Dnsmasq na CentOS 7.3 - sieci MŚP

Indeks ogólny serii: Sieci komputerowe dla MŚP: wprowadzenie

Cześć przyjaciele!. Ten artykuł dedykujemy dnsmasq bardzo prosty program, który świadczy usługi DNS - DHCP za pomocą jednego oprogramowania. Najlepszą dokumentacją dotyczącą tego oprogramowania jest ta zainstalowana wraz z pakietem znajdującym się pod adresem /usr/share/doc/dnsmasq-2.66/, plik konfiguracyjny -full of examples- /etc/dnsmasq.confi ten uzyskany przez rozkaz człowiek dnsmasq. Odwiedzanie Twojego Oficjalna strona.

[root @ dns ~] # ls -l /usr/share/doc/dnsmasq-2.66/
łącznie 136 -rw-r - r--. 1 root root 18007 17 kwietnia 2013 KOPIOWANIE -rw-r - r--. 1 root root 59811 11 listopada 13:20 LISTA ZMIAN -rw-r - r--. 1 root root 5164 17 2013 kwietnia 1 DBus-interface -rw-r - r--. 5009 root root 17 2013 kwietnia 1 doc.html -rw-r - r--. 25075 root root 17 2013 kwietnia 1 FAQ -rw-r - r--. 12019 root root 17 2013 kwietnia XNUMX setup.html

• Procedura opisana w poście dotyczy również Debiana 8 „Jessie”. Plik konfiguracyjny / etc / dnsmasq jest taki sam. W Jessie może wystarczy zainstalować pakiet dnsmasq i nic więcej. Piszę to, ponieważ uważam za zbędne tworzenie osobnego artykułu o Dnsmasq w Debianie. Na szczęście katalogi związane z dokumentacją i konfiguracją są takie same,

Dnsmaq jest dziełem Simon Kelley.

Co to jest Dnsmasq?

Darmowe oprogramowanie dnsmasq jest serwerem DNS Spedytor y DHCP dla małych sieci komputerowych. Typowym przykładem są istniejące sieci w naszych MŚP. Wymaga niewielkich zasobów sprzętowych do działania i może być uruchamiany na różnych platformach, takich jak Linux, BSD, Android i OS X. Znajduje się w prawie wszystkich repozytoriach dystrybucji Linuksa i BSD.

Serwer DHCP del dnsmasq możesz dzierżawić adresy IP dynamicznie i statycznie, dla wielu sieci z różnymi zakresami adresów IP. Jest zintegrowany z serwerem DNS i umożliwia lokalnym maszynom, które uzyskują adres IP, pojawienie się jako zarejestrowane w DNS z poprawnymi rekordami DNS, zarówno bezpośrednimi, jak i wstecznymi.

Natywny sposób działania dnsmasq do buforowania rekordów DNS uzyskanych w wyniku zapytań do ich plików Spedytorzy, zmniejsza ich obciążenie i poprawia ogólną wydajność szybkości odpowiedzi na różne zapytania DNS.

Obsługuje nowoczesne standardy, takie jak IPv6 y DNSSEC, Początek - bagażnik przez sieć z obsługą protokołów BOOT, TFTPI PXE.

W świecie Linuksa Dnsmasq jest szeroko stosowany w serwerach dla maszyn bez dysku twardego i cienkich klientów. W systemie Microsoft® Windows, z oprogramowaniem ARDENCE®, odpowiednik -to Dnsmasq- jest używany jako serwer DHCP o nazwie Tellurium.

W którym scenariuszu możemy użyć Dnsmasq?

Jeśli uciekniemy człowiek dnsmasq W CentOS otrzymamy stronę tego podręcznika w języku angielskim. W pliku dnsmasq.8.gz -w języku hiszpańskim-, który jest instalowany z dystrybucją Debian 8 «Jessie», jest to odzwierciedlone dokładnie Następny:

LIMITY

• Domyślne wartości limitów zasobów są ogólnie ostrożne i odpowiednie do stosowania na urządzeniach typu router. utknąłem z wolnymi procesorami i małą ilością pamięci. W sprzęcie więcej  w stanie zwiększyć limity i obsługiwać wiele innych klienci. Poniższe dotyczy dnsmasq-2.37: poprzednie wersje nie wspinali się tak dobrze.
  

