Primary Master DNS dla sieci LAN w systemie Debian 6.0 (III)

Ogromnym wysiłkiem jest zredukowanie w 5 małych artykułach poprzedniej wiedzy, instalacji, konfiguracji i tworzenia stref i kontroli BIND, tak aby było to zrozumiałe dla największej liczby czytelników, co jest naszym podstawowym celem .

Ci, którzy mieli cierpliwość, aby uważnie przeczytać 1 y 2da Część tego artykułu jest przygotowana do kontynuacji konfiguracji i instalacji serwera nazw domen dla sieci LAN.

Nowicjuszom i tym, którzy nie mają jasności co do bardzo streszczonych pojęć podanych w poprzednich częściach, zalecamy przeczytanie i przestudiowanie ich przed kontynuowaniem. Zwykli podejrzani o rozpacz! jeśli nie przeczytałeś uważnie.

Zobaczymy poniżej:

  • Główne dane sieci LAN
  • Minimalne konfiguracje hostów
  • Modyfikacje w pliku /etc/resolv.conf
  • Modyfikacje w pliku /etc/bind/named.conf
  • Modyfikacje w pliku /etc/bind/named.conf.option
  • Modyfikacje pliku /etc/bind/named.conf.local

 Główne dane sieci LAN

Nazwa domeny LAN: amigos.cu Podsieć LAN: 192.168.10.0/255.255.255.0 Adres IP serwera BIND: 192.168.10.10 Nazwa NetBIOS serwera: ns

Chociaż jest to oczywiste, pamiętaj, aby zmienić poprzednie dane na własne.

Minimalne konfiguracje hostów

Bardzo ważne jest prawidłowe skonfigurowanie plików / etc / network / interfaces y/ Etc / hosts aby uzyskać dobrą wydajność DNS. Jeśli wszystkie dane zostały zadeklarowane podczas instalacji, żadne modyfikacje nie będą konieczne. Zawartość każdego z nich musi być następująca:

# zawartość pliku / etc / network / interfaces # Ten plik opisuje interfejsy sieciowe dostępne w # twoim systemie i jak je aktywować. Aby uzyskać więcej informacji, zobacz interfaces (5). # Interfejs sieciowy pętli zwrotnej auto lo iface lo inet loopback # Główny interfejs sieciowy allow-hotplug eth0 iface eth0 inet adres statyczny 192.168.10.10 netmask 255.255.255.0 sieć 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * opcje są zaimplementowane przez pakiet resolvconf, jeśli jest zainstalowany dns-nameservers 192.168.10.10 dns-search amigos.cu # zawartość / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Poniższe linie są pożądane dla hostów obsługujących IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Modyfikacje w pliku /etc/resolv.conf

Aby nasze zapytania i sprawdzenia działały poprawnie, konieczne jest zadeklarowanie w lokalnej konfiguracji hosta, który będzie naszą domeną wyszukiwania, a który będzie naszym lokalnym DNS. Bez powyższych parametrów jako minimum każde zapytanie DNS zakończy się niepowodzeniem. I to jest błąd, który popełnia wielu początkujących. Więc edytujmy plik / Etc / resolv.conf i zostawiamy to z następującą treścią:

# zawartość /etc/resolv.conf search friends.cu nameserver 192.168.10.10

Na komputerze, na którym mamy zainstalowany serwer DNS możemy napisać:

szukaj serwera nazw amigos.cu 127.0.0.1

W powyższej treści oświadczenie 127.0.0.1 nameserver, oznacza, że ​​zapytania będą kierowane do localhost.

Po prawidłowym skonfigurowaniu naszego BIND możemy wykonać dowolne zapytanie DNS z naszego hosta, czy to z samego serwera wiązać9 lub inny podłączony do sieci, który należy do tej samej podsieci i ma tę samą maskę sieci. Aby dowiedzieć się więcej o pliku, uruchom man resolv.conf.

Modyfikacje w pliku /etc/bind/named.conf

Ograniczenie zapytań do naszego BIND, tak aby odpowiadały tylko na naszą podsieć i zapobiegały atakowi Fałszowanie, deklarujemy w pliku nazwa.conf Lista kontroli dostępu lub ACL (lista kontroli dostępu) i nazywamy to pogrzebany. Pliknazwa.conf Powinien wyglądać następująco:

// /etc/bind/named.conf // To jest podstawowy plik konfiguracyjny dla serwera DNS BIND o nazwie. // // Proszę przeczytać /usr/share/doc/bind9/README.Debian.gz, aby uzyskać informacje o // strukturze plików konfiguracyjnych BIND w Debianie, * PRZED * dostosowaniem // tego pliku konfiguracyjnego. // // Jeśli dodajesz tylko strefy, zrób to w /etc/bind/named.conf.local // // Komentarze w języku hiszpańskim należą do nas // Oryginały zostawiamy w języku angielskim // UWAGA na kopiowanie i wklejanie // NIE ZOSTAWIAJ PUSTYCH PRZESTRZENI NA KOŃCU KAŻDEJ LINII // // Lista kontroli dostępu: // Pozwoli na zapytania z domeny lokalnej iz naszej podsieci // W dołączonym pliku named.conf.options będziemy się odnosić to. acl mired {127.0.0.0/8; 192.168.10.0/24; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; // koniec pliku /etc/bind/named.conf

Sprawdźmy dotychczasową konfigurację BIND i zrestartujmy usługę:

named-checkconf -z usługa bind9 restart

Modyfikacje pliku /etc/bind/named.conf.options

W pierwszej sekcji „Opcje„Zadeklarujemy tylko Spedytorzyi kto będzie tymi, którzy będą mogli skonsultować się z naszym BIND. Następnie deklarujemy klucz lub klucz za pomocą którego możemy kontrolować wiązać9i wreszcie z jakiego hosta możemy nim sterować. Aby wiedzieć, który klucz lub klucz, musimy zrobić cat /etc/bind/rndc.key. Kopiujemy dane wyjściowe i wklejamy je do pliku named.conf.options. Ostatecznie nasz plik powinien wyglądać następująco:

// /etc/bind/named.conf.options options {// UWAGA NA KOPIOWANIE I WKLEJANIE, PROSZĘ ... // Domyślny katalog do zlokalizowania naszego katalogu plików stref "/ var / cache / bind"; // Jeśli między tobą a serwerami nazw istnieje zapora ogniowa, z którą chcesz // rozmawiać, może być konieczne naprawienie zapory, aby umożliwić komunikację wielu // portom. Zobacz http://www.kb.cert.org/vuls/id/800113 // Jeśli twój dostawca usług internetowych dostarczył jeden lub więcej adresów IP dla stabilnych // serwerów nazw, prawdopodobnie chcesz ich użyć jako usług przesyłania dalej. // Usuń komentarz z następującego bloku i wstaw adresy, zastępując // symbol zastępczy all-0. // usługi przesyłania dalej {// 0.0.0.0; // 0.0.0.0; //} // Usługi przesyłania dalej. Nie mam lepszego tłumaczenia // Adresy pochodzą z serwerów ceniai.net.cu // Jeśli NIE ma dostępu do internetu to NIE jest konieczne // ich deklarowanie, chyba że masz bardziej rozbudowaną sieć LAN // z serwerami DNS, które działają jako usługi przesyłania dalej poza zakresem adresów IP Twojej podsieci. W takim przypadku // musisz zadeklarować adresy IP tych serwerów. // Zapytania przekazujące są kaskadowe. spedytorzy {169.158.128.136; 169.158.128.88; }; // W dobrze skonfigurowanej sieci LAN WSZYSTKIE zapytania DNS należy // kierować do lokalnego serwera DNS w tej sieci, // NIE do serwerów spoza sieci LAN. // Zwłaszcza, gdy masz dostęp do Internetu, // czy to krajowy, czy międzynarodowy. W tym // deklarujemy usługi przesyłania dalej auth-nxdomain no; # zgodne z RFC1035 nasłuchiwanie w wersji 6 {any; }; // Ochrona przed podszywaniem się allow-query {mired; }; }; // Zawartość pliku / etc / bind / rndc-key // uzyskany przez cat / etc / bind / rndc-key // Pamiętaj, aby go zmienić, jeśli ponownie wygenerujemy klucz "rndc-key" {algorytm hmac-md5; tajny "dlOFESXTp2wYLa86vQNU6w =="; }; // Z którego hosta będziemy sterować i przez który klucz kontroluje {inet 127.0.0.1 allow {localhost; } klucze {rndc-key; }; }; // koniec pliku /etc/bind/named.conf.options

Sprawdźmy dotychczasową konfigurację BIND i zrestartujmy usługę:

named-checkconf -z usługa bind9 restart

Postanowiliśmy włączyć jako // Komentarze podstawowe aspekty, które mogą służyć jako punkt odniesienia dla przyszłych konsultacji.

Fakt zadeklarowania Forwarderów zamienia nasz lokalny serwer BIND w serwer Caché, zachowując jego funkcjonalność jako Primary Master. Kiedy pytamy o hosta lub domenę zewnętrzną, odpowiedź - jeśli jest pozytywna - zostanie zapisana w jego pamięci podręcznej, więc gdy poprosimy go ponownie o tego samego hosta lub tę samą domenę zewnętrzną, otrzymamy szybką odpowiedź, nie konsultacje z zewnętrznymi serwerami DNS.

