Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod
Dobrý deň, priatelia!. Uvidíme v tomto článku, ako môžeme implementovať dôležitú dvojicu služieb pre siete tvorené DNS a DHCP v systéme CentOS - Linux, konkrétne vo verzii 7.2.
- Niektoré články o DNS sa odvolávajú na skutočnosť, že implementácia tejto služby je trochu nejasná a zložitá. S týmto tvrdením veľmi nesúhlasím. Radšej by som povedal, že je to trochu koncepčné a že veľa jeho konfiguračných súborov má zložitú syntax. Našťastie máme nástroje, pomocou ktorých môžeme krok za krokom skontrolovať syntax každého konfiguračného súboru, ktorý upravíme. Preto sa pokúsime čítanie tohto príspevku čo najviac spríjemniť a spríjemniť..
Pre tých, ktorí hľadajú základné informácie o oboch službách, dôrazne odporúčame začať s vyhľadávaním na Wikipédii v španielskej aj anglickej verzii. Nie je menej pravdou, že články v angličtine sú takmer vždy úplnejšie a koherentnejšie. Wikipedia je napriek tomu veľmi dobrým východiskovým bodom.
Pre tých z vás, ktorí sa naozaj chcú dozvedieť viac o DNS a BIND, odporúčame prečítať si knihu «OReilly - DNS a BIND 4ed" napísané Paul albitz y Kriket Liualebo novšie vydanie, ktoré určite existuje.
Na túto tému sme už publikovali článok s názvom «DNS a DHCP v openSUSE 13.2 Harlequin - siete SME»Pre milovníkov grafického prostredia. Odteraz však budú čeliť článkom o tejto téme - nie o iných - napísaných s veľkým využitím emulátora terminálu alebo konzoly. Páni, v klasickom štýle používanom správcami systému UNIX® / Linux.
Ak sa chcete dozvedieť viac o priezvisku názvu tohto článku «Siete SME»Stránku môžete navštíviť v tomto blogu«Siete SME: prvý virtuálny strih«. V ňom nájdete odkazy na mnoho ďalších publikovaných článkov.
- Po dokončení inštalácie operačného systému CentOS 7 s balíkmi, ktoré odporúčame, el adresár /usr/share/doc/bind-9.9.4/ Obsahuje veľké množstvo dokumentácie, ktorú vám odporúčame konzultovať skôr, ako sa pustíte do vyhľadávania na internete bez toho, aby ste najskôr vedeli, že na dosah ruky a doma nájdete to, čo hľadáte.
Inštalácia základného systému
Všeobecné údaje domény a servera DNS
Doménové meno: desdelinux.ventilátor Názov servera DNS: dns.desdelinux.ventilátor IP adresa: 192.168.10.5 Maska podsiete: 255.255.255.0
inštalácia
Začíname s novou alebo čistou inštaláciou operačného systému CentOS 7, ako je uvedené v predchádzajúcom článku «CentOS 7 Hypervisor I - siete SMB«. Potrebujeme urobiť iba tieto zmeny:
- V Imagen 22 «VÝBER SOFTVÉRU«, Odporúčame zvoliť v ľavom stĺpci«Základné prostredie»Možnosť zodpovedajúca«Server infraštruktúry«, Zatiaľ čo v pravom stĺpci«Pluginy pre vybrané prostredie»Začiarknite políčko«DNS server mien«. Server DHCP nainštalujeme neskôr.
- Pamätajme na vyhlásenie ďalších úložísk, ako je uvedené v Imagen 23, po nastaveníNÁZOV SIETE A TÍMU".
- Obrázky odkazujúce na oddiely, ktoré vytvoríme na našom pevnom disku, sú uvedené iba ako sprievodcovia. Neváhajte a vyberte si oddiely podľa vlastného uváženia, praxe a dobrého úsudku.
- Nakoniec v Obrázok 13 «SIEŤ A NÁZOV TÍMU», musíme zmeniť hodnoty podľa všeobecných parametrov deklarovanej domény a DNS servera, pričom nezabudneme uviesť názov hostiteľa - v tomto prípade «dns«- po dokončení konfigurácie siete. Je pozitívne robiť ping -z iného hostiteľa- na zadanú adresu IP potom, čo je sieť aktívna:
V porovnaní s predchádzajúcim článkom musíme urobiť len veľmi málo zjavných zmien.