• Dnsmasq może obsługiwać DNS i DHCP co najmniej tysiąc (1,000) klienci. Czasy najmu nie powinny być zbyt krótkie (mniej niż jeden czas). Wartość –dns-forward-max można zwiększyć: zacznij od odpowiednik liczby klientów i zwiększ ją, jeśli plik DNS. Zauważ, że wydajność DNS zależy również od serwerów Upstream DNS. Rozmiar pamięci podręcznej DNS można zwiększyć: limit Wymagane jest 10,000 150 nazw, a wartość domyślna (1) jest bardzo niska. Wysyłanie SIGUSRXNUMX do dnsmasq powoduje powstanie informacji bitacore przydatne do dostrajania rozmiaru pamięci podręcznej. Zobacz sekcję UWAGI, aby uzyskać szczegółowe informacje.

• Wbudowany serwer TFTP może obsługiwać wiele transferów jednoczesnych plików: bezwzględny limit jest związany z liczbą uchwytów plików dozwolonych dla procesu i możliwościami systemuwywołanie funkcji select () do obsługi dużej liczby uchwytów plików. Jeśli limit jest ustawiony zbyt wysoko za pomocą –tftp-max, zostanie on zdekskalowany, a rzeczywisty limit zostanie zarejestrowany podczas uruchamiania. Zauważ, że więcej transferów są możliwe, gdy wysyłany jest ten sam plik, co przy każdym transferencia wysyła inny plik. Możliwe jest użycie dnsmasq do odrzucenia reklam internetowych przy użyciu listy dobrze znane serwery banerów, wszystkie w rozdzielczości 127.0.0.1 lub 0.0.0.0 w / etc / hosts lub w dodatkowym pliku hosts. Lista może być bardzo długi. Dnsmasq został pomyślnie przetestowany z milionami nazw. Ten rozmiar pliku wymaga procesora 1 GHz i jest przybliżony60 MB pamięci RAM.

W ogóle nie pisałem ani nie redagowałem powyższych akapitów. Są odzwierciedlane, gdy pojawiają się w mężczyzna w języku hiszpańskim od dnsmasq 2.72 z repozytorium Debian 8.6. Na ich podstawie oraz na podstawie praktyki korzystania z tego oprogramowania możemy wywnioskować, że rzadko - a nie niemożliwe - można znaleźć w naszych sieciach MŚP scenariusz przekraczający 1000 klientów lub komputery podłączone do sieci LAN.

• Dnsmasq może obsługiwać DNS i DHCP co najmniej tysiąc (1,000) klientela.

Uwagi dotyczące marginesu

Zawsze uderzało mnie, że nagradzane oprogramowanie ClearOS Enterprise 5.2 z dodatkiem SP1 użyje Dnsmasq -powiązanego z jego NTP- domyślnie jako serwer infrastruktury i aby nadal go używać jako takiego - przynajmniej do wersji 7.xxx- in komunikaty płacisz za instalację Active Directory® opartego na Sambie 4. Szkoda dla nas, miłośników wolnego oprogramowania, że ​​firma WyczyśćPodstawaprzestanie dostarczać tak wysokiej jakości oprogramowanie w wersjach po 5.xxx z oczywistego powodu lepszych zysków finansowych. Myślę, że jest to szkodliwe dla samej firmy.

Mimo że jestem wentylator Debian -i wcale nie chcę robić propagandy z mojego bardzo osobistego wyboru- Zawsze podziwiałem Firmę Red Hat®, Inc. którego model biznesowy umieścił ją na pozycji niekwestionowanego lidera wolnego oprogramowania. Ponadto jest sponsorem binarnego klonu CentOS - w 100% darmowego oprogramowania - swojego gwiazdowego systemu operacyjnego Red Hat® Enterprise Linux - RHEL. Coś mówi się, że CentOS jest nieobsługiwanym RHEL 😉

• Mam uruchomiony Podstawowy kontroler domeny Samba Clasic NT 4.0 na podstawie ClearOS Enterprise 5.2 z dodatkiem SP1 od ponad 4 lat w sieci firmy z klientami Windows XP, 7, 8, Windows Server 2003 i Windows Server 2012. Co jest takiego, aby łaskotać kilka wartości rejestru dla każdego klienta Windows w wersji wyższej niż XP? Co działa najlepiej? Że liczba drużyn nie dochodzi do 100?

