192.in-addr.arpa; Fail data BIND untuk Master Zone (Reverse) 10.168.192.in-addr.arpa; $ TTL 604800 @ DI SOA ns.amigos.cu. root.amigos.cu. (2; Siri 604800; Segarkan 86400; Cuba semula 2419200; Tamat tempoh 604800); Cache Negatif TTL; @ DI NS ns. 10 DALAM PTR ns.amigos.cu. 1 DI PTR gandalf.amigos.cu. 9 DALAM surat PTR.amigos.cu. 20 DI PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; kami juga boleh menulis alamat IP penuh. Cth:; 192.168.10.1 DI PTR gandalf.amigos.cu.
  • Perhatikan bagaimana dalam kes ini kita meninggalkan masa dalam beberapa saat kerana ia dibuat secara lalai ketika mengikat9. Ia berfungsi sama. Ini adalah masa yang sama dengan yang dinyatakan dalam fail kawan.cu.host. Sekiranya ragu-ragu, periksa.
  • Juga perhatikan bahawa kami hanya menyatakan rekod terbalik host yang mempunyai IP yang diberikan atau "nyata" di LAN kami, dan yang mengenal pasti secara unik.
  • Ingatlah untuk mengemas kini fail Zon Terbalik dengan SEMUA alamat IP yang betul yang dinyatakan di Zon Langsung.
  • Ingatlah untuk meningkatkan Nombor Siri Zon setiap kali mereka mengubah suai fail dan sebelum memulakan semula BIND.

Mari periksa zon yang baru dibuat:

bernama-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

Kami memeriksa konfigurasi:

bernama-checkconf -z bernama-checkconf -p

Sekiranya semuanya berjalan lancar, kami memulakan semula perkhidmatan:

perkhidmatan bind9 mulakan semula

Mulai sekarang, setiap kali kita mengubah fail zon, kita hanya perlu melaksanakan:

tambah nilai rndc

Untuk itu kami menyatakan kunci masuk /etc/bind/named.conf.options, tidak?

penyelesaian masalah

Sangat penting adalah kandungan fail yang betul /etc/resolv.conf seperti yang kita lihat pada bab sebelumnya. Ingatlah untuk menunjukkan di dalamnya sekurang-kurangnya perkara berikut:

cari pelayan nama amigos.cu 192.168.10.20

Perintah menggali pakej dnsutil. Pada konsol, ketik perintah yang didahului oleh #:

# dig -x 127.0.0.1 .....;; BAHAGIAN JAWAPAN: 1.0.0.127.in-addr.arpa. 604800 DI PTR localhost. .... # dig -x 192.168.10.9 .... ;; SEKSYEN JAWAPAN: 9.10.168.192.in-addr.arpa. 604800 DALAM surat PTR.amigos.cu. .... # host gandalf gandalf.amigos.cu mempunyai alamat 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu mempunyai alamat 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; pilihan global: + cmd ;; sambungan tamat; tiada pelayan yang dapat dihubungi # dig gandalf.amigos.cu .... ;; BAHAGIAN JAWAPAN: gandalf.amigos.cu. 604800 DALAM 192.168.10.1 .... Sekiranya mereka mempunyai akses ke Internet Kuba atau Global, dan Penyampai dinyatakan dengan betul cuba: # dig debian.org .... ;; BAHAGIAN SOALAN:; debian.org. DIDALAM ;; BAHAGIAN JAWAPAN: debian.org. 3600 DALAM 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu mempunyai alamat 190.6.81.130 # host yahoo.es yahoo.es mempunyai alamat 77.238.178.122 yahoo.es mempunyai alamat 87.248.120.148 surat yahoo.es dikendalikan oleh 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SEKSYEN JAWAPAN: 122.178.238.77.in-addr.arpa. 429 DALAM PTR w2.rc.vip.ird.yahoo.com.

... Dan secara umum dengan domain lain di luar LAN kami. Rujuk dan dapatkan maklumat mengenai perkara menarik di Internet.

Salah satu kaedah terbaik untuk memeriksa prestasi pelayan mengikat9, dan secara umum dari perkhidmatan terpasang lain, membaca output dari Mesej Log Sistem menggunakan arahan ekor -f / var / log / syslog dijalankan sebagai penggunaakar.