Počiatočné kontroly a úpravy
Po nainštalovaní operačného systému musíme skontrolovať aspoň nasledujúce súbory, a preto začneme z nášho počítača reláciu cez SSH sysadmin.desdelinux.ventilátor:
buzz @ sysadmin: ~ $ ssh 192.168.10.5 Heslo buzz@192.168.10.5: Posledné prihlásenie: So 28. januára 09:48:05 2017 od 192.168.10.1 [buzz @ dns ~] $
Vyššie uvedená operácia môže trvať dlhšie ako obvykle a je to hlavne kvôli tomu, že v sieti LAN ešte nemáme DNS. Neskôr znova skontrolujte, či DNS funguje.
[buzz @ dns ~] $ cat / etc / hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 [buzz @ dns ~] $ cat / etc / hostname dns [buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0 TYPE=Ethernet BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=no IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_PEERDNS=yes IPV6_PEERROUTES=yes IPV6_FAILURE_FATAL=no NAME=eth0 UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe DEVICE=eth0 ONBOOT=yes IPADDR=192.168.10.5 PREFIX=24 GATEWAY=192.168.10.1 DNS1=127.0.0.1 DOMAIN=desdelinux.ventilátor [buzz @ dns ~] $ cat /etc/resolv.conf # Vygenerované vyhľadávaním v NetworkManager desdelinux.menný server fanúšikov 127.0.0.1
Hlavné konfigurácie reagujú na náš výber. Upozorňujeme, že dokonca aj na serveri Red Hat 7 - CentOS 7, je predvolene nakonfigurovaný, keď NetworkManager takže toto je ten, kto spravuje sieťové rozhrania, či už sú to káblové alebo bezdrôtové (WiFi), pripojenia VPN, pripojenia PPPoE a akékoľvek ďalšie sieťové pripojenie.
[buzz @ dns ~] $ sudo systemctl status networkmanager [sudo] heslo pre buzz: ● networkmanager.service Načítané: nenájdené (dôvod: Žiadny takýto súbor alebo adresár) Aktívne: neaktívne (mŕtve) [buzz @ dns ~] $ sudo systemctl status NetworkManager ● NetworkManager.service - Network Manager Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; povolené; prednastavenie dodávateľa: povolené) Aktívne: aktívne (v prevádzke) od soboty 2017-01-28 12:23:59 EST; Pred 12 minútami Hlavné PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon
Red Hat - CentOS vám tiež umožňuje pripájať a odpájať sieťové rozhrania pomocou klasických príkazov akup e ak je dole. Poďme bežať na serverovej konzole:
[root @ dns ~] # ifdown eth0 Zariadenie „eth0“ bolo úspešne odpojené. [root @ dns ~] # ifup eth0 Pripojenie bolo úspešne aktivované (aktívna cesta D-Bus: / org / freedesktop / NetworkManager / ActiveConnection / 1)
- Odporúčame nemeňte predvolené nastavenia, ktoré ponúka CentOS 7 NetworkManager.
Definitívne deklarujeme úložiská, ktoré budeme používať, a v prípade potreby aktualizujeme operačný systém:
[buzz @ dns ~] $ su Heslo: [root @ dns buzz] # cd /etc/yum.repos.d/ [root @ dns yum.repos.d] # ls -l spolu 28 -rw-r - r--. 1 koreňový koreň 1664 9. decembra 2015 CentOS-Base.repo -rw-r - r--. 1 koreňový koreň 1309 9. decembra 2015 CentOS-CR.repo -rw-r - r--. 1 koreňový koreň 649 9. decembra 2015 CentOS-Debuginfo.repo -rw-r - r--. 1 koreňový koreň 290 9. decembra 2015 CentOS-fasttrack.repo -rw-r - r--. 1 koreňový koreň 630 9. decembra 2015 CentOS-Media.repo -rw-r - r--. 1 koreňový koreň 1331 9. decembra 2015 CentOS-Sources.repo -rw-r - r--. 1 koreňový koreň 1952 9. decembra 2015 CentOS-Vault.repo
Je zdravé čítať obsah pôvodných deklaračných súborov z úložísk odporúčaných CentOS. Zmeny, ktoré tu urobíme, sú dôsledkom skutočnosti, že nemáme prístup na internet a pracujeme s miestnymi úložiskami stiahnutými z WWW Village od kolegov, ktorí nám trochu uľahčujú život. 😉