Zdrowy rozsądek

• Chociaż dla mnie «Zdrowy rozsądek jest najmniej pospolitym ze zmysłów», postaw się przede wszystkim w Twoich potrzebach, a następnie wybierz scenę artystyczną zgodnie z tym, co musisz wyrazić i rozwiązać według własnego scenariusza.
• Nie używaj pocisku transkontynentalnego do zabicia komara. Nie komplikuj życia niepotrzebnie: zacznij od najprostszego rozwiązania. Jeśli tego nie rozwiążesz, zwiększ złożoność o jeden punkt i tak dalej.
  

Zainstalujmy CentOS 7 i Dnsmasq

W przypadku instalacji systemu podstawowego kierujemy się artykułem Hypervisor CentOS 7 IOS aw wyborze pakietów zaznaczamy tylko opcję «Serwer infrastruktury«. Ogólne parametry, których użyjemy podczas przygotowywania tego artykułu, są następujące:

Nazwa FQDN maszyny wirtualnej: dns.desdelinux.wentylator
Adres IP: 10.10.10.5

CentOS 7 instaluje domyślny plik dnsmasq

Tak Drodzy Czytelnicy, w CentOS 7 pakiet dnsmasq jest instalowany podczas instalacji serwera infrastruktury i Przypuszczam niż w innych opcjach.

[root @ dns ~] # yum info dnsmasq
Wczytane wtyczki: najszybszy mirror, paczki językowe Ładowanie szybkości lustra z buforowanego pliku hosta Zainstalowane pakiety Nazwa: dnsmasq Architektura: x86_64 Wersja: 2.66 Wydanie: 21.el7 Rozmiar: 464 k
Repozytorium: zainstalowane
Z repozytorium: centos-base Podsumowanie: Lekki adres URL serwera DNS DHCP / buforowania: http://www.thekelleys.org.uk/dnsmasq/ Licencja: GPLv2 Opis: Dnsmasq jest lekkim, łatwym do skonfigurowania usługą przesyłania dalej DNS i serwerem DHCP:. Jest przeznaczony do dostarczania DNS i opcjonalnie DHCP do: małej sieci. Może służyć nazwom komputerów lokalnych, które: nie znajdują się w globalnym DNS. Serwer DHCP integruje się z serwerem DNS: i umożliwia wyświetlanie maszyn z adresami przydzielonymi przez DHCP: w DNS z nazwami skonfigurowanymi na każdym hoście lub w: centralnym pliku konfiguracyjnym. Dnsmasq obsługuje statyczne i dynamiczne: dzierżawy DHCP i BOOTP do uruchamiania z sieci maszyn bezdyskowych.

Wersja dnsmasq zainstalowana jest 2.66 i odpowiada wersji CentOS:

[root @ dns ~] # cat / proc / version
Linux w wersji 3.10.0-514.6.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc wersja 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC)) # 1 SMP Wed 18 stycznia 13:06:36 UTC 2017

Włączmy i skonfigurujmy dnsmasq

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.10.10.5 dn.desdelinux.fan dns

[root @ dns ~] # nazwa hosta
dns
[root @ dns ~] # nazwa hosta -f
dns.desdelinux.wentylator


[root @ dns ~] # systemctl włącz dnsmasq
[root @ dns ~] # systemctl start dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - serwer buforujący DNS. Załadowano: załadowano (/usr/lib/systemd/system/dnsmasq.service; włączone; ustawienie dostawcy: wyłączone) Aktywne: aktywne (działa) od sob. 2017 02:18:11 EST; 47 s temu Główny PID: 19 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─4 / usr / sbin / dnsmasq -k 1179 lutego 1179:18:11 dns systemd [47]: Uruchomiono serwer buforowania DNS. Luty 19 1:18:11 dns systemd [47]: Uruchamianie serwera buforującego DNS .... 19 lutego 1:18:11 dns dnsmasq [47]: rozpoczęto, wersja 19 cachesize 1179 2.66 lutego 150:18:11 dns dnsmasq [47 ]: opcje czasu kompilacji: IPv19 GNU-getopt DB ... 1179 lutego 6:18:11 dns dnsmasq [47]: czytanie /etc/resolv.conf 19 lutego 1179:18:11 dns dnsmasq [47]: ignorowanie serwera nazw 19 - local in ... ce 1179 lutego 127.0.0.1:18:11 dns dnsmasq [47]: przeczytaj / etc / hosts - 19 adresy Wskazówka: Niektóre linie zostały zaznaczone elipsami, użyj -l, aby wyświetlić w całości.