Sangat menarik untuk melihat output dari arahan tersebut ketika kita mengajukan pertanyaan kepada BIND tempatan kita mengenai domain atau host luaran. Sekiranya demikian, beberapa senario dapat dikemukakan:

  • Sekiranya kita tidak mempunyai akses ke Internet, pertanyaan kita akan gagal.
  • Sekiranya kita mempunyai akses internet dan TIDAK menyatakan Pengirim, kita kemungkinan besar tidak akan mendapat sambutan.
  • Sekiranya kita mempunyai akses ke Internet dan kita telah menyatakan Pemaju, kita akan mendapat jawapan kerana mereka akan bertugas untuk meminta pelayan DNS atau pelayan yang diperlukan.

Sekiranya kita mengusahakan a LAN ditutup di mana mustahil untuk pergi ke luar negeri dan kami tidak mempunyai apa-apa jenis Forwarders, kami dapat menghilangkan Pelayan Root "Mengosongkan" fail /etc/bind/db.root. Untuk melakukan ini, pertama-tama kita menyimpan fail dengan nama lain dan kemudian memadam semua kandungannya. Kemudian kami memeriksa konfigurasi dan memulakan semula perkhidmatan:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root bernama-checkconf -z bernama-checkconf -p perkhidmatan bind9 mulakan semula

Ringkasan

Sejauh ini, kawan-kawan, sedikit pengenalan kepada perkhidmatan DNS. Apa yang telah kita lakukan setakat ini dapat melayani kita dengan sempurna untuk perniagaan kecil kita. Juga untuk rumah jika kita membuat mesin maya dengan sistem operasi yang berbeza dan alamat IP yang berbeza, dan kita tidak mahu merujuknya melalui IP tetapi dengan nama. Saya selalu memasang BIND pada hos rumah saya untuk memasang, mengkonfigurasi dan menguji perkhidmatan yang sangat bergantung pada perkhidmatan DNS. Saya menggunakan Desktop dan Server maya secara meluas, dan saya tidak mahu menyimpan fail / Etc / tuan rumah di setiap mesin. Saya terlalu salah.

Sekiranya anda tidak pernah memasang dan mengkonfigurasi BIND, jangan ditangguhkan jika ada yang tidak kena pada percubaan pertama dan anda harus memulakannya sekali lagi. Kami selalu mengesyorkan dalam kes ini untuk memulakan dengan pemasangan yang bersih. Perlu dicuba!

Bagi mereka yang memerlukan ketersediaan tinggi dalam perkhidmatan resolusi nama, yang dapat dicapai dengan mengkonfigurasi pelayan Master Kedua, kami mengesyorkan agar anda terus bersama kami pada petualangan seterusnya: DNS Master Sekunder untuk LAN.

Tahniah kepada mereka yang mengikuti semua artikel dan mendapat hasil yang diharapkan!


11 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   st0rmt4il kata

    Akhirnya! .. jawatan terakhir: D!

    Terima kasih kerana berkongsi rakan saya!

    Salam!

  2.   Raphael Hernandez kata

    Sangat menarik, artikel anda, saya mempunyai DNS yang berwibawa yang disediakan dalam freeBSD untuk domain .edu.mx, setakat ini ia berfungsi dengan baik untuk saya, tetapi pada bulan lalu saya mengesan beberapa serangan, ke arah pelayan, apa yang akan berlaku kaedah pertahanan kepada DNS yang terdedah?, dan saya tidak tahu apakah itu boleh, adakah tuannya terdedah ke internet dan yang kedua yang menyajikan lan kecil sekitar 60 komputer, kedua-duanya saling berkaitan, atau dapat tentukan dua zon, satu dalaman dan satu luaran, terima kasih tuan

  3.   PICCORUS kata

    Pakej pemerasan bind9 mempunyai masalah untuk bekerja dengan samba, versi 9.8.4 sudah tersedia di cabang pemerasan backports, versi wheeze tidak menghadapi masalah ini, kerana lenny venenux.net ia akan menyokong paket.

    Artikel yang sangat bagus.

    Inilah satu-satunya artikel yang menjelaskan semuanya dengan baik ..

