Первичный главный DNS для локальной сети в Debian 6.0 (III)

Это огромные усилия, чтобы сократить в 5 небольших статьях предыдущие знания, установку, настройку и создание зон и проверок BIND, чтобы их могло понять наибольшее количество читателей, что является нашей основной целью. .

Те, у кого хватило терпения внимательно прочитать 1-й y 2da В этой части статьи они готовы продолжить настройку и настройку сервера доменных имен для локальной сети.

Новичкам и тем, кто не очень понимает очень обобщенные концепции, данные в предыдущих частях, мы рекомендуем вам прочитать и изучить их, прежде чем продолжить. Обычные подозреваемые в отчаянии! назад, если вы не читали внимательно.

Мы увидим ниже:

  • Основные данные ЛВС
  • Минимальные конфигурации хоста
  • Модификации файла /etc/resolv.conf
  • Изменения в файле /etc/bind/ named.conf
  • Изменения в файле /etc/bind/ named.conf.option
  • Изменения в файле /etc/bind/ named.conf.local

 Основные данные ЛВС

Имя домена LAN: amigos.cu Подсеть LAN: 192.168.10.0/255.255.255.0 IP-адрес сервера BIND: 192.168.10.10 Имя сервера NetBIOS: ns

Хотя это очевидно, не забудьте изменить предыдущие данные на свои собственные.

Минимальные конфигурации хоста

Очень важно правильно настроить файлы / и т.д. / сеть / интерфейсы y/ Etc / хостов чтобы получить хорошую производительность DNS. Если все данные были заявлены при установке, никаких изменений не потребуется. Содержание каждого из них должно быть следующим:

# содержимое файла / etc / network / interfaces # В этом файле описаны сетевые интерфейсы, доступные в вашей системе # и способы их активации. Для получения дополнительной информации см. Interfaces (5). # Сетевой интерфейс loopback auto lo iface lo inet loopback # Основной сетевой интерфейс allow-hotplug eth0 iface eth0 inet статический адрес 192.168.10.10 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * options are реализуется пакетом resolvconf, если установлены dns-nameservers 192.168.10.10 dns-search amigos.cu # содержимое / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Следующие строки желательны для хостов с поддержкой IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Модификации файла /etc/resolv.conf

Чтобы наши запросы и проверки работали правильно, необходимо указать в локальной конфигурации хоста, который будет нашим поисковым доменом, а какой - нашим локальным DNS. Без как минимум вышеуказанных параметров любой DNS-запрос завершится ошибкой. И это ошибка, которую совершают многие новички. Итак, давайте отредактируем файл / Etc / resolv.conf и оставляем его со следующим содержанием:

# содержимое /etc/resolv.conf search friends.cu nameserver 192.168.10.10

На компьютере, где у нас установлен DNS-сервер, мы можем написать:

поиск по серверу имен amigos.cu 127.0.0.1

В приведенном выше содержании заявление сервер имен 127.0.0.1, указывает, что запросы будут направляться в локальный.

После того, как мы правильно настроили наш BIND, мы можем сделать любой DNS-запрос от нашего хоста, будь то сам сервер привязать9 или другой, подключенный к сети, который принадлежит той же подсети и имеет ту же маску сети. Чтобы узнать больше о файле, запустите человек resolv.conf.

Изменения в файле /etc/bind/ named.conf

Чтобы ограничить запросы к нашему BIND, чтобы они отвечали только на нашу подсеть и предотвращали атаку Подмена, мы объявляем в файле именованный.conf список контроля доступа или ACL (список контроля доступа), и мы называем это втянут. Файлименованный.conf Должно получиться так:

// /etc/bind/ named.conf // Это основной файл конфигурации для указанного DNS-сервера BIND. // // Пожалуйста, прочтите /usr/share/doc/bind9/README.Debian.gz для получения информации о // структуре файлов конфигурации BIND в Debian, * ПЕРЕД * настройкой // этого файла конфигурации. // // Если вы просто добавляете зоны, сделайте это в /etc/bind/ named.conf.local // // Комментарии на испанском языке наши // Мы оставляем оригиналы на английском языке // Остерегайтесь копирования и вставки // НЕ ОСТАВЛЯЙТЕ ПУСТОЙ ПРОБЕЛ В КОНЦЕ КАЖДОЙ СТРОКИ // // Список контроля доступа: // Он разрешит запросы из локального домена и из нашей подсети // Во включенном файле named.conf.options мы будем ссылаться на это. acl заблуждается {127.0.0.0/8; 192.168.10.0/24; }; включить "/etc/bind/ named.conf.options"; включить "/etc/bind/ named.conf.local"; включить "/etc/bind/ named.conf.default-zones"; // конец файла /etc/bind/ named.conf

Давайте проверим конфигурацию BIND и перезапустим службу:

named-checkconf -z перезапуск службы bind9

Изменения в файле /etc/bind/ named.conf.options

В первом разделе «кредита"Мы только объявим Транспортеры, и кто сможет проконсультироваться с нашим BIND. Затем мы объявляем Ключ или ключ через который мы можем контролировать привязать9и, наконец, с какого хоста мы можем им управлять. Чтобы узнать, что является ключом или ключом, мы должны сделать кот /etc/bind/rndc.key. Копируем вывод и вставляем в файл названный.conf.options. В итоге наш файл должен выглядеть так:

// /etc/bind/ named.conf.options options {// ОСТОРОЖНО КОПИРОВАНИЯ И ВСТАВКИ, ПОЖАЛУЙСТА ... // Каталог по умолчанию, в котором находятся наши файлы Zones, каталог "/ var / cache / bind"; // Если между вами и серверами имен, с которыми вы хотите // разговаривать, есть брандмауэр, вам может потребоваться исправить брандмауэр, чтобы разрешить соединение // нескольким портам. См. Http://www.kb.cert.org/vuls/id/800113 // Если ваш интернет-провайдер предоставил один или несколько IP-адресов для стабильных // серверов имен, вы, вероятно, захотите использовать их в качестве серверов пересылки. // Раскомментируйте следующий блок и вставьте адреса, заменяющие // заполнитель всех 0. // экспедиторы {// 0.0.0.0; // 0.0.0.0; //} // Экспедиторы. У меня нет лучшего перевода // Адреса с серверов ceniai.net.cu // Если у него НЕТ выхода в Интернет, // объявлять их НЕ нужно, если у вас нет более сложного LAN // с DNS-серверами, которые действуют как пересылки за пределами // диапазона IP-адресов вашей подсети. В этом случае // вы должны указать IP-адреса этих серверов. // Запросы пересылки являются каскадными. экспедиторы {169.158.128.136; 169.158.128.88 1035 6; }; // В правильно настроенной локальной сети ВСЕ запросы DNS // должны выполняться на локальный DNS-сервер в этой локальной сети, // НЕ на серверы за пределами локальной сети. // Особенно, когда у вас есть доступ в Интернет, // будь он национальный или международный. Для этого // объявляем Forwarders auth-nxdomain no; # соответствовать RFC5 listen-on-v2 {any; }; // Защита от спуфинга allow-query {mired; }; }; // Содержимое файла / etc / bind / rndc-key // полученного с помощью cat / etc / bind / rndc-key // Не забудьте изменить его, если мы регенерируем ключ «rndc-key» {алгоритм hmac-md86; секрет "dlOFESXTp6wYLa127.0.0.1vQNUXNUMXw =="; }; // С какого хоста мы будем управлять и с помощью каких клавиш управления {inet XNUMX allow {localhost; } ключи {rndc-key; }; }; // конец файла /etc/bind/ named.conf.options

Давайте проверим конфигурацию BIND и перезапустим службу:

named-checkconf -z перезапуск службы bind9

Мы решили включить как // Комментарии фундаментальные аспекты, которые могут служить ориентиром для будущих консультаций.