Nie zapomnij o następnym kroku:

[root @ dns ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Stałe adresy IP

W przypadku Dnsmasq adresy serwerów lub komputerów, które wymagają stałego adresu IP - zarówno IPv4, jak i IPv6 - są deklarowane w pliku / Etc / hosts:

[root @ dns ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 # Serwery 10.10.10.1 sysadmin.desdelinux.fan sysadmin 10.10.10.3 ad-dc.desdelinuxSerwer plików .fan ad-dc 10.10.10.4.desdelinuxSerwer plików .fan 10.10.10.5 dns.desdelinux.fan dns 10.10.10.6 proxyweb.desdelinuxBlog .fan proxyweb 10.10.10.7.desdelinux.fan blog 10.10.10.8 serwer ftp.desdelinux.fan ftpserver 10.10.10.9 poczta.desdelinuxpoczta .fanów

Utwórzmy plik /etc/dnsmasq.conf

[root @ dns ~] # nano /etc/dnsmasq.conf
# ------------------------------------------------- ------------------ #OPCJE OGÓLNE # ----------------------------- -------------------------------------- wymagana domena # Nie podawaj nazw bez domeny part bogus-priv # Nie przekazuj adresów w nieroutowanej przestrzeni rozwiń-hosty # Automatycznie dodaj domenę do hosta interfejs=eth0 # Interfejs. ZACHOWAJ OSTROŻNOŚĆ podczas korzystania z interfejsu # wyjątkiem-interfejs=eth1 # NIE nasłuchuj tej karty sieciowej w ścisłej kolejności # Kolejność przeglądania pliku /etc/resolv.conf # Dołącz o wiele więcej opcji konfiguracyjnych # poprzez plik lub lokalizując # dodatkowe pliki konfiguracyjne w katalogu # conf-file=/etc/dnsmasq.more.conf conf-dir=/etc/dnsmasq.d # Odnoszące się do nazwy domeny domain=desdelinux.fan # Nazwa domeny # Serwer czasu to 10.10.10.1 adres=/time.windows.com/10.10.10.1 # Wysyła pustą opcję wartości WPAD. Wymagane, aby # klienci z systemem Windows 7 i nowszymi zachowywali się prawidłowo. ;-) dhcp-option=252,"\n" # Plik, w którym zadeklarujemy HOSTY, które zostaną "zbanowane" addn-hosts=/etc/banner_add_hosts # -------------- --- -------------------------------------------------------------- --- # NAZWA NAZWYMXTXT # ------------------------------------------------------ --- ------ # Ten typ rejestracji wymaga wpisu # w pliku /etc/hosts # np.: 10.10.0.7 blog.desdelinux.fan blog # cname=ALIAS,REAL_NAME cname=www.desdelinux.fan, blog.desdelinux.fan # MX RECORDS # Zwraca rekord MX o nazwie „desdelinux.fan” przeznaczony # do zespołu pocztowego.desdelinux.fan i priorytet 10 mx-host=desdelinux.fan, poczta.desdelinux.fan,10 # Domyślnym miejscem docelowym dla rekordów MX utworzonych # przy użyciu opcji localmx będzie: mx-target=mail.desdelinux.fan # Zwraca rekord MX wskazujący na cel mx dla WSZYSTKICH # rekordów lokalnych localmx # TXT. Możemy także zadeklarować rekord SPF txt-record=desdelinux.fan,"v=spf1 a -all" txt-record=desdelinux.wentylator,"DesdeLinux, Twój blog poświęcony wolnemu oprogramowaniu” # ---------------------------------------- ----------- # ---------------------------------- --- ----------------------------------------- # ZAKRESDYOUROPCJE # --- --- ----------------------------------------------- --- ----------- # Zakres IPv4 i czas dzierżawy # 1 do 29 dotyczą serwerów i innych potrzeb dhcp-range=10.10.10.30,10.10.10.250,8h

