Primaire Master DNS voor een LAN op Debian 6.0 (V) en laatste

fico

5 minuten

Degenen die de 1e2da3e y 4ta een deel van dit artikel en het overleg met hun BIND leverden bevredigende resultaten op, ze zijn al experts op dit gebied. :-) En laten we zonder verder oponthoud naar het laatste deel gaan:

  • Aanmaken van het bestand van de Master Main Zone van het type “Inverse” 10.168.192.in-addr.arpa
  • Problemen oplossen
  • Overzicht

Aanmaken van het bestand van de Master Main Zone van het type “Inverse” 10.168.192.in-addr.arpa

De naam van het gebied brengt ze naar je toe, toch? En het is dat de Reverse Zones verplicht zijn om een ​​correcte naamresolutie te hebben volgens internetstandaarden. We hebben geen andere keuze dan degene te maken die overeenkomt met ons domein. Hiervoor gebruiken we als sjabloon het bestand /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

We bewerken het bestand /var/cache/bind/192.168.10.rev en we laten het zo:

; /var/cache/bind/192.168.10.rev; ; BIND omgekeerd gegevensbestand voor masterzone 10.168.192.in-addr.arpa; BIND-gegevensbestanden voor Master Zone (omgekeerd) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; serieel 604800; vernieuwen 86400; opnieuw proberen 2419200; vervallen 604800); Negatieve cache TTL; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 IN PTR gandalf.amigos.cu. 9 IN PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; we kunnen ook het volledige IP-adres schrijven. Ex:; 192.168.10.1 IN PTR gandalf.amigos.cu.
  • Kijk hoe we in dit geval de tijden in seconden hebben verlaten, zoals deze standaard wordt gemaakt wanneer de binden9. Het werkt hetzelfde. Het zijn dezelfde tijden als aangegeven in het bestand vrienden.cu.host. Controleer bij twijfel.
  • Merk ook op dat we alleen de omgekeerde records aangeven van de hosts die een toegewezen of "echt" IP-adres op ons LAN hebben, en dat identificeert het op unieke wijze.
  • Vergeet niet om het Reverse Zone-bestand bij te werken met ALLE correcte IP-adressen die in de Direct Zone zijn opgegeven.
  • Vergeet niet om de Serienummer zone elke keer dat ze het bestand wijzigen en voordat de BIND opnieuw wordt opgestart.

Laten we de nieuw gemaakte zone eens bekijken:

genaamd-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

We controleren de configuratie:

named-checkconf -z named-checkconf -p

Als alles goed is gegaan, starten we de service opnieuw op:

service bind9 herstart

Vanaf nu moeten we elke keer dat we de zonebestanden wijzigen, het volgende uitvoeren:

rndc herladen

Daarvoor verklaren we de sleutel in /etc/bind/named.conf.options, Right?

Problemen oplossen

Heel belangrijk is de juiste inhoud van het bestand / Etc / resolv.conf zoals we in het vorige hoofdstuk hebben gezien. Denk eraan om daarin minimaal het volgende aan te geven:

zoek naar amigos.cu nameserver 192.168.10.20

commando graven van het pakket dnsutils. Typ op een console de opdrachten voorafgegaan door #:

# dig -x 127.0.0.1 ..... ;; ANTWOORD-SECTIE: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; ANTWOORD-SECTIE: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu heeft adres 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu heeft adres 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; globale opties: + cmd ;; connectie time-out; er konden geen servers worden bereikt # dig gandalf.amigos.cu .... ;; ANTWOORD-SECTIE: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Als ze toegang hebben tot het Cubaanse of wereldwijde internet en de doorstuurservers correct zijn aangegeven, probeer dan: # dig debian.org .... ;; VRAAG SECTIE :; debian.org. IN EEN ;; ANTWOORD SECTIE: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu heeft adres 190.6.81.130 # host yahoo.es yahoo.es heeft adres 77.238.178.122 yahoo.es heeft adres 87.248.120.148 yahoo.es mail wordt afgehandeld door 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; ANTWOORD-SECTIE: 122.178.238.77.in-addr.arpa. 429 IN PTR w2.rc.vip.ird.yahoo.com.

… En in het algemeen met andere domeinen buiten ons LAN. Raadpleeg en ontdek interessante dingen op internet.

Een van de beste manieren om de prestaties van een server te controleren binden9, en in het algemeen van elke andere geïnstalleerde service, leest de uitvoer van het Systeemlogboekberichten met behulp van de opdracht tail -f / var / log / syslog uitvoeren als gebruikerwortel.