Факт объявления серверов пересылки превращает наш локальный сервер BIND в сервер Caché, сохраняя его функциональность в качестве основного мастера. Когда мы запрашиваем хост или внешний домен, ответ - если он положительный - будет сохранен в его кеше, поэтому, когда мы снова запрашиваем его для того же хоста или того же внешнего домена, мы получаем быстрый ответ, не консультации с внешними DNS.

Изменения в файле /etc/bind/ named.conf.local

В этом файле мы объявляем локальные зоны нашего домена. Мы должны включить как минимум прямую и обратную зоны. Помните, что в файле конфигурации/etc/bind/ named.conf.options Мы объявляем, в каком каталоге мы будем размещать файлы Zones, с помощью директивы directory. В итоге файл должен быть таким:

// /etc/bind/ named.conf.local // // Выполните здесь любую локальную конфигурацию // // Рассмотрите возможность добавления здесь зон 1918, если они не используются в вашей // организации // include "/ etc / bind /zones.rfc1918 "; // Имена файлов в каждой зоне // по вкусу потребителя. Мы выбрали amigos.cu.hosts // и 192.168.10.rev, потому что они дают нам ясность в отношении их // содержания. Больше никаких загадок // // Имена зон НЕ ПРОИЗВОЛЬНЫ // и будут соответствовать имени нашего домена // и подсети LAN // Главная мастер-зона: введите "Direct" zone "amigos.cu "{тип мастер; файл "amigos.cu.hosts"; }; // Главная главная зона: тип "Инверсная" зона "10.168.192.in-addr.arpa" {type master; файл "192.168.10.rev"; }; // Конец файла named.conf.local

Чтобы проверить текущую конфигурацию BIND:

с именем-checkconf -z

Предыдущая команда будет возвращать ошибку, пока файлы зоны не существуют. Главное, что он предупреждает нас, что Зоны, объявленные в named.conf.local, не будут загружены, поскольку файлы записей DNS просто не существуют, что пока верно. Мы можем двигаться дальше.

Перезапустим сервис, чтобы изменения были учтены:

перезапуск службы bind9

Поскольку мы не хотим делать каждый пост слишком длинным, мы рассмотрим проблему создания файлов локальных зон в следующей четвертой части. А пока друзья!


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

      st0rmt4il сказал

    Спасибо чувак!

    Сегодня в интернете сложно увидеть посты такого качества!

    Привет!

         Я получаю сказал

      Большое спасибо за комментарий .. Приятно читать такие вещи .. 😉

      тире0 сказал

    Отличная статья!
    Спасибо, Elav, KZ, в любом случае ... От Linux за существующие

    В совокупности можно реализовать плагин, позволяющий загружать статьи в формате pdf (стиль HumanOS).
    привет
    Дашт

         Federico сказал

      Спасибо всем за ваши комментарии. Мы узнаем их ВСЕ.
      Загрузка статей в формате PDF не включает комментарии друзей и коллег, которые дополняют публикацию и очень полезны. Дать путеводитель без комментариев практически невозможно, учитывая широту темы. UNIX / Linux чрезвычайно широка, чтобы избавить всех от опыта.

           тире0 сказал

        Отличные статьи!
        Понятно, что комментарии дополняют информацию статей, они даже предлагают вещи, которые могут остаться или которые можно добавить, но я поддерживаю свою идею, что было бы идеально, если бы статью можно было сохранить в формате pdf, по крайней мере, для меня
        Объятие с Кубы и с нетерпением жду этого

      Elpapineo сказал

    Бег:
    с именем-checkconf -z
    Я чувствую:
    /etc/bind/ named.conf.options:30: неизвестный параметр 'control'

         Elpapineo сказал

      Я отвечаю себе: вы должны поместить раздел управления вне раздела настроек.

      Я также хотел бы кое-что внести: если вместо копирования и вставки в файл named.conf.options

      key "rndc-key" {
      алгоритм hmac-md5;
      секрет "dlOFESXTp2wYLa86vQNU6w ==";
      };

      Мы делаем:

      включить "/etc/bind/rndc.key";

      в файле named.conf, я думаю, он тоже работает.

      Привет.