Ci, którzy śledzili 1, 2da, 3 y 4ta część tego artykułu i konsultacje przeprowadzone na ich BIND przyniosły zadowalające rezultaty, są już ekspertami w tej dziedzinie. :-) I bez zbędnych ceregieli przejdźmy do ostatniej części:
- Utworzenie pliku głównej strefy głównej typu „Inverse” 10.168.192.in-addr.arpa
- Rozwiązywanie problemów
- streszczenie
Utworzenie pliku głównej strefy głównej typu „Inverse” 10.168.192.in-addr.arpa
Nazwa obszaru sprowadza ich do ciebie, prawda? I to jest to, że strefy odwrócone są obowiązkowe, aby mieć poprawną rozdzielczość nazw zgodnie ze standardami internetowymi. Nie mamy innego wyjścia, jak tylko stworzyć taką, która odpowiada naszej domenie. W tym celu używamy jako szablonu pliku /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Edytujemy plik /var/cache/bind/192.168.10.rev i zostawiamy to tak:
; /var/cache/bind/192.168.10.rev; ; BIND plik danych odwrotnych dla strefy głównej 10.168.192.in-addr.arpa; Pliki danych BIND dla strefy głównej (wstecznej) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Serial 604800; Refresh 86400; Retry 2419200; Expire 604800); Ujemne TTL pamięci podręcznej; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 W PTR gandalf.amigos.cu. 9 W PTR mail.amigos.cu. 20 W PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; możemy również wpisać pełny adres IP. Dawny:; 192.168.10.1 NA PTR gandalf.amigos.cu.
- Zwróć uwagę, jak w tym przypadku zostawiliśmy czasy w sekundach, ponieważ jest on tworzony domyślnie, gdy plik wiązać9. Działa tak samo. Są takie same, jak te wskazane w pliku friends.cu.host. W razie wątpliwości sprawdź.
- Należy również pamiętać, że deklarujemy tylko rekordy odwrotne hostów, które mają przypisany lub „rzeczywisty” adres IP w naszej sieci LAN i który jednoznacznie je identyfikuje.
- Pamiętaj, aby zaktualizować plik Reverse Zone WSZYSTKIMI poprawnymi adresami IP zadeklarowanymi w strefie bezpośredniej.
- Pamiętaj, aby zwiększyć Numer seryjny strefy za każdym razem, gdy modyfikują plik i przed ponownym uruchomieniem programu BIND.
Sprawdźmy nowo utworzoną strefę:
nazwane-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Sprawdzamy konfigurację:
named-checkconf -z named-checkconf -p
Jeśli wszystko poszło dobrze, restartujemy usługę:
usługa bind9 restart
Od teraz za każdym razem, gdy modyfikujemy pliki stref, musimy tylko wykonać:
rndc przeładuj
W tym celu deklarujemy klucz w /etc/bind/named.conf.optionsnie?
Rozwiązywanie problemów
Bardzo ważna jest poprawna zawartość pliku / Etc / resolv.conf jak widzieliśmy w poprzednim rozdziale. Pamiętaj, aby wskazać w nim co najmniej następujące informacje:
szukaj serwera nazw amigos.cu 192.168.10.20
Dowództwo kopać pakietu dnsutil. Na konsoli wpisz polecenia poprzedzone znakiem #:
# dig -x 127.0.0.1 ..... ;; SEKCJA ODPOWIEDZI: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; SEKCJA ODPOWIEDZI: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu ma adres 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu ma adres 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; opcje globalne: + cmd ;; Przekroczono limit czasu połączenia; nie można było połączyć się z żadnymi serwerami # dig gandalf.amigos.cu .... ;; SEKCJA ODPOWIEDZI: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Jeśli mają dostęp do kubańskiego lub globalnego Internetu, a usługi przesyłania dalej są poprawnie zadeklarowane, spróbuj: # dig debian.org .... ;; SEKCJA PYTANIA :; debian.org. W ;; SEKCJA ODPOWIEDZI: debian.org. 3600 W 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu ma adres 190.6.81.130 # host yahoo.es yahoo.es ma adres 77.238.178.122 yahoo.es ma adres 87.248.120.148 yahoo.es poczta jest obsługiwana przez 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SEKCJA ODPOWIEDZI: 122.178.238.77.in-addr.arpa. 429 NA PTR w2.rc.vip.ird.yahoo.com.