dhcp-lease-max = 222 # Maksymalna liczba adresów do wynajęcia
                        # domyślnie to 150
# Zakres IPV6 # dhcp-range=1234::, ra-only # Opcje dla ZAKRESU # OPCJE dhcp-option=1,255.255.255.0 # MASKA SIECI dhcp-option=3,10.10.10.253 # ROUTER BRAMA dhcp-option=6,10.10.10.5 . 15 # Serwery DNS dhcp-opcja=XNUMX,desdelinux.fan # Nazwa domeny DNS dhcp-option=19,1 # opcja ip-forwarding ON dhcp-option=28,10.10.10.255 # BROADCAST dhcp-option=42,10.10.10.1 # NTP # dhcp-option=40,DCH # Nazwa domeny NIS # dhcp-option=41,10.10.10.5 # Serwer NIS # ZEWNĘTRZNY SERWER WINS SAMBA4 # # dhcp-option=44,10.10.10.5 # WINS # dhcp-option=45,10.10.10.5 # Datagramy NetBIOS # SERWER WINS SAMBA4 ZEWNĘTRZNY # # dhcp-option=46,8 # Węzeł NetBIOS # dhcp-option=73,10.10.10.3 # Serwer Finger dhcp-authoritative # Autorytatywny DHCP w podsieci # ------------- - -------------------------------------------------- - --- # ---------------------------------------- - --------------------- # LOGOWANIE /var/log/messages # ------------------- - --------------------------------------------------------- dziennik zapytań

# KONIEC pliku /etc/dnsmasq.conf
# ------------------------------------------------- ------------------

Sprawdźmy składnię i zrestartuj usługę

[root @ dns ~] # dnsmasq --test
dnsmasq: sprawdzanie składni OK.
[root @ dns ~] # systemctl zrestartuj dnsmasq
[root @ dns ~] # systemctl status dnsmasq
● dnsmasq.service - serwer buforujący DNS. Załadowano: załadowano (/usr/lib/systemd/system/dnsmasq.service; włączone; ustawienie dostawcy: wyłączone) Aktywne: aktywne (działa) od sob. 2017 02:18:12 EST; 48 s temu Główny PID: 05 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─5 / usr / sbin / dnsmasq -k 1288 lutego 1288:18:12 dns systemd [48]: Uruchomiono serwer buforowania DNS. Luty 05 1:18:12 dns systemd [48]: Uruchamianie serwera buforującego DNS .... 05 lutego 1:18:12 dns dnsmasq [48]: rozpoczęto, wersja 05 cachesize 1288 2.66 lutego 150:18:12 dns dnsmasq [48 ]: opcje czasu kompilacji: IPv05 GNU-getopt DB ... 1288 lutego 6:18:12 dns dnsmasq-dhcp [48]: DHCP, zakres adresów IP 05 - 1288 .... h 10.10.10.30 lutego 10.10:18: 12 dns dnsmasq [48]: czytanie /etc/resolv.conf 05 lutego 1288:18:12 dns dnsmasq [48]: ignorowanie serwera nazw 05 - lokalny w ... ce 1288 lutego 127.0.0.1:18:12 dns dnsmasq [48 ]: przeczytaj / etc / hosts - 05 adresów
18 lutego 12:48:05 dns dnsmasq [1288]: nie udało się załadować nazw z /etc/banner_ad...ry
Podpowiedź: niektóre linie były elipsy, użyj -l, aby pokazać w całości.

Zauważ, że w poprzednim wyjściu status systemctl dnsmasq zwraca błąd:

18 lutego 12:48:05 dns dnsmasq [1288]: nie udało się załadować nazw z /etc/banner_ad...ry

narzekasz, że nie możesz znaleźć pliku / etc / banner_add_hosts.

[root @ dns ~] # touch / etc / banner_add_hosts
[root @ dns ~] # systemctl zrestartuj dnsmasq.service 
[root @ dns ~] # systemctl zrestartuj dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service 
● dnsmasq.service - serwer buforujący DNS. Załadowano: załadowano (/usr/lib/systemd/system/dnsmasq.service; włączone; ustawienie dostawcy: wyłączone) Aktywne: aktywne (działa) od sob. 2017 02:18:12 EST; 54 s temu Główny PID: 26 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─7 / usr / sbin / dnsmasq -k 1394 lutego 1394:18:12 dns systemd [54]: Uruchomiono serwer buforowania DNS. Luty 26 1:18:12 dns systemd [54]: Uruchamianie serwera buforującego DNS .... 26 lutego 1:18:12 dns dnsmasq [54]: rozpoczęto, wersja 26 cachesize 1394 2.66 lutego 150:18:12 dns dnsmasq [54] ]: opcje czasu kompilacji: IPv26 GNU-getopt DB ... 1394 lutego 6:18:12 dns dnsmasq-dhcp [54]: DHCP, zakres IP 26 - 1394 .... h 10.10.10.30 lutego 10.10:18 : 12 dns dnsmasq [54]: reading /etc/resolv.conf 26 lutego 1394:18:12 dns dnsmasq [54]: ignorowanie serwera nazw 26 - lokalny w ... ce 1394 lutego 127.0.0.1:18:12 dns dnsmasq [ 54]: odczyt / etc / hosts - 26 adresów 1394 lutego 11:18:12 dns dnsmasq [54]: odczyt / etc / banner_add_hosts - 26 adresów Wskazówka: Niektóre linie zostały zaznaczone elipsami, użyj -l, aby wyświetlić w całości.

