Cei care au urmat Primul, 2da, Primul y 4ta o parte din acest articol și consultările făcute către BIND au dat rezultate satisfăcătoare, sunt deja experți pe această temă. :-) Și fără alte întrebări, să intrăm în ultima parte:
- Crearea fișierului „Master Master Zone” de tip „invers” 10.168.192.in-addr.arpa
- Depanarea
- Rezumat
Crearea fișierului „Master Master Zone” de tip „invers” 10.168.192.in-addr.arpa
Numele zonei ți le aduce, nu? Și este că zonele inverse sunt obligatorii pentru a avea o rezoluție corectă a numelui în conformitate cu standardele Internet. Nu avem de ales decât să-l creăm pe cel corespunzător domeniului nostru. Pentru aceasta folosim ca șablon fișierul /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Edităm fișierul /var/cache/bind/192.168.10.rev și o lăsăm așa:
; /var/cache/bind/192.168.10.rev; ; Fișier de date invers BIND pentru zona master 10.168.192.in-addr.arpa; Fișiere de date BIND pentru Master Zone (Reverse) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Serial 604800; Reîmprospătare 86400; Reîncercați 2419200; Expirați 604800); Cache negativ TTL; @ IN NS ns. 10 IN PTR ns.amigos.cu. 1 IN PTR gandalf.amigos.cu. 9 ÎN PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; putem scrie și adresa IP completă. Ex :; 192.168.10.1 IN PTR gandalf.amigos.cu.
- Observați cum, în acest caz, am lăsat timpii în secunde, deoarece este creat în mod implicit atunci când lega9. Funcționează la fel. Sunt aceleași perioade cu cele indicate în fișier friends.cu.host. Când aveți dubii, verificați.
- De asemenea, rețineți că declarăm numai înregistrările inverse ale gazdelor care au un IP atribuit sau „real” pe LAN-ul nostru și care îl identifică în mod unic.
- Nu uitați să actualizați fișierul Reverse Zone cu TOATE adresele IP corecte declarate în Zona Directă.
- Nu uitați să măriți Numărul de serie al zonei de fiecare dată când modifică fișierul și înainte de a reporni BIND-ul.
Să verificăm zona nou creată:
named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Verificăm configurația:
named-checkconf -z named-checkconf -p
Dacă totul a decurs OK, repornim serviciul:
service bind9 reporniți
De acum înainte, de fiecare dată când modificăm fișierele de zonă, trebuie doar să executăm:
rndc reîncarcă
Pentru aceasta declarăm cheia /etc/bind/named.conf.options, Nu?
Depanarea
Foarte important este conținutul corect al fișierului /etc/resolv.conf după cum am văzut în capitolul anterior. Nu uitați să indicați în acesta cel puțin următoarele:
căutare prieteni.cu nameserver 192.168.10.20
comandă săpa a pachetului dnsutil. Pe o consolă, tastați comenzile precedate de #:
# dig -x 127.0.0.1 ..... ;; SECȚIUNEA DE RĂSPUNS: 1.0.0.127.in-addr.arpa. 604800 IN PTR localhost. .... # dig -x 192.168.10.9 .... ;; SECȚIUNEA DE RĂSPUNS: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu has address 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu has address 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; opțiuni globale: + cmd ;; conexiunea a expirat; nu s-a putut ajunge la niciun server # dig gandalf.amigos.cu .... ;; SECȚIUNEA DE RĂSPUNS: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Dacă au acces la internetul cubanez sau global, iar expeditorii sunt declarați corect încercați: # dig debian.org .... ;; SECȚIUNEA ÎNTREBĂRII :; debian.org. ÎN A ;; SECȚIUNEA DE RĂSPUNS: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu are adresa 190.6.81.130 # host yahoo.es yahoo.es are adresa 77.238.178.122 yahoo.es are adresa 87.248.120.148 yahoo.es e-mail de 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; SECȚIUNEA DE RĂSPUNS: 122.178.238.77.in-addr.arpa. 429 IN PTR w2.rc.vip.ird.yahoo.com.
… Și, în general, cu alte domenii în afara rețelei LAN. Consultați și aflați lucruri interesante pe Internet.
Una dintre cele mai bune modalități de a verifica performanța unui server lega9, și, în general, pentru orice alt serviciu instalat, citește rezultatul fișierului Mesaje jurnal sistem folosind comanda tail -f / var / log / syslog rulați ca utilizatorrădăcină.
Este foarte interesant să vedem rezultatul acelei comenzi atunci când punem o întrebare locală BIND despre un domeniu extern sau o gazdă. În acest caz, pot fi prezentate mai multe scenarii:
- Dacă nu avem acces la Internet, interogarea noastră va eșua.
- Dacă avem acces la Internet și NU am declarat expeditori, cel mai probabil nu vom primi un răspuns.
- Dacă avem acces la Internet și am declarat expeditorii, vom obține un răspuns, deoarece aceștia vor fi responsabili de consultarea serverului DNS sau a serverelor necesare.
Dacă lucrăm la o LAN închis în care este imposibil în niciun fel să plecăm în străinătate și nu avem expeditori de niciun fel, putem elimina mesajele de căutare ale Servere Root „Golirea” fișierului /etc/bind/db.root. Pentru a face acest lucru, salvăm mai întâi fișierul cu un alt nume și apoi ștergem tot conținutul acestuia. Apoi verificăm configurația și repornim serviciul:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart
Rezumat
Până acum, oameni buni, o mică introducere în serviciul DNS. Ceea ce am făcut până acum ne poate servi perfect pentru micile noastre afaceri. De asemenea, pentru casă, dacă creăm mașini virtuale cu sisteme de operare diferite și adrese IP diferite și nu dorim să ne referim la ele prin IP ci după nume. Instalez întotdeauna un BIND pe gazda mea de acasă pentru a instala, configura și testa servicii care depind în mare măsură de serviciul DNS. Folosesc pe scară largă desktopurile și serverele virtuale și nu-mi place să păstrez un fișier / Etc / hosts în fiecare dintre mașini. Mă înșel prea mult.