[root @ dns yum.repos.d] # originál mkdir [root @ dns yum.repos.d] # mv CentOS- * originál / [root @ dns yum.repos.d] # nano centos-repos.repo [centos-base] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/base/ gpgcheck=0 enabled=1 [centos-updates] name=CentOS-$releasever baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/ gpgcheck=0 enabled=1 [root @ dns yum.repos.d] # yum vyčistiť všetko Načítané doplnky: najrýchlejší Mirror, langpacks Čistenie úložísk: centos-base centos-updates Vyčistenie všetkého [root @ dns yum.repos.d] # aktualizácia yum Načítané doplnky: najrýchlejšie zrkadlá, jazykové balíčky centos-base | 3.4 kB 00:00 aktualizácie Centos | 3.4 kB 00:00 (1/2): centos-base / primary_db | 5.3 MB 00:00 (2/2): centos-updates / primary_db | 9.1 MB 00:00 Určenie najrýchlejších zrkadiel Nie sú označené žiadne balíčky na aktualizáciu
Správa «Nie (existujú) balíky označené na aktualizáciu» - «Nie sú označené žiadne balíčky na aktualizáciu»Označuje, že vyhlásením najaktuálnejších úložísk, ktoré máme k dispozícii počas inštalácie, boli nainštalované presne najaktuálnejšie balíčky.
O kontexte SELinux a firewalle
Tento článok sa zameriame - zásadne - na implementáciu služieb DNS a DHCP, čo je jeho hlavný cieľ.
Ak si niektorý čitateľ počas procesu inštalácie vybral bezpečnostnú politiku, ako je uvedené v Imagen 06 referenčného článku «CentOS 7 Hypervisor I - siete SMB»Používa sa na inštaláciu tohto servera DNS - DHCP a zistíte, že neviete, ako správne nakonfigurovať SELinux a CentOS Firewall, odporúčame vám spustiť nasledovné:
Upravte súbor / Etc / sysconfig / selinux a zmeniť SELinux = presadenie podľa SELINUX = deaktivovať
[root @ dns ~] # nano / etc / sysconfig / selinux # Tento súbor riadi stav systému SELinux v systéme. # SELINUX = môže mať jednu z týchto troch hodnôt: # vynucovanie - vynucuje sa bezpečnostná politika SELinuxu. # permissive - SELinux namiesto vynútenia vytlačí varovania. # disabled - nie je načítaná žiadna politika SELinux. SELinux = vypnuté # SELINUXTYPE = môže mať jednu z troch dvoch hodnôt: # Targeted - Cielené procesy sú chránené, # Minimum - Úprava zameranej politiky. Iba vybrané procesy sú pr $ # mls - ochrana viacerých úrovní zabezpečenia. SELINUXTYPE = cielené
Potom spustite nasledujúce príkazy
[root @ dns ~] # setenforce 0
[root @ dns ~] # zastavenie služby firewall Presmerovanie na / bin / systemctl zastaví firewalld.service [root @ dns ~] # systemctl vypnúť firewalld Odstránený symbolický odkaz /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Odstránený symbolický odkaz /etc/systemd/system/basic.target.wants/firewalld.service.
Ak implementujete server DNS smerujúci do Internetu, nemali by ste robiť vyššie uvedené, ale nakonfigurujte kontext SELinux a bránu firewall správne. Pozri „Konfigurácia servera so systémom GNU / Linux, autor Joel Barrios Dueñas“ alebo samotná dokumentácia CentOS - Red Hat
Konfigurujeme BIND - pomenovaný
- El adresár /usr/share/doc/bind-9.9.4/ obsahuje veľké množstvo dokumentácie, ktorú vám odporúčame konzultovať skôr, ako sa pustíte do vyhľadávania na internete bez toho, aby ste najskôr vedeli, že na dosah ruky a doma nájdete to, čo hľadáte
V mnohých distribúciách sa nazýva služba DNS nainštalovaná prostredníctvom balíka BIND pomenovaný (Meno Démon). V systéme CentOS 7 je predvolene nainštalovaný deaktivovaný podľa výstupu nasledujúceho príkazu, kde sa uvádza, že jeho stav je «invalidný«, A že tento stav je preddefinovaný jeho« predávajúcim »- prednastavený predajca. Pre informáciu, BIND je slobodný softvér.