Mamy już uruchomione usługi DNS i DHCP.

Ważny

• Jeśli zmodyfikujemy plik /etc/dnsmasq.conf, musimy ponownie uruchomić usługę, aby zmiany odniosły skutek.
• Jeśli zmodyfikujemy plik / etc / hosts, aby wyeliminować, zmodyfikować lub dodać stały adres IP z odpowiadającą mu nazwą hosta, musimy ponownie uruchomić usługę, aby zmiany odniosły skutek..
• systemctl reload dnsmasq.service nie może być używany z tą usługą.

Otwieramy niezbędne porty w Firewallu

W artykule mojego przyjaciela i kolegi Luigysa Toro -aka jaszczurka- "Jak otworzyć porty w Centos 7 Firewall»Procedura, którą musimy postępować, aby otworzyć porty w Firewallu, które domyślnie instaluje CentOS, jest bardzo dobrze wyjaśniona. Nadal nie wiem, jak zastosować reguły kontekstu Selinux do usługi dnsmasq w CentOS. Jeśli ktoś go zna, proszę nas oświecić.

Pliki / etc / protocols y / etc / services Są one bardzo dobrym przewodnikiem, aby dowiedzieć się, które porty musimy otworzyć, aby usługi DNS i DHCP świadczone przez Dnsmasq działały dobrze.

[root @ dns ~] # firewall-cmd --get-active-zones
interfejsy publiczne: eth0

usługi domena o Serwer nazw domen (dns). Protokół trzepnąć «IP z szyfrowaniem»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
sukces

[root @ dns ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
sukces

usługi bootuje o Serwer BOOTP (dhcp). Protokół ippc «Internetowy rdzeń pakietu Pluribus»

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
sukces

[root @ dns ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
sukces

[root @ dns ~] # firewall-cmd --reload
sukces

[root @ dns ~] # firewall-cmd --list-all
public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ssh porty: 53 / udp 67 / tcp 53 / tcp 67 / udp protocols: masquerade: no forward-ports: sourceports: bloki icmp: bogate reguły:

Ważny

• Jeśli zamierzamy świadczyć usługi dzierżawy adresów IPv6, musimy również otworzyć porty dhcpv6-server 547 / tcp i dhcpv6-server 547 / udp.

Czeki

Sprawdźmy przez kilka zapytań DNS, jak działa nasz nowy, nowo zainstalowany Dnsmasq. W tym celu dobieramy dobrze znany zespół administrator systemu.desdelinux.wentylatoriz tego komputera, który jest podłączony do sieci LAN, wykonamy kilka zapytań, ale nie wcześniej niż sprawdzimy, czy plik jest poprawnie skonfigurowany / Etc / resolv.conf:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Wygenerowane przez wyszukiwanie NetworkManager desdelinuxSerwer nazw .fan 10.10.10.5

Ustawienia pliku / Etc / resolv.conf to jest poprawne. Zacznijmy konsultacje

buzz @ sysadmin: ~ $ host dns
dns.desdelinux.fan ma adres 10.10.10.5 Host dns.desdelinuxNie znaleziono .fan: 5 (ODMOWA) dns.desdelinuxPoczta .fan jest obsługiwana przez 1 pocztę.desdelinux.wentylator.