Modyfikacje pliku /etc/bind/named.conf.local

W tym pliku deklarujemy strefy lokalne naszej domeny. Musimy uwzględnić przynajmniej strefę przednią i wsteczną. Pamiętaj o tym w pliku konfiguracyjnym/etc/bind/named.conf.options Deklarujemy, w którym katalogu będziemy hostować pliki stref przy użyciu dyrektywy directory. Ostatecznie plik powinien wyglądać następująco:

// /etc/bind/named.conf.local // // Wykonaj tutaj dowolną konfigurację lokalną // // Rozważ dodanie tutaj stref 1918, jeśli nie są one używane w Twojej // organizacji // dołącz „/ etc / bind /zones.rfc1918 "; // Nazwy plików w każdej strefie odpowiadają // gustowi konsumenta. Wybraliśmy amigos.cu.hosts // i 192.168.10.rev, ponieważ dają nam one przejrzystość w // zawartości. Nie ma już więcej tajemnic // // Nazwy stref NIE SĄ ARBITRAŻOWE // i będą odpowiadały nazwie naszej domeny // i podsieci LAN // Główna strefa główna: wpisz „Strefa bezpośrednia” amigos.cu „{typ master; plik "amigos.cu.hosts"; }; // Główna strefa główna: wpisz "Odwrotna" strefa "10.168.192.in-addr.arpa" {type master; plik „192.168.10.rev”; }; // Koniec pliku named.conf.local

Aby sprawdzić dotychczasową konfigurację BIND:

nazwane-checkconf -z

Poprzednie polecenie zwróci błąd, dopóki pliki stref nie będą istnieć. Najważniejsze jest to, że ostrzega nas, że strefy zadeklarowane w named.conf.local nie zostaną załadowane, ponieważ pliki rekordów DNS po prostu nie istnieją, co na razie jest prawdą. Możemy iść dalej.

Uruchommy ponownie usługę, aby zmiany zostały uwzględnione:

usługa bind9 restart

Ponieważ nie chcemy, aby każdy post był zbyt długi, w następnej czwartej części zajmiemy się kwestią tworzenia plików stref lokalnych. Do tego czasu przyjaciele!


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

7 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   st0rmt4il powiedział

    Dzięki!

    Dziś w internecie trudno zobaczyć posty tej jakości!

    Pozdrowienia!

    1.    phico powiedział

      Bardzo dziękuję za komentarz… Miło jest czytać takie rzeczy… 😉

  2.   kreska0 powiedział

    Świetny artykuł!
    Dziękuję Elav, KZ, w każdym razie ... Z Linuksa do istnienia

    Łącznie można by zaimplementować wtyczkę umożliwiającą pobieranie artykułów w formacie PDF (styl HumanOS)
    pozdrowienia
    Dasht

    1.    Federico powiedział

      Dziękuję wszystkim za komentarze. Uczymy się ich WSZYSTKICH.
      Pobieranie artykułów w formacie PDF nie obejmuje komentarzy znajomych i współpracowników, które uzupełniają wpis i są bardzo przydatne. Udzielenie Przewodnika bez komentarzy jest praktycznie niemożliwe ze względu na rozległość tematu. UNIX / Linux jest niezwykle obszerny, aby uniknąć doświadczeń wszystkich.

      1.    kreska0 powiedział

        Świetne artykuły!
        Oczywiste jest, że komentarze uzupełniają informacje zawarte w artykułach, sugerują nawet rzeczy, które mogą pozostać lub które można dodać, ale podtrzymuję swój pogląd, że byłoby idealnie, gdyby artykuł został zapisany w formacie pdf, przynajmniej dla mnie
        Uścisk z Kuby i nie mogę się doczekać

  3.   elpapineo powiedział

    Bieganie:
    nazwane-checkconf -z
    Czuję się jak:
    /etc/bind/named.conf.options:30: nieznana opcja „controls”

    1.    elpapineo powiedział

      Odpowiadam sobie: musisz umieścić sekcję sterowania poza sekcją opcji.

      Chciałbym też coś wnieść: jeśli zamiast kopiować i wklejać w pliku named.conf.options

      key "rndc-key" {
      algorytm hmac-md5;
      tajny "dlOFESXTp2wYLa86vQNU6w ==";
      };

      Wykonujemy:

      include "/etc/bind/rndc.key";

      w pliku named.conf myślę, że to też działa.

      Pozdrowienia.