Povolenie pomenovanej služby
[root @ dns ~] # pomenovaný stav systemctl ● named.service - načítaná internetová doména Berkeley Internet (DNS): načítaná (/usr/lib/systemd/system/named.service; invalidný; prednastavenie dodávateľa: zakázané) Aktívne: neaktívne (mŕtve) [root @ dns ~] # systemctl povolenie s názvom Bol vytvorený symbolický odkaz z /etc/systemd/system/multi-user.target.wants/named.service do /usr/lib/systemd/system/named.service. [root @ dns ~] # systemctl začiatočný názov [root @ dns ~] # pomenovaný stav systemctl ● named.service - načítaná internetová doména Berkeley Internet (DNS): načítaná (/usr/lib/systemd/system/named.service; povolené; prednastavenie dodávateľa: zakázané) Aktívny: aktívny (bežiaci) od So 2017-01-28 13:22:38 EST; Pred 5 minútami Proces: 1990 ExecStart = / usr / sbin / named -u s názvom $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "áno"]; potom / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Kontrola súborov zón je zakázaná"; fi (code = exited, status = 0 / SUCCESS) Main PID: 1993 (named) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u named 28 Jan 13 22:45:1993 dns named [2001]: chyba (nedostupná v sieti) pri riešení problému „./NS/IN“: 500: 2: 53f :: f # 28 13. januára, 22:47:1993 dns s názvom [2001]: chyba (pri nedosiahnuteľnom stave v sieti) ./ DNSKEY / IN ': 500: 3: 42 :: 53 # 28 13. januára 22:47:1993 dns named [2001]: chyba (sieť nedostupná) pri riešení' ./NS/IN ': 500: 3: 42 :: 53 # 28 Jan 13 22:47:1993 dns named [2001]: error (network unreachable) resolving './DNSKEY/IN': 500: 2: 53d :: d # 28 13. január 22:47:1993 dns named [2001 ]: chyba (nedostupná v sieti) pri riešení './NS/IN': 500: 2: 53d :: d # 28 13. januára 22:47:1993 dns s názvom [2001]: chyba (v sieti nedostupná) riešenie './DNSKEY/ IN ': 3: dc35 :: 53 # 28 13. januára 22:47:1993 dns named [2001]: chyba (sieť nedostupná) pri riešení' ./NS/IN ': 3: dc35 :: 53 # 28 13. januára 22 47: 1993:2001 pomenovaný dns [7]: chyba (nedostupná v sieti) riešenie './DNSKEY/IN': 53: 53fe :: 28 # 13 22. januára 47:1993:2001 dns pomenovaný [7]: chybová (nedostupné v sieti) res olving './NS/IN': 53: 53fe :: 28 # 13 22. januára 48:1993:XNUMX dns named [XNUMX]: managed-keys-zone: Unable to fetch DNSKEY set '.': timed out [root @ dns ~] # pomenovaný systémový reštart [root @ dns ~] # pomenovaný stav systemctl ● named.service - Berkeley internetová doména názvu (DNS) Načítané: načítané (/usr/lib/systemd/system/named.service; povolené; prednastavenie dodávateľa: zakázané) Aktívny: aktívny (bežiaci) od So 2017-01-28 13:29:41 EST; Pred 1 s Proces: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (kód = ukončený, stav = 0 / ÚSPECH) Proces: 1460 ExecStart = / usr / sbin / named -u s názvom $ OPTIONS (kód = ukončený, stav = 0 / ÚSPECH) Proces: 1457 ExecStartPre = / bin / bash -c ak [! "$ DISABLE_ZONE_CHECKING" == "áno"]; potom / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Kontrola súborov zón je zakázaná"; fi (code = exited, status = 0 / SUCCESS) Main PID: 1463 (named) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u named 28 Jan 13 29:41:1463 dns named [28]: zóna spravovaných kľúčov: súbor denníka je zastaraný: odstránenie súboru denníka 13. januára 29:41:1463 dns s názvom [2]: zóna spravovaných kľúčov: načítané sériové číslo 28. januára 13 29:41:1463 dns pomenované [0]: zóna 0.in-addr.arpa/IN: načítané sériové 28 13. januára 29:41:1463 dns pomenované [0]: zóna localhost.localdomain / IN: načítané sériové 28 13. januára 29:41:1463 dns pomenované [1.0.0.127]: zóna 0.in-addr.arpa/IN: načítané sériové 28 13. januára 29:41:1463 dns pomenované [1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0]: zóna 6 .0.ip28.arpa / IN: načítaný rad 13 29. januára 41:1463:0 dns s názvom [28]: zóna localhost / IN: načítaný rad 13 29. januára 41 : 1463: 28 dns s menom [13]: všetky zóny načítané 29. januára 41:1463:28 dns s menom [13]: beží 29. januára 41:1:XNUMX dns systemd [XNUMX]: Spustená doména internetového názvu (DNS) Berkeley.