Dzięki proponowanej konfiguracji możemy odrzucić dane wyjściowe polecenia gospodarz bez opcji, jeśli chodzi o Dnsmasq, podczas zwracania wierszy takich jak następujące:

DNS hostadesdelinux.fan nie został znaleziony: 5 (ODMOWA)

Jeśli nie chcemy tego typu danych wyjściowych, musimy użyć polecenia gospodarz z opcjami -t A, -t CNAME, -t NS, -t SOA, -t SIG, -t AXFR. Widzieć człowiek gospodarz po więcej informacji:

buzz@sysadmin:~$ host -t Do dns.desdelinux.wentylator
dns.desdelinux.fan ma adres 10.10.10.5

[root @ dns ~] # host -t Do dns
dns.desdelinux.fan ma adres 10.10.10.5

buzz @ sysadmin: ~ $ dig dns

buzz @ sysadmin: ~ $ host 10.10.10.5
5.10.10.10.in-addr.arpa wskaźnik nazwy domeny dns.desdelinux.wentylator.

Dnsmasq nie jest przeznaczony dla schematu Master - Slave

buzz@sysadmin:~$ host -t AXFR desdelinux.wentylator
"Próbować"desdelinux.fan” Gospodarz desdelinuxNie znaleziono .fan: 5(ODMOWA) ; Transfer nie powiódł się.

Nie jest również przeznaczony do zwracania rekordów NS i SOA

buzz@sysadmin:~$ host -t NS desdelinux.wentylator
Gospodarz desdelinux.fan nie został znaleziony: 5 (ODMOWA)

buzz@sysadmin:~$ host -t SOA desdelinux.wentylator
Gospodarz desdelinux.fan nie został znaleziony: 5 (ODMOWA)

buzz@sysadmin:~$ kop w SOA desdelinux.wentylator
buzz@sysadmin:~$ dig IN NS desdelinux.wentylator

Jeśli obsługuje rekordy MX, CNAME i TXT

buzz @ sysadmin: ~ $ host -t Do www
www.desdelinux.fan to alias bloga.desdelinux.wentylator. Bloga.desdelinux.fan ma adres 10.10.10.7
buzz@sysadmin:~$ host -t MX desdelinux.wentylator
desdelinuxPoczta .fan jest obsługiwana przez 10 pocztę.desdelinux.wentylator.

buzz @ sysadmin: ~ $ host -t CNAME www
www.desdelinux.fan to alias bloga.desdelinux.wentylator.

buzz@sysadmin:~$ host -t Do bloga.desdelinux.wentylator
blog.desdelinux.fan ma adres 10.10.10.7

buzz@sysadmin:~$ host -t TXT desdelinux.wentylator
desdelinuxtekst opisu .fan "DesdeLinux, twój blog poświęcony wolnemu oprogramowaniu”
desdelinux.fan tekst opisowy "v=spf1 a -all"

PTR rejestruje zapytania

buzz @ sysadmin: ~ $ host -t PTR 10.10.10.7
7.10.10.10.in-addr.arpa Blog dotyczący nazw domen.desdelinux.wentylator.

buzz @ sysadmin: ~ $ host 10.10.10.7
7.10.10.10.in-addr.arpa Blog dotyczący nazw domen.desdelinux.wentylator.

Klienci Microsoft® Windows

Bardzo zdrowe jest uruchomienie na konsoli serwera dns.desdelinux.wentylator polecenie Journalctl -f PRZED włączeniem komputera z systemem operacyjnym Microsoft® Windows, aby zobaczyć ogromną liczbę zapytań DNS wysyłanych do różnych witryn. To naprawdę bardzo zabawne. 😉

Jeśli chcemy zapobiec przesyłaniu zapytań związanych z niektórymi z tych witryn do serwerów Roots - Serwery główne lub w kierunku Spedytorzy że deklarujemy w pliku / Etc / resolv.conf, możemy zrobić dobry użytek z pliku / etc / banner_add_host, wypełniając go tyloma witrynami, które musimy zadeklarować. Przykład:

[root @ dns ~] # nano / etc / banner_add_hosts
127.0.0.1 windowsupdate.com 127.0.0.1 ctldl.windowsupdate.com 127.0.0.1 ocsp.verisign.com 127.0.0.1 csc3-2010-crl.verisign.com 127.0.0.1 www.msftncsi.com 127.0.0.1 ipv6.msftncsi.com 127.0.0.1 teredo.ipv6.microsoft.com 127.0.0.1 ds.download.windowsupdate.com 127.0.0.1 download.microsoft.com 127.0.0.1 fe2.update.microsoft.com 127.0.0.1 crl.microsoft.com 127.0.0.1 www .download.windowsupdate.com 127.0.0.1 win8.ipv6.microsoft.com 127.0.0.1 spynet.microsoft.com 127.0.0.1 spynet1.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynet3.microsoft.com 127.0.0.1. 4 spynet127.0.0.1.microsoft.com 5 spynet127.0.0.1.microsoft.com 15 office127.0.0.1client.microsoft.com 127.0.0.1 addons.mozilla.org XNUMX crl.verisign.com

[root @ dns ~] # dnsmasq --test
dnsmasq: sprawdzanie składni OK.

