Primaire Master DNS voor een LAN op Debian 6.0 (III)

Het is een enorme inspanning om in 5 kleine artikelen de voorkennis, de installatie, de configuratie en het creëren van de zones en controles van een BIND te verminderen, zodat het door het grootste aantal lezers kan worden begrepen, wat ons fundamentele doel is.

Degenen die het geduld hebben gehad om het 1e y 2da onderdeel van dit artikel, zijn ze bereid om door te gaan met de configuratie en installatie van een Domain Name Server voor een LAN.

Voor het Nieuwe en degenen die niet erg duidelijk zijn over de zeer samengevatte concepten die in de voorgaande delen zijn gegeven, raden we je aan ze te lezen en te bestuderen voordat je verder gaat. Gebruikelijke verdachten van wanhoop! terug als je niet zorgvuldig hebt gelezen.

We zullen hieronder zien:

• LAN-hoofdgegevens
• Minimale hostconfiguraties
• Wijzigingen in het bestand /etc/resolv.conf
• Wijzigingen aan het /etc/bind/named.conf bestand
• Wijzigingen aan het bestand /etc/bind/named.conf.option
• Wijzigingen aan het /etc/bind/named.conf.local bestand

 LAN-hoofdgegevens

LAN-domeinnaam: amigos.cu LAN-subnet: 192.168.10.0/255.255.255.0 BIND-server IP: 192.168.10.10 Server NetBIOS-naam: ns

Hoewel het duidelijk is, vergeet niet om de vorige gegevens voor uw eigen gegevens te wijzigen.

Minimale hostconfiguraties

Het is erg belangrijk dat de bestanden correct zijn geconfigureerd / Etc / network / interfaces y/ Etc / hosts om goede DNS-prestaties te krijgen. Als alle gegevens tijdens de installatie zijn gedeclareerd, is er geen wijziging nodig. De inhoud van elk van hen moet de volgende zijn:

# inhoud van het / etc / network / interfaces-bestand # Dit bestand beschrijft de netwerkinterfaces die beschikbaar zijn op uw systeem # en hoe ze te activeren. Zie interfaces (5) voor meer informatie. # De loopback-netwerkinterface automatisch lo iface lo inet loopback # De primaire netwerkinterface allow-hotplug eth0 iface eth0 inet statisch adres 192.168.10.10 netmask 255.255.255.0 netwerk 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * opties zijn geïmplementeerd door het resolvconf-pakket, indien geïnstalleerd dns-naamservers 192.168.10.10 dns-search amigos.cu # inhoud van / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # De volgende regels zijn wenselijk voor IPv6-geschikte hosts :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Wijzigingen in het bestand /etc/resolv.conf

Om onze vragen en controles correct te laten werken, is het noodzakelijk om in de lokale configuratie van de host aan te geven dat dit ons zoekdomein zal zijn en dat onze lokale DNS zal zijn. Zonder de bovenstaande parameters zal elke DNS-query mislukken. En dit is een fout die veel beginners maken. Dus laten we het bestand bewerken / Etc / resolv.conf en we laten het achter met de volgende inhoud:

# inhoud van /etc/resolv.conf zoek friends.cu nameserver 192.168.10.10

Op de computer waarop we de DNS-server hebben geïnstalleerd, kunnen we schrijven:

zoek naar amigos.cu nameserver 127.0.0.1

In de bovenstaande inhoud, de verklaring nameserver 127.0.0.1, geeft aan dat navraag zal worden gedaan bij localhost.

Nadat we onze BIND correct hebben geconfigureerd, kunnen we elke DNS-vraag van onze host doen, of het nu de server zelf is binden9 of een andere die is verbonden met het netwerk en die tot hetzelfde subnet behoort en hetzelfde netwerkmasker heeft. Voor meer informatie over het bestand, start u man resolv.conf.

Wijzigingen aan het /etc/bind/named.conf bestand

Om vragen te beperken tot onze BIND, zodat ze alleen op ons subnet reageren en een aanval voorkomen spoofingverklaren we in het bestand genaamd.conf de Access Control List of ACL (Access Control List) en we noemen het verstrikt. Het bestandgenaamd.conf zou als volgt moeten zijn:

// /etc/bind/named.conf // Dit is het primaire configuratiebestand voor de BIND DNS-server met de naam. // // Lees /usr/share/doc/bind9/README.Debian.gz voor informatie over de // structuur van BIND-configuratiebestanden in Debian, * VOORDAT u // dit configuratiebestand aanpast. // // Als u alleen zones toevoegt, doe dat dan in /etc/bind/named.conf.local // // De opmerkingen in het Spaans zijn van ons // We laten de originelen achter in het Engels // PAS OP voor kopiëren en paste // LAAT GEEN BLANCO RUIMTEN AAN HET EINDE VAN ELKE LIJN // // Toegangscontrolelijst: // Staat zoekopdrachten toe vanuit het lokale domein en vanuit ons subnet // In het bestand met de naam.conf.options zullen we ernaar verwijzen . acl mired {127.0.0.0/8; 192.168.10.0/24; }; omvatten "/etc/bind/named.conf.options"; omvatten "/etc/bind/named.conf.local"; omvatten "/etc/bind/named.conf.default-zones"; // einde van bestand /etc/bind/named.conf

