Primary Master DNS dla sieci LAN w systemie Debian 6.0 (V) i wersja ostateczna

Ci, którzy śledzili 12da3 y 4ta część tego artykułu i konsultacje przeprowadzone na ich BIND przyniosły zadowalające rezultaty, są już ekspertami w tej dziedzinie. :-) I bez zbędnych ceregieli przejdźmy do ostatniej części:

  • Utworzenie pliku głównej strefy głównej typu „Inverse” 10.168.192.in-addr.arpa
  • Rozwiązywanie problemów
  • streszczenie

Utworzenie pliku głównej strefy głównej typu „Inverse” 10.168.192.in-addr.arpa

Nazwa obszaru sprowadza ich do ciebie, prawda? I to jest to, że strefy odwrócone są obowiązkowe, aby mieć poprawną rozdzielczość nazw zgodnie ze standardami internetowymi. Nie mamy innego wyjścia, jak tylko stworzyć taką, która odpowiada naszej domenie. W tym celu używamy jako szablonu pliku /etc/bind/db.127:

cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev

Edytujemy plik /var/cache/bind/192.168.10.rev i zostawiamy to tak:

; /var/cache/bind/192.168.10.rev; ; BIND plik danych odwrotnych dla strefy głównej 10.168.192.in-addr.arpa; Pliki danych BIND dla strefy głównej (wstecznej) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Serial 604800; Refresh 86400; Retry 2419200; Expire 604800); Ujemne TTL pamięci podręcznej; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 W PTR gandalf.amigos.cu. 9 W PTR mail.amigos.cu. 20 W PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; możemy również wpisać pełny adres IP. Dawny:; 192.168.10.1 NA PTR gandalf.amigos.cu.
  • Zwróć uwagę, jak w tym przypadku zostawiliśmy czasy w sekundach, ponieważ jest on tworzony domyślnie, gdy plik wiązać9. Działa tak samo. Są takie same, jak te wskazane w pliku friends.cu.host. W razie wątpliwości sprawdź.
  • Należy również pamiętać, że deklarujemy tylko rekordy odwrotne hostów, które mają przypisany lub „rzeczywisty” adres IP w naszej sieci LAN i który jednoznacznie je identyfikuje.
  • Pamiętaj, aby zaktualizować plik Reverse Zone WSZYSTKIMI poprawnymi adresami IP zadeklarowanymi w strefie bezpośredniej.
  • Pamiętaj, aby zwiększyć Numer seryjny strefy za każdym razem, gdy modyfikują plik i przed ponownym uruchomieniem programu BIND.

Sprawdźmy nowo utworzoną strefę:

nazwane-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev

Sprawdzamy konfigurację:

named-checkconf -z named-checkconf -p

Jeśli wszystko poszło dobrze, restartujemy usługę:

usługa bind9 restart

Od teraz za każdym razem, gdy modyfikujemy pliki stref, musimy tylko wykonać:

rndc przeładuj

W tym celu deklarujemy klucz w /etc/bind/named.conf.optionsnie?

Rozwiązywanie problemów

Bardzo ważna jest poprawna zawartość pliku / Etc / resolv.conf jak widzieliśmy w poprzednim rozdziale. Pamiętaj, aby wskazać w nim co najmniej następujące informacje:

szukaj serwera nazw amigos.cu 192.168.10.20

Dowództwo kopać pakietu dnsutil. Na konsoli wpisz polecenia poprzedzone znakiem #:

# dig -x 127.0.0.1 ..... ;; SEKCJA ODPOWIEDZI: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; SEKCJA ODPOWIEDZI: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu ma adres 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu ma adres 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; opcje globalne: + cmd ;; Przekroczono limit czasu połączenia; nie można było połączyć się z żadnymi serwerami # dig gandalf.amigos.cu .... ;; SEKCJA ODPOWIEDZI: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Jeśli mają dostęp do kubańskiego lub globalnego Internetu, a usługi przesyłania dalej są poprawnie zadeklarowane, spróbuj: # dig debian.org .... ;; SEKCJA PYTANIA :; debian.org. W ;; SEKCJA ODPOWIEDZI: debian.org. 3600 W 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu ma adres 190.6.81.130 # host yahoo.es yahoo.es ma adres 77.238.178.122 yahoo.es ma adres 87.248.120.148 yahoo.es poczta jest obsługiwana przez 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SEKCJA ODPOWIEDZI: 122.178.238.77.in-addr.arpa. 429 NA PTR w2.rc.vip.ird.yahoo.com.