Dacă nu ați instalat și configurat niciodată un BIND, nu vă lăsați amânat dacă ceva nu merge bine la prima încercare și trebuie să începeți din nou. În aceste cazuri, vă recomandăm întotdeauna să începeți cu o instalare curată. Merită încercat!
Pentru cei care au nevoie de o disponibilitate ridicată în serviciul de rezoluție de nume, care poate fi realizat prin configurarea unui server Master secundar, vă recomandăm să continuați cu noi în următoarea aventură: Master DNS secundar pentru o rețea LAN.
Felicitări celor care au urmărit toate articolele și au obținut rezultatele scontate!
În sfârșit! .. ultima postare: D!
Vă mulțumim că mi-ați împărtășit prietenul!
Salutări!
Foarte interesant, articolele dvs., am un DNS autorizat configurat într-un freeBSD pentru un domeniu .edu.mx, până acum a funcționat perfect pentru mine, dar în ultima lună am detectat mai multe atacuri, către server, care ar fi metodele de apărare pentru a Un DNS expus? Și nu știu dacă poate fi, expuneți masterul la internet și unul secundar care servește un lan mic de aproximativ 60 de computere, ambele DNS interconectate sau pentru a putea defini două zone, una internă și una externă, mulțumesc în maestru
Pachetul squeeze bind9 are o problemă de lucru cu samba, o versiune 9.8.4 este deja disponibilă în ramura backports a squeeze, versiunea wheeze nu are această problemă, pentru lenny venenux.net va backport pachetul.
Articol foarte bun.
Acesta este singurul articol care face totul bine explicat ..
Trebuie remarcat faptul că acl-ul pentru spofing nu funcționează, deoarece în același mod în care va fi injectat din rețeaua internă, soluția ar fi refuzarea redirecționărilor pentru clienți și crearea unui acl complex care împiedică reatribuirea numelor (ceva similar cu dns-urile statice)
SFAT SPECIAL:
ar fi bine o configurare suplimentară cu privire la modul de a face conținutul filtrului DNS în loc de firewall
Vă mulțumim că ați comentat @PICCORO !!!.
Declar la începutul tuturor articolelor mele că nu mă consider un specialist. Mult mai puțin cu privire la problema DNS. Aici învățăm cu toții. Voi lua în considerare recomandările dvs. la instalarea unui DNS orientat spre internet și nu pentru o rețea LAN normală și simplă.
TUTORIAL EXCELENT !!! Mi-a fost de mare ajutor, de vreme ce tocmai am început în acest rând de server, totul a funcționat OK. Vă mulțumesc și continuați să publicați astfel de tutoriale magnifice !!!
Fico, încă o dată te felicit pentru acest material grozav.
Nu sunt expert în BIND9, iartă-mă dacă greșesc în legătură cu comentariul, dar cred că ți-a lipsit definirea zonei pentru căutări inversate în fișierul named.conf.local
Este păcat că Fico nu vă poate răspunde chiar acum.
Salutări și mulțumiri, Elav, și iată-ți răspund. Ca întotdeauna, vă recomand să citiți încet ... 🙂
În postare: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Scriu următoarele:
Modificări ale fișierului /etc/bind/named.conf.local
În acest fișier declarăm zonele locale ale domeniului nostru. Trebuie să includem cel puțin zonele înainte și inversă. Amintiți-vă că în fișierul de configurare /etc/bind/named.conf.options declarăm în ce director vom găzdui fișierele Zone folosind directiva director. La final, fișierul ar trebui să fie după cum urmează:
// /etc/bind/named.conf.local
//
// Efectuați orice configurație locală aici
//
// Luați în considerare adăugarea zonelor 1918 aici, dacă nu sunt utilizate în dvs.
// organizare
// include „/etc/bind/zones.rfc1918”;
// Numele fișierelor din fiecare zonă sunt a
// gustul consumatorului. Am ales friends.cu.hosts
// și 192.168.10.rev pentru că ne oferă claritate a lor
// conținut. Nu mai există mister 😉
//
// Numele zonelor NU SUNT ARBITRARE
// și va corespunde cu numele domeniului nostru
// și către subrețeaua LAN
// Master Main Zone: tip «Direct»
zona «amigos.cu» {
tip master;
fișier „amigos.cu.hosts”;
};
// Master Main Zone: tip «invers»
zona "10.168.192.in-addr.arpa" {
tip master;
fișier „192.168.10.rev”;
};
// Sfârșitul fișierului named.conf.local
Bine, foarte interesant postarea ta despre dns, m-au ajutat să încep pe subiect, mulțumesc. Clarific că sunt un începător în această privință. Dar citind informațiile dvs. publicate am observat că funcționează cu adrese fixe în gazdele unei rețele interne. Întrebarea mea este, cum s-ar face cu o rețea internă cu adrese IP dinamice, atribuite de un server dhcp, pentru a crea fișierele zonei principale master de tip „direct” și „invers”?
Voi fi recunoscător pentru lumina pe care o puteți da cu privire la problema ridicată. Mulțumesc. Fv
Vă mulțumim pentru comentarii, @fabian. Puteți consulta următoarele articole, care sper să vă ajute să implementați o rețea cu adrese dinamice:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
În ceea ce priveşte