Het is erg interessant om de uitvoer van dat commando te zien als we onze lokale BIND een vraag stellen over een extern domein of host. In dat geval kunnen verschillende scenario's worden gepresenteerd:

  • Als we geen toegang tot internet hebben, zal onze zoekopdracht mislukken.
  • Als we internettoegang hebben en we hebben GEEN expediteurs aangegeven, zullen we hoogstwaarschijnlijk geen antwoord krijgen.
  • Als we toegang hebben tot internet en we hebben de Forwarders verklaard, zullen we een antwoord krijgen, aangezien zij de leiding hebben over het raadplegen van de DNS-servers die nodig zijn.

Als we werken aan een LAN gesloten waarin het op geen enkele manier onmogelijk is om naar het buitenland te gaan en we geen expediteurs hebben, kunnen we de zoekberichten van de Root-servers Het bestand "leegmaken" /etc/bind/db.root. Om dit te doen, slaan we het bestand eerst op met een andere naam en verwijderen we vervolgens alle inhoud. Vervolgens controleren we de configuratie en starten we de service opnieuw op:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 herstart

Overzicht

Tot nu toe, mensen, een kleine inleiding tot de DNS-service. Wat we tot nu toe hebben gedaan, kan ons perfect van dienst zijn voor onze kleine onderneming. Ook voor het huis als we virtuele machines maken met verschillende besturingssystemen en verschillende IP-adressen, en we willen ze niet met IP maar met naam noemen. Ik installeer altijd een BIND op mijn thuishost om services te installeren, configureren en testen die sterk afhankelijk zijn van de DNS-service. Ik maak veel gebruik van desktops en virtuele servers, en ik hou er niet van om een ​​bestand te bewaren / Etc / hosts op elk van de machines. Ik heb het teveel mis.

Als je nog nooit een BIND hebt geïnstalleerd en geconfigureerd, laat je dan niet afschrikken als er bij de eerste poging iets misgaat en je helemaal opnieuw moet beginnen. We raden in deze gevallen altijd aan om te beginnen met een schone installatie. Het is het proberen waard!

Voor degenen die een hoge beschikbaarheid nodig hebben in de naamomzettingsservice, die kan worden bereikt door een secundaire masterserver te configureren, raden we u aan om met ons door te gaan op het volgende avontuur: Secundaire Master DNS voor een LAN.

Felicitaties aan degenen die alle artikelen hebben gevolgd en de verwachte resultaten hebben behaald!


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   st0rmt4il zei
    geleden Tot 11 jaar

    Eindelijk! .. de laatste post: D!

    Bedankt voor het delen van mijn vriend!

    Groeten!

    Reageer op st0rmt4il
  2.   Rafael Hernandez zei
    geleden Tot 11 jaar

    Zeer interessant, uw artikelen, ik heb een gezaghebbende DNS ingesteld in een freeBSD voor een .edu.mx-domein, tot nu toe werkte het perfect voor mij, maar in de afgelopen maand heb ik verschillende aanvallen op de server gedetecteerd, wat zou zijn de verdedigingsmethoden tegen een blootgestelde DNS?, en ik weet niet of het kan zijn, laat de master blootgesteld worden aan internet en een secundaire die een kleine lan bedient van ongeveer 60 computers, beide DNS met elkaar verbonden, of om in staat te zijn om definieer twee zones, een interne en een externe, bedankt in de master

    Reageer op Rafael Hernandez
  3.   PICCORUS zei
    geleden Tot 11 jaar

    Het squeeze bind9-pakket heeft een probleem bij het werken met samba, een versie 9.8.4 is al beschikbaar in de backports-tak van squeeze, de wheeze-versie heeft dit probleem niet, voor lenny venenux.net zal het het pakket backporteren.

    Zeer goed artikel.

    Dit is het enige artikel waarin alles goed wordt uitgelegd ..

    Opgemerkt moet worden dat de acl voor spofing niet werkt, omdat de oplossing, op dezelfde manier als het wordt geïnjecteerd vanuit het interne netwerk, zou zijn om omleidingen voor clients te weigeren en een complexe acl te maken die het opnieuw toewijzen van namen voorkomt (iets vergelijkbaars met statische dns)

    SPECIALE TIP:

    Een extra configuratie zou goed zijn om de dns inhoud te laten filteren in plaats van de firewall

    Reageer op PICCORO
    1.    Federico Antonio Valdes Toujague zei
      geleden Tot 11 jaar

      Bedankt voor je reactie @PICCORO !!!.
      Ik verklaar aan het begin van al mijn artikelen dat ik mezelf niet als een specialist beschouw. Veel minder over het DNS-probleem. Hier leren we allemaal. Ik zal rekening houden met uw aanbevelingen bij het installeren van een DNS die is gericht op internet en niet voor een normaal en eenvoudig LAN.