Po povolení služby pomenovaný a spustíme to po prvýkrát, výstup príkazu systemctl status pomenovaný ukazuje chyby. Keď reštartujeme službu uvedenú nižšie, pomenovaný vytvorí všetky konfiguračné súbory, ktoré sú predvolene potrebné pre jeho správnu činnosť. Preto keď vykonáme príkaz znova systemctl status pomenovaný už sa nezobrazujú žiadne chyby.
- Vážený, drahý a náročný čitateľ: ak chcete zistiť - aspoň - ktorá cesta vedie na koniec králičej nory, pokojne si prečítajte podrobné výstupy každého príkazu. 😉 Určite sa článok bude zdať trochu dlhý, ale nepopierajte, že získava na vysvetlení a jasnosti.
Upravujeme súbor /etc/named.conf
Mnoho komentárov čitateľov vyjadruje -Ja to nehovorím- Mánia, ktorú majú správcovia rôznych distribúcií systému Linux, umiestňovania systémových konfiguračných súborov do priečinkov s rôznymi názvami v závislosti od distribúcie. Majú pravdu. Čo však môžeme urobiť my, jednoduchí používatelia, ktorí tieto distribúcie používajú? Prispôsobte sa! 😉
Mimochodom, vo FreeBSD, klone UNIX® „The Origin“, sa súbor nachádza /usr/local/etc/namedb/named.conf; zatiaľ čo v Debiane, okrem rozdelenia do štyroch súborov named.conf, named.conf.options, named.conf.default-zones a named.conf.local, je v priečinku / etc / bind /. Tí, ktorí chcú vedieť, kam ho openSUSE umiestni, si prečítajte «DNS a DHCP v openSUSE 13.2 Harlequin - siete SME«. Čitatelia majú pravdu! 😉
A ako to vždy robíme: pred akoukoľvek úpravou uložíme pôvodný konfiguračný súbor pod iným menom.
[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original
Aby ste uľahčili život, namiesto generovania kľúča TSIG pre dynamické aktualizácie DNS pomocou DHCP skopírujeme rovnaký kľúč rndc.key ako dhcp.key.
[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key
[root @ dns ~] # nano /etc/dhcp.key
kľúč "dhcp-key" {algoritmus hmac-md5; tajné "OI7Vs + TO83L7ghUm2xNVKg =="; };
Takže, že pomenovaný dokáže čítať práve skopírovaný súbor, upravíme jeho skupinu vlastníkov:
[root @ dns ~] # koreň chow: pomenovaný /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 koreň s názvom 77 28. januára 16:36 /etc/dhcp.key -rw-r -----. 1 koreň s názvom 77 28. januára 13:22 /etc/rndc.key
Malé detaily, ako je ten predchádzajúci, sú tým, čo nás môže priviesť k šialenstvu, keď sa snažíme prísť na to, teraz ... kde je problém ...? s niektorými ďalšími prívlastkami, ktoré nepíšeme z úcty k Úctyhodným.
Teraz, ak - konečne! - upravíme súbor /etc/named.conf. Zmeny alebo doplnky, ktoré sme vzhľadom na originál vykonali, sú v tučne. Dobre sa pozri, koľko ich je.