[root @ dns ~] # systemctl zrestartuj dnsmasq.service 
[root @ dns ~] # systemctl status dnsmasq.service

[root @ dns ~] # host -t Do spynet4.microsoft.com
spynet4.microsoft.com ma adres 127.0.0.1

[root @ dns ~] # host -t Do www.download.windowsupdate.com
www.download.windowsupdate.com ma adres 127.0.0.1

• Format pliku / etc / banner_add_hosts jest taki sam, jak pliku / etc / hosts. Pamiętaj, że lista domen do „zablokowania” może być tak długa, jak potrzebujemy, zgodnie z tym, co jest opisane w sekcji LIMITY tego artykułu.

Aby sprawdzić od klienta siedem.desdelinux.wentylator który podał adres IP:

buzz @ sysadmin: ~ $ host -t Siedem
siedem.desdelinux.fan ma adres 10.10.10.115

wykonujemy polecenie w samym kliencie Windows cmd:

Microsoft Windows [Wersja 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C: \ Users \ buzz> nslookup
Domyślny serwer: dns.desdelinux.fan Adres: 10.10.10.5 > Serwer dns: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: dns.desdelinux.fan Adres: 10.10.10.5 > Serwer ftpserver: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: serwer ftp.desdelinux.fan Adres: 10.10.10.8 > www Serwer: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: blog.desdelinux.fan Adres: 10.10.10.7 Aliasy: www.desdelinux.fan > Serwer pocztowy: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: poczta.desdelinux.fan Adres: 10.10.10.9 > sysadmin Serwer: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: sysadmin.desdelinux.fan Adres: 10.10.10.1 > www.download.windowsupdate.com Serwer: dns.desdelinux.fan Adres: 10.10.10.5 Nazwa: www.download.windowsupdate.com Adres: 127.0.0.1 > wyjdź C:\Users\buzz>

streszczenie

Do tej pory widzieliśmy kilka głównych cech Dnsmasq. sugeruję Przeczytaj i przestudiuj pliki wymienione w pierwszym akapicie tego artykułu, jeśli chcesz dowiedzieć się więcej o tym wspaniałym i zaskakującym programie. Dzięki jego zastosowaniu możemy znacznie ułatwić sobie życie.

Około 2014 roku przeczytałem artykuł «Instrukcje: Samba4 AD PDC + Windows XP, Vista i 7«. Twórca artykułu oświadcza bez rumieńców: «Nienawidzę wiązania, więc na ratunek przychodzi dnsmasq»(Sic) co mniej więcej oznacza«Nienawidzę BIND, więc Dnsmasq przychodzi na ratunek«. Dla porządku, to zdanie nie zostało wypowiedziane przeze mnie.

Na marginesie, komentuję, że w tym artykule Autor nie wyjaśnia pochodzenia niektórych rekordów DNS i ogólnie rzecz biorąc, nie jest dobrym przewodnikiem do wdrażania Active Directory® opartego na Sambie 4. Jeśli fanatycznie preferujesz Dnsmasq.

W ogóle nie nienawidzę BIND. Dowodzą tego moje cztery -4- poprzednie artykuły:

• DNS i DHCP w openSUSE 13.2 „Harlequin”
• DNS i DHCP w CentOS 7
• DNS i DHCP w Debianie 8 „Jessie”
• BIND i Active Directory®

Jak już pisałem przy poprzednich okazjach, prawie nigdy polecam, ale sugeruję. W przypadku Dnsmasq tak polecam jego zastosowanie w sieciach MŚP.

Następna dostawa

Kolejna rata -myślę, że myślę- Poświęcę to integracji Dnsmasq z Microsoft® Active Directory®. To będzie dobry punkt wyjścia do artykułu -bardzo- później zajmiemy się tym, jak stworzyć AD-DC z Sambą 4 i Dnsmasq.