… I ogólnie z innymi domenami poza naszą siecią LAN. Skonsultuj się i dowiedz się o ciekawych rzeczach w Internecie.

Jeden z najlepszych sposobów sprawdzenia wydajności serwera wiązać9i ogólnie każdej innej zainstalowanej usługi odczytuje dane wyjściowe Komunikaty dziennika systemowego za pomocą polecenia tail -f / var / log / syslog działać jako użytkownikkorzeń.

Bardzo interesujące jest zobaczenie wyniku tego polecenia, gdy zadamy naszemu lokalnemu BINDowi pytanie dotyczące zewnętrznej domeny lub hosta. W takim przypadku można przedstawić kilka scenariuszy:

  • Jeśli nie mamy dostępu do Internetu, nasze zapytanie zakończy się niepowodzeniem.
  • Jeśli mamy dostęp do Internetu i NIE zadeklarowaliśmy spedytorów, najprawdopodobniej nie otrzymamy odpowiedzi.
  • Jeśli mamy dostęp do Internetu i zadeklarowaliśmy spedytorów, uzyskamy odpowiedź, ponieważ będą oni odpowiedzialni za konsultacje z serwerem DNS lub serwerami, które są potrzebne.

Jeśli pracujemy nad Sieć LAN zamknięta w których w żaden sposób nie można wyjechać za granicę i nie mamy żadnych Spedytorów, możemy wyeliminować wiadomości wyszukiwania Serwery główne „Opróżnianie” pliku /etc/bind/db.root. Aby to zrobić, najpierw zapisujemy plik pod inną nazwą, a następnie usuwamy całą jego zawartość. Następnie sprawdzamy konfigurację i restartujemy usługę:

cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart

streszczenie

Póki co, małe wprowadzenie do usługi DNS. To, co zrobiliśmy do tej pory, może nam doskonale służyć w naszej małej firmie. Również dla domu, jeśli tworzymy maszyny wirtualne z różnymi systemami operacyjnymi i różnymi adresami IP i nie chcemy odnosić się do nich po IP, ale po nazwie. Zawsze instaluję BIND na moim hoście domowym, aby zainstalować, skonfigurować i przetestować usługi, które w dużym stopniu zależą od usługi DNS. W szerokim zakresie korzystam z komputerów stacjonarnych i serwerów wirtualnych i nie lubię przechowywać pliku / Etc / hosts w każdej z maszyn. Za bardzo się mylę.

Jeśli nigdy nie zainstalowałeś i nie skonfigurowałeś BIND, nie zniechęcaj się, jeśli coś pójdzie nie tak przy pierwszej próbie i musisz zacząć wszystko od nowa. W takich przypadkach zawsze zalecamy rozpoczęcie od czystej instalacji. Warto spróbować!

Dla tych, którzy potrzebują wysokiej dostępności w usłudze rozpoznawania nazw, którą można osiągnąć poprzez skonfigurowanie serwera Secondary Master, zalecamy kontynuowanie z nami następnej przygody: Secondary Master DNS dla sieci LAN.

Gratulacje dla tych, którzy śledzili wszystkie artykuły i uzyskali oczekiwane rezultaty!


11 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   st0rmt4il powiedział

    Nareszcie! .. ostatni post: D!

    Dzięki za udostępnienie mojego przyjaciela!

    Pozdrowienia!

  2.   Rafael Hernandez powiedział

    Bardzo ciekawe, Wasze artykuły, mam autorytatywny DNS skonfigurowany w freeBSD dla domeny .edu.mx, jak na razie działał idealnie, ale w ostatnim miesiącu wykryłem kilka ataków na serwer, co by było metody obrony przed wystawionym serwerem DNS?

  3.   PICCORUS powiedział

    Pakiet squeeze bind9 ma problem z działaniem samby, wersja 9.8.4 jest już dostępna w gałęzi backports squeeze, wersja wheeze nie ma tego problemu, dla lenny venenux.net będzie backportować pakiet.

    Bardzo dobry artykuł.

    To jedyny artykuł, w którym wszystko dobrze wyjaśniono.