[root @ dns ~] # nano /etc/named.conf
// // named.conf // // Poskytuje viazaný balík Red Hat na konfiguráciu servera ISC BIND s názvom (8) DNS // servera ako servera iba pre ukladanie do pamäte cache (iba ako prekladač localhost DNS). // // Pozri / usr / share / doc / bind * / sample / napríklad pomenované konfiguračné súbory. //
// Zoznam riadenia prístupu deklarujúci, ktoré siete budú mať možnosť konzultovať
// môj server s názvom
ACL Mired {
127.0.0.0 / 8;
192.168.10.0 / 24;
};
možnosti {
// Vyhlasujem, že pomenovaný démon tiež počúva rozhranie
// eth0, ktorý má IP: 192.168.10.5
načúvací port 53 {127.0.0.1; 192.168.10.5; };
port listen-on-v6 53 {:: 1; }; adresár "/ var / named"; výpisový súbor "/var/named/data/cache_dump.db"; štatistický súbor "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt";
// Vyhlásenie zasielateľov
// forwarders {
// 0.0.0.0;
// 1.1.1.1;
//};
// dopredu prvý;
// Povolujem iba dotazy na moje vypratané ACL
allow-query { mired; }; // Kontrola pomocou príkazu dig desdelinux.fan axfr // iba z pracovnej stanice SysAdmin a localhost // Nemáme podriadené DNS servery. Nepotrebujeme to...doteraz.
allow-transfer {localhost; 192.168.10.1; };
/ * - Ak budujete AUTORITATÍVNY server DNS, NEAKTIVUJTE rekurziu. - Ak vytvárate server RECURSIVE (ukladanie do medzipamäte) DNS, musíte povoliť rekurziu. - Ak má váš rekurzívny server DNS verejnú adresu IP, MUSÍTE povoliť riadenie prístupu, aby ste obmedzili dotazy na svojich legitímnych používateľov. Ak to neurobíte, spôsobí to, že sa váš server stane súčasťou rozsiahlych útokov na zosilnenie DNS. Implementácia BCP38 vo vašej sieti by výrazne znížila povrch takýchto útokov * /
// Chceme server AUTHORITY pre našu LAN - SME
rekurzia č;
dnssec-povoliť áno; dnssec-validácia áno; / * Cesta ku kľúču ISC DLV * / bindkeys-file "/etc/named.iscdlv.key"; adresár spravovaných kľúčov "/ var / named / dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; logovanie {channel default_debug {súbor "data / named.run"; závažnosť dynamická; }; }; zóna "." IN {tip na typ; súbor "named.ca"; }; zahrnúť "/etc/named.rfc1912.zones"; zahrnúť "/etc/named.root.key";
// Zahŕňame kľúč TSIG pre dynamické aktualizácie DNS // pomocou DHCP
zahrnúť „/etc/dhcp.key“;
// Deklarácia názvu, typu, umiestnenia a povolenia na aktualizáciu
// zón záznamov DNS // Obidve zóny sú MASTERS
zóna"desdelinux.ventilátor" {
typ master;
súbor "dynamic/db.desdelinux.ventilátor";
allow-update {key dhcp-key; };
};
zóna „10.168.192.in-addr.arpa“ {
typ master;
súbor "dynamický / db.10.168.192.in-addr.arpa";
allow-update {key dhcp-key; };
};
Skontrolujeme syntax
[root @ dns ~] # named-checkconf [root @ dns ~] #
Pretože vyššie uvedený príkaz nič nevráti, syntax je v poriadku. Ak však vykonáme ten istý príkaz, ale s možnosťou -z, výstup bude:
[root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: načítaná sériová 0 zóna localhost/IN: načítaná sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načítaná sériová 0 zóna 1.0.0.127.in-addr.arpa/IN: načítaná sériová 0 zóna 0.in-addr.arpa/IN: načítaná sériová 0 zóna desdelinux.fan/IN: načítanie z hlavného súboru dynamic/db.desdelinux.fan zlyhal: súbor nenájdená zóna desdelinux.fan/IN: nenačítané kvôli chybám. _default/desdelinux.fan/IN: súbor sa nenašiel zóna 10.168.192.in-addr.arpa/IN: načítanie z hlavného súboru dynamic/db.10.168.192.in-addr.arpa zlyhalo: súbor sa nenašiel zóna 10.168.192.in- addr.arpa/IN: nenačítal sa kvôli chybám. _default/10.168.192.in-addr.arpa/IN: súbor sa nenašiel
Samozrejme ide o chyby, ktoré sa vyskytujú, pretože sme pre našu doménu ešte nevytvorili registračné zóny DNS.
- Ďalšie informácie o príkaze Named-checkconf, bežať muž menom-checkconf, než vyhľadáte akékoľvek ďalšie informácie na internete. Uisťujem vás, že vám to ušetrí veľa času.