    Perlu diingatkan bahawa acl untuk spofing tidak berfungsi kerana dengan cara yang sama akan disuntikkan dari rangkaian dalaman, solusinya adalah dengan menolak pengalihan untuk klien, dan membuat acl kompleks yang mencegah penugasan semula nama (sesuatu serupa dengan dns statik)

    PETUA KHAS:

    Konfigurasi tambahan akan bagus untuk membuat kandungan penapis dns dan bukannya firewall

    1.    Federico Antonio Valdes Toujague kata

      Terima kasih kerana memberi komen @PICCORO !!!.
      Saya menyatakan pada awal semua artikel saya bahawa saya tidak menganggap diri saya pakar. Lebih kurang mengenai masalah DNS. Di sini kita semua belajar. Saya akan mengambil kira cadangan anda semasa memasang DNS menghadap Internet dan bukan untuk LAN biasa dan sederhana.

  4.   Frank davila kata

    TUTORIAL TERBAIK !!! Ini sangat membantu saya kerana saya baru sahaja memulakan giliran pelayan ini, semuanya berfungsi dengan baik. Terima kasih dan teruskan menerbitkan tutorial hebat ini !!!

  5.   Jesus Fenández Toledo kata

    Fico, sekali lagi saya mengucapkan tahniah kepada anda atas bahan hebat ini.

    Saya bukan pakar dalam BIND9, maafkan saya jika saya salah mengenai komen, tetapi saya rasa anda belum menentukan zon untuk carian terbalik dalam fail bernama.conf.local

    1.    meriah kata

      Sayang sekali Fico tidak dapat menjawab anda sekarang.

      1.    Federico Antonio Valdes Toujague kata

        Salam dan Terima kasih, Elav, dan di sini saya bertindak balas. Seperti biasa, saya mengesyorkan agar anda membaca dengan perlahan ... 🙂

    2.    Federico Antonio Valdes Toujague kata

      Dalam jawatan: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      Saya menulis perkara berikut:
      Pengubahsuaian pada fail /etc/bind/named.conf.local

      Dalam fail ini kami menyatakan zon tempatan domain kami. Kita mesti memasukkan Zon Maju dan Terbalik minimum. Ingatlah bahawa dalam fail konfigurasi /etc/bind/named.conf.options kita menyatakan dalam direktori mana kita akan menjadi tuan rumah fail Zon menggunakan arahan direktori. Pada akhirnya, fail tersebut hendaklah seperti berikut:

      // /etc/bind/named.conf.local
      //
      // Lakukan sebarang konfigurasi tempatan di sini
      //
      // Pertimbangkan untuk menambahkan zon 1918 di sini, jika tidak digunakan di kawasan anda
      // organisasi
      // sertakan "/etc/bind/zones.rfc1918";
      // Nama-nama fail di setiap zon adalah a
      // selera pengguna. Kami memilih rakan-rakan.cu.host
      // dan 192.168.10.rev kerana mereka memberi kita kejelasan tentang mereka
      // kandungan. Tidak ada lagi misteri 😉
      //
      // Nama-nama Zon TIDAK ADA
      // dan akan sesuai dengan nama domain kami
      // dan ke subnet LAN
      // Zon Utama Master: Jenis «Langsung»
      zon «amigos.cu» {
      jenis tuan;
      fail "amigos.cu.hosts";
      };
      // Master Zon Utama: Jenis «Inverse»
      zon "10.168.192.in-addr.arpa" {
      jenis tuan;
      fail "192.168.10.rev";
      };
      // Akhir fail bernama.conf.local

  6.   Fabian Valery kata

    Bagus, sangat menarik siaran anda mengenai dns, mereka telah membantu saya memulakan topik ini, terima kasih. Saya menjelaskan bahawa saya adalah pemula dalam hal ini. Tetapi dengan membaca maklumat yang anda terbitkan, saya telah memperhatikan bahawa ia berfungsi dengan alamat tetap di host rangkaian dalaman. Soalan saya adalah, bagaimana anda lakukan dengan rangkaian dalaman dengan alamat IP dinamik, yang diberikan oleh pelayan dhcp, untuk membuat fail zon induk utama jenis "langsung" dan "terbalik"?

    Saya akan berterima kasih atas cahaya yang dapat anda berikan mengenai perkara yang dibangkitkan. Terima kasih. Fv

    1.    Federico A. Valdes Toujague kata

      Terima kasih kerana memberi komen, @fabian. Anda boleh melihat artikel berikut, yang saya harap dapat membantu anda melaksanakan rangkaian dengan alamat dinamik:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      salam