    Należy zauważyć, że lista ACL do spofingu nie działa, ponieważ w ten sam sposób, w jaki zostanie wstrzyknięta z sieci wewnętrznej, rozwiązaniem byłoby odrzucenie przekierowań dla klientów i utworzenie złożonej listy ACL, która zapobiega ponownemu przypisywaniu nazw (coś podobny do statycznego dns)

    WSKAZÓWKA SPECJALNA:

    Dodatkowa konfiguracja byłaby dobra do tego, jak utworzyć zawartość filtru dns zamiast zapory

    1.    Federico Antonio Valdes Toujague powiedział

      Dzięki za komentarz @PICCORO !!!.
      Oświadczam na początku wszystkich moich artykułów, że nie uważam się za specjalistę. Znacznie mniej w kwestii DNS. Tutaj wszyscy się uczymy. Uwzględnię Twoje zalecenia podczas instalowania DNS skierowanego do Internetu, a nie dla normalnej i prostej sieci LAN.

  4.   Franka Davilę powiedział

    DOSKONAŁY TUTORIAL !!! To była dla mnie wielka pomoc, ponieważ dopiero co zacząłem w tej turze serwera, wszystko działało OK. Dziękuję i publikujcie dalej takie wspaniałe tutoriale !!!

  5.   Jesus Fenández Toledo powiedział

    Fico, raz jeszcze gratuluję tego wspaniałego materiału.

    Nie jestem ekspertem w BIND9, wybacz, jeśli się mylę co do komentarza, ale myślę, że nie zdefiniowałeś strefy wyszukiwania wstecznego w pliku named.conf.local

    1.    pełen życia powiedział

      Szkoda, że ​​Fico nie może ci teraz odpowiedzieć.

      1.    Federico Antonio Valdes Toujague powiedział

        Pozdrawiam i dziękuję, Elav, a tu odpowiadam. Jak zawsze radzę czytać powoli ... 🙂

    2.    Federico Antonio Valdes Toujague powiedział

      W poście: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/

      Piszę co następuje:
      Modyfikacje pliku /etc/bind/named.conf.local

      W tym pliku deklarujemy strefy lokalne naszej domeny. Musimy uwzględnić przynajmniej strefę przednią i wsteczną. Pamiętaj, że w pliku konfiguracyjnym /etc/bind/named.conf.options deklarujemy, w którym katalogu będziemy hostować pliki Zones za pomocą dyrektywy directory. Ostatecznie plik powinien wyglądać następująco:

      // /etc/bind/named.conf.local
      //
      // Wykonaj tutaj dowolną konfigurację lokalną
      //
      // Rozważ dodanie stref 1918 tutaj, jeśli nie są używane w twoim
      // organizacja
      // dołącz „/etc/bind/zones.rfc1918”;
      // Nazwy plików w każdej strefie to
      // smak konsumenta. Wybraliśmy friends.cu.hosts
      // i 192.168.10.rev, ponieważ dają nam jasność w ich
      // zawartość. Nie ma już tajemnicy 😉
      //
      // Nazwy stref NIE SĄ ARBITRAŻOWE
      // i będzie odpowiadać nazwie naszej domeny
      // i do podsieci LAN
      // Główna strefa główna: typ „Bezpośredni”
      strefa «amigos.cu» {
      typ master;
      plik "amigos.cu.hosts";
      };
      // Główna strefa główna: typ „Odwrotny”
      zone "10.168.192.in-addr.arpa" {
      typ master;
      plik „192.168.10.rev”;
      };
      // Koniec pliku named.conf.local

  6.   Fabian Valery powiedział

    Dobry, bardzo interesujący twój post o dns, pomogli mi zacząć temat, dziękuję. Wyjaśniam, że jestem nowicjuszem w tym zakresie. Ale czytając twoje opublikowane informacje, zauważyłem, że działa to ze stałymi adresami w hostach sieci wewnętrznej. Moje pytanie brzmi, jak byś zrobił z siecią wewnętrzną z dynamicznymi adresami IP, przypisanymi przez serwer dhcp, aby utworzyć pliki głównej strefy głównej typu „direct” i „reverse”?

    Będę wdzięczny za światło, jakie może Pan dać w podniesionej sprawie. Dziękuję Ci. Fv

    1.    Federico A. Valdes Toujague powiedział

      Dzięki za komentarz, @fabian. Możesz zapoznać się z następującymi artykułami, które, mam nadzieję, pomogą Ci wdrożyć sieć z dynamicznymi adresami:

      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
      https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/

      pozdrowienia