… I ogólnie z innymi domenami poza naszą siecią LAN. Skonsultuj się i dowiedz się o ciekawych rzeczach w Internecie.
Jeden z najlepszych sposobów sprawdzenia wydajności serwera wiązać9i ogólnie każdej innej zainstalowanej usługi odczytuje dane wyjściowe Komunikaty dziennika systemowego za pomocą polecenia tail -f / var / log / syslog działać jako użytkownikkorzeń.
Bardzo interesujące jest zobaczenie wyniku tego polecenia, gdy zadamy naszemu lokalnemu BINDowi pytanie dotyczące zewnętrznej domeny lub hosta. W takim przypadku można przedstawić kilka scenariuszy:
- Jeśli nie mamy dostępu do Internetu, nasze zapytanie zakończy się niepowodzeniem.
- Jeśli mamy dostęp do Internetu i NIE zadeklarowaliśmy spedytorów, najprawdopodobniej nie otrzymamy odpowiedzi.
- Jeśli mamy dostęp do Internetu i zadeklarowaliśmy spedytorów, uzyskamy odpowiedź, ponieważ będą oni odpowiedzialni za konsultacje z serwerem DNS lub serwerami, które są potrzebne.
Jeśli pracujemy nad Sieć LAN zamknięta w których w żaden sposób nie można wyjechać za granicę i nie mamy żadnych Spedytorów, możemy wyeliminować wiadomości wyszukiwania Serwery główne „Opróżnianie” pliku /etc/bind/db.root. Aby to zrobić, najpierw zapisujemy plik pod inną nazwą, a następnie usuwamy całą jego zawartość. Następnie sprawdzamy konfigurację i restartujemy usługę:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart
streszczenie
Póki co, małe wprowadzenie do usługi DNS. To, co zrobiliśmy do tej pory, może nam doskonale służyć w naszej małej firmie. Również dla domu, jeśli tworzymy maszyny wirtualne z różnymi systemami operacyjnymi i różnymi adresami IP i nie chcemy odnosić się do nich po IP, ale po nazwie. Zawsze instaluję BIND na moim hoście domowym, aby zainstalować, skonfigurować i przetestować usługi, które w dużym stopniu zależą od usługi DNS. W szerokim zakresie korzystam z komputerów stacjonarnych i serwerów wirtualnych i nie lubię przechowywać pliku / Etc / hosts w każdej z maszyn. Za bardzo się mylę.
Jeśli nigdy nie zainstalowałeś i nie skonfigurowałeś BIND, nie zniechęcaj się, jeśli coś pójdzie nie tak przy pierwszej próbie i musisz zacząć wszystko od nowa. W takich przypadkach zawsze zalecamy rozpoczęcie od czystej instalacji. Warto spróbować!
Dla tych, którzy potrzebują wysokiej dostępności w usłudze rozpoznawania nazw, którą można osiągnąć poprzez skonfigurowanie serwera Secondary Master, zalecamy kontynuowanie z nami następnej przygody: Secondary Master DNS dla sieci LAN.
Gratulacje dla tych, którzy śledzili wszystkie artykuły i uzyskali oczekiwane rezultaty!
Nareszcie! .. ostatni post: D!
Dzięki za udostępnienie mojego przyjaciela!
Pozdrowienia!
Bardzo ciekawe, Wasze artykuły, mam autorytatywny DNS skonfigurowany w freeBSD dla domeny .edu.mx, jak na razie działał idealnie, ale w ostatnim miesiącu wykryłem kilka ataków na serwer, co by było metody obrony przed wystawionym serwerem DNS?
Pakiet squeeze bind9 ma problem z działaniem samby, wersja 9.8.4 jest już dostępna w gałęzi backports squeeze, wersja wheeze nie ma tego problemu, dla lenny venenux.net będzie backportować pakiet.