      Reageer op Federico Antonio Valdés Toujague
  4.   Frank Davila zei
    geleden Tot 9 jaar

    UITSTEKENDE TUTORIAL !!! Het was een grote hulp voor mij sinds ik net begon in deze serverbeurt, alles werkte goed. Bedankt en blijf zulke prachtige tutorials publiceren !!!

    Reageer op Frank Davila
  5.   Jezus Fenández Toledo zei
    geleden Tot 9 jaar

    Fico, ik feliciteer je nogmaals met dit geweldige materiaal.

    Ik ben geen expert in BIND9, vergeef me als ik het mis heb over de opmerking, maar ik denk dat het je ontbreekt aan het definiëren van de zone voor omgekeerde zoekopdrachten in het named.conf.local-bestand

    Reageer op Jesús Fenández Toledo
    1.    levendig zei
      geleden Tot 9 jaar

      Het is jammer dat Fico je nu niet kan antwoorden.

      Reageer op elav
      1.    Federico Antonio Valdes Toujague zei
        geleden Tot 9 jaar

        Groeten en bedankt, Elav, en hier reageer ik. Zoals altijd raad ik je aan om langzaam te lezen ... 🙂

        Reageer op Federico Antonio Valdés Toujague
    2.    Federico Antonio Valdes Toujague zei
      geleden Tot 9 jaar

      Bij de post: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      Ik schrijf het volgende:
      Wijzigingen aan het /etc/bind/named.conf.local bestand

      In dit bestand geven we de lokale zones van ons domein aan. We moeten minimaal de vooruit- en achteruitzones opnemen. Onthoud dat we in het configuratiebestand /etc/bind/named.conf.options aangeven in welke directory we de Zones-bestanden zullen hosten met behulp van de directory-instructie. Uiteindelijk zou het bestand er als volgt uit moeten zien:

      // /etc/bind/named.conf.local
      //
      // Voer hier een lokale configuratie uit
      //
      // Overweeg om hier de 1918-zones toe te voegen, als deze niet in uw
      // organisatie
      // include "/etc/bind/zones.rfc1918";
      // De namen van de bestanden in elke zone zijn een
      // smaak van de consument. We kozen voor friends.cu.hosts
      // en 192.168.10.rev omdat ze ons duidelijkheid geven over hun
      // inhoud. Er is geen mysterie meer 😉
      //
      // De namen van de zones ZIJN NIET WILLEKEURIG
      // en ze komen overeen met de naam van ons domein
      // en naar het LAN-subnet
      // Master Main Zone: type «Direct»
      zone "vrienden.cu" {
      typ meester;
      bestand "amigos.cu.hosts";
      };
      // Master basiszone: type «omgekeerd»
      zone "10.168.192.in-addr.arpa" {
      typ meester;
      bestand "192.168.10.rev";
      };
      // Einde van named.conf.local-bestand

      Reageer op Federico Antonio Valdés Toujague
  6.   Fabian Valery zei
    geleden Tot 9 jaar

    Goed, heel interessant je post over dns, ze hebben me geholpen om met het onderwerp te beginnen, bedankt. Ik maak duidelijk dat ik in dit opzicht een newbie ben. Maar bij het lezen van uw gepubliceerde informatie heb ik opgemerkt dat het werkt met vaste adressen in de hosts van een intern netwerk. Mijn vraag is, hoe zou je het doen met een intern netwerk met dynamische IP-adressen, toegewezen door een dhcp-server, om de bestanden van de hoofdmasterzone van het type "direct" en "reverse" te maken?

    Ik zal u dankbaar zijn voor het licht dat u kunt geven over de aangekaarte kwestie. Dank je. Fv

    Reageer op Fabian Valery
    1.    Federico A. Valdes Toujague zei
      geleden Tot 9 jaar

      Bedankt voor je reactie, @fabian. U kunt de volgende artikelen raadplegen, waarvan ik hoop dat ze u zullen helpen bij het implementeren van een netwerk met dynamische adressen:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      groeten

      Reageer op Federico A. Valdés Toujague