Laten we tot nu toe de BIND-configuratie controleren en de service opnieuw starten:

named-checkconf -z service bind9 herstart

Wijzigingen aan het bestand /etc/bind/named.conf.options

In de eerste sectie 'opties"We zullen alleen de Forwarders, en wie zullen degenen zijn die onze BIND kunnen raadplegen. Dan declareren we de Sleutel of sleutel waardoor we de binden9, en tot slot vanaf welke host we het kunnen besturen. Om te weten wat de sleutel of sleutel is, moeten we het doen cat /etc/bind/rndc.key. We kopiëren de uitvoer en plakken deze in het bestand named.conf.options. Uiteindelijk zou ons bestand er als volgt uit moeten zien:

// /etc/bind/named.conf.options opties {// PAS OP MET KOPIËREN EN PLAKKEN, ALSTUBLIEFT ... // Default directory om onze Zones bestanden directory "/ var / cache / bind" te vinden; // Als er een firewall is tussen jou en de naamservers waarmee je // wilt praten, moet je mogelijk de firewall repareren om meerdere // poorten te laten praten. Zie http://www.kb.cert.org/vuls/id/800113 // Als je ISP een of meer IP-adressen voor stabiele // naamservers heeft opgegeven, wil je deze waarschijnlijk als doorstuurservers gebruiken. // Uncommenteer het volgende blok en voeg de adressen in ter vervanging van // de tijdelijke aanduiding voor alle 0. // doorstuurservers {// 0.0.0.0; // 0.0.0.0; //} // De expediteurs. Ik heb geen betere vertaling // De adressen zijn van servers van ceniai.net.cu // Als het GEEN uitgang naar internet heeft, is het NIET nodig // om ze aan te geven, tenzij je een complexere LAN // met DNS-servers die fungeren als doorstuurservers buiten de // van het IP-adresbereik van uw subnet. In dat geval // moet u de IP ('s) van die servers aangeven. // Forwarders-query's zijn Cascade. expediteurs {169.158.128.136; 169.158.128.88; }; // In een goed geconfigureerd LAN moeten ALLE DNS-queries // worden gedaan naar de lokale DNS-server op dat LAN, // NIET naar servers buiten het LAN. // Vooral als u toegang hebt tot internet, // nationaal of internationaal. Voor dat // verklaren we de Forwarders auth-nxdomain no; # conform RFC1035 listen-on-v6 {any; }; // Beschermen tegen spoofing allow-query {mired; }; }; // Inhoud van het bestand / etc / bind / rndc-key // verkregen via cat / etc / bind / rndc-key // Vergeet niet om het te wijzigen als we de sleutel "rndc-key" {algoritme hmac-md5; geheim "dlOFESXTp2wYLa86vQNU6w =="; }; // Van welke host we zullen controleren en via welke sleutelcontroles {inet 127.0.0.1 {localhost; } sleutels {rndc-key; }; }; // einde bestand /etc/bind/named.conf.options

Laten we tot nu toe de BIND-configuratie controleren en de service opnieuw starten:

named-checkconf -z service bind9 herstart

We hebben besloten om op te nemen als // Opmerkingen de fundamentele aspecten die als referentie kunnen dienen voor toekomstige consultaties.

Het feit dat de Forwarders worden aangegeven, verandert onze BIND Local-server in een Caché-server, met behoud van zijn functionaliteit als Primary Master. Als we om een ​​host of een extern domein vragen, wordt het antwoord -als het positief is- opgeslagen in de cache, zodat wanneer we het opnieuw vragen voor dezelfde host of voor hetzelfde externe domein, we snel een antwoord krijgen door niet het raadplegen van externe DNS's.

Wijzigingen aan het /etc/bind/named.conf.local bestand

In dit bestand geven we de lokale zones van ons domein aan. We moeten minimaal de vooruit- en achteruitzones opnemen. Onthoud dat in het configuratiebestand/etc/bind/named.conf.options We verklaren in welke directory we de Zones-bestanden zullen hosten met behulp van de directory-instructie. Uiteindelijk zou het bestand er als volgt uit moeten zien:

// /etc/bind/named.conf.local // // Voer hier een lokale configuratie uit // // Overweeg om hier de 1918-zones toe te voegen, als ze niet worden gebruikt in uw // organisatie // include "/ etc / bind /zones.rfc1918 "; // De namen van de bestanden in elke zone zijn naar de // smaak van de consument. We kozen voor amigos.cu.hosts // en 192.168.10.rev omdat ze ons duidelijkheid geven over hun // inhoud. Er is geen mysterie meer // // De namen van de zones ZIJN GEEN WILLEKEURIG // en komen overeen met de naam van ons domein // en het LAN-subnet // Main Master Zone: typ "Direct" zone "amigos.cu" { type meester; bestand "amigos.cu.hosts"; }; // Master Main Zone: typ "Inverse" zone "10.168.192.in-addr.arpa" {type master; bestand "192.168.10.rev"; }; // Einde van named.conf.local-bestand

Om de BIND-configuratie tot dusver te controleren:

genaamd-checkconf -z

De vorige opdracht retourneert een fout totdat de zonebestanden niet bestaan. Het belangrijkste is dat het ons waarschuwt dat de zones die zijn gedeclareerd in named.conf.local niet zullen worden geladen, omdat de DNS-recordbestanden gewoon niet bestaan, wat voorlopig waar is. We kunnen verder.

Laten we de service opnieuw starten, zodat rekening wordt gehouden met de wijzigingen:

service bind9 herstart

Omdat we niet elke post erg lang willen maken, zullen we het maken van de Local Zones-bestanden in het volgende 4e deel bespreken. Tot dan vrienden!