Bardzo dobry artykuł.
To jedyny artykuł, w którym wszystko dobrze wyjaśniono.
Należy zauważyć, że lista ACL do spofingu nie działa, ponieważ w ten sam sposób, w jaki zostanie wstrzyknięta z sieci wewnętrznej, rozwiązaniem byłoby odrzucenie przekierowań dla klientów i utworzenie złożonej listy ACL, która zapobiega ponownemu przypisywaniu nazw (coś podobny do statycznego dns)
WSKAZÓWKA SPECJALNA:
Dodatkowa konfiguracja byłaby dobra do tego, jak utworzyć zawartość filtru dns zamiast zapory
Dzięki za komentarz @PICCORO !!!.
Oświadczam na początku wszystkich moich artykułów, że nie uważam się za specjalistę. Znacznie mniej w kwestii DNS. Tutaj wszyscy się uczymy. Uwzględnię Twoje zalecenia podczas instalowania DNS skierowanego do Internetu, a nie dla normalnej i prostej sieci LAN.
DOSKONAŁY TUTORIAL !!! To była dla mnie wielka pomoc, ponieważ dopiero co zacząłem w tej turze serwera, wszystko działało OK. Dziękuję i publikujcie dalej takie wspaniałe tutoriale !!!
Fico, raz jeszcze gratuluję tego wspaniałego materiału.
Nie jestem ekspertem w BIND9, wybacz, jeśli się mylę co do komentarza, ale myślę, że nie zdefiniowałeś strefy wyszukiwania wstecznego w pliku named.conf.local
Szkoda, że Fico nie może ci teraz odpowiedzieć.
Pozdrawiam i dziękuję, Elav, a tu odpowiadam. Jak zawsze radzę czytać powoli ... 🙂
W poście: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Piszę co następuje:
Modyfikacje pliku /etc/bind/named.conf.local
W tym pliku deklarujemy strefy lokalne naszej domeny. Musimy uwzględnić przynajmniej strefę przednią i wsteczną. Pamiętaj, że w pliku konfiguracyjnym /etc/bind/named.conf.options deklarujemy, w którym katalogu będziemy hostować pliki Zones za pomocą dyrektywy directory. Ostatecznie plik powinien wyglądać następująco:
// /etc/bind/named.conf.local
//
// Wykonaj tutaj dowolną konfigurację lokalną
//
// Rozważ dodanie stref 1918 tutaj, jeśli nie są używane w twoim
// organizacja
// dołącz „/etc/bind/zones.rfc1918”;
// Nazwy plików w każdej strefie to
// smak konsumenta. Wybraliśmy friends.cu.hosts
// i 192.168.10.rev, ponieważ dają nam jasność w ich
// zawartość. Nie ma już tajemnicy 😉
//
// Nazwy stref NIE SĄ ARBITRAŻOWE
// i będzie odpowiadać nazwie naszej domeny
// i do podsieci LAN
// Główna strefa główna: typ „Bezpośredni”
strefa «amigos.cu» {
typ master;
plik "amigos.cu.hosts";
};
// Główna strefa główna: typ „Odwrotny”
zone "10.168.192.in-addr.arpa" {
typ master;
plik „192.168.10.rev”;
};
// Koniec pliku named.conf.local
Dobry, bardzo interesujący twój post o dns, pomogli mi zacząć temat, dziękuję. Wyjaśniam, że jestem nowicjuszem w tym zakresie. Ale czytając twoje opublikowane informacje, zauważyłem, że działa to ze stałymi adresami w hostach sieci wewnętrznej. Moje pytanie brzmi, jak byś zrobił z siecią wewnętrzną z dynamicznymi adresami IP, przypisanymi przez serwer dhcp, aby utworzyć pliki głównej strefy głównej typu „direct” i „reverse”?
Będę wdzięczny za światło, jakie może Pan dać w podniesionej sprawie. Dziękuję Ci. Fv
Dzięki za komentarz, @fabian. Możesz zapoznać się z następującymi artykułami, które, mam nadzieję, pomogą Ci wdrożyć sieć z dynamicznymi adresami:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
pozdrowienia