Vytvoríme súbor priamej zóny desdelinux.ventilátor
... nie najskôr bez trochy teórie. 😉
Ako šablónu na vytvorenie súboru s údajmi o zóne si môžeme vziať /var/named/named.emptyalebo /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. Oba sú identické.
[root @ dns ~] # mačka /var/named/named.empty $ TTL 3H @ IN SOA @ rname.invalid. (0; sériové 1D; obnovenie 1H; opakovanie 1W; uplynutie platnosti 3H); minimálny alebo negatívny čas ukladania do vyrovnávacej pamäte, ktorý zostáva aktívny NS @ A 127.0.0.1 AAAA :: 1
Čas života - Čas žiť TTL Záznam SOA
Zoberme si zátvorku na vysvetlenie TTL - Čas žiť z registra SOA - začiatok oprávnenia hlavnej zóny. Je zaujímavé poznať ich význam, keď chceme upraviť ktorúkoľvek z ich hodnôt.
$ TTL: Čas života - Čas žiť pre všetky záznamy v súbore, ktoré nasledujú po deklarácii (ale predchádzajú akejkoľvek inej deklarácii $ TTL) a nemajú výslovnú deklaráciu TTL.
sériový: Sériové číslo údajov zóny. Zakaždým, keď manuálne upravujeme záznam DNS v zóne, musíme tento počet zvýšiť o 1, najmä ak máme podradené alebo sekundárne servery. Zakaždým, keď sekundárny alebo podriadený server DNS kontaktuje hlavný server, požiada o sériové číslo hlavných údajov. Ak je sériové číslo slave nižšie, potom sú dáta pre túto zónu na podradenom serveri neaktuálne a otrok vykoná zónový prenos, aby sa sám aktualizoval.
Obnoviť: Poskytuje podriadenému serveru časový interval, v ktorom by mal skontrolovať, či sú jeho údaje aktuálne, pokiaľ ide o hlavný server.
skúsiť znova: Ak hlavný server nie je k dispozícii - pretože sa povedzme zhoršil - otrokovi po časovom intervale Obnoviť, skúsiť znova Povie otrokovi, ako dlho má čakať, kým sa znova pokúsi kontaktovať svojho pána.
vyprší: Ak sa podriadený nemôže po určitú dobu spojiť so svojim nadriadeným vypršíPokiaľ bol teda vzťah medzi otrokom a pánom zmanipulovaný a otrokovému serveru nezostáva nič iné, ako vypršať platnosť danej zóny. Vypršanie platnosti zóny podradeným serverom DNS znamená, že prestane reagovať na dotazy DNS súvisiace s touto zónou, pretože dostupné údaje sú príliš staré na to, aby boli užitočné.
- Vyššie uvedené nás učí nepriamo a naloženého veľkým zdravým rozumom - najmenším zo zmyslov -, že ak nepotrebujeme pre fungovanie nášho SME podriadené servery DNS, neimplementujeme ich, pokiaľ to nie je nevyhnutne potrebné. Pokúsme sa vždy prejsť od jednoduchého k zložitému.
minimálne: Vo verziách pred ZÁVÄZOK 8.2, posledný záznam SOA Tiež označuje Predvolenú životnosť - Predvolený čas života, a negatívna životnosť cache - Negatívny čas na uloženie do pamäte cache pre Zónu. Tento čas sa týka všetkých negatívnych odpovedí autoritatívnych serverov pre zónu.
Súbor zóny /var/named/dynamic/db.desdelinux.ventilátor
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.ventilátor $ TTL 3H @ IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. (1; sériové 1D; obnovenie 1H; opakovanie 1W; expirácia 3H); minimálne alebo ; Negatívny čas ukladania do vyrovnávacej pamäte; @ IN NS dns.desdelinux.ventilátor. @ IN MX 10 e-mail.desdelinux.ventilátor. @V TXT"DesdeLinux, jeho blog venovaný slobodnému softvéru "; Sysadmin v A 192.168.10.1 AD-DC V A 192.168.10.3 FILESERVER V A 192.168.10.4 DNS V A 192.168.10.5 PROXYWEB V A 192.168.10.6SER A 192.168.10.7 pošta IN A 192.168.10.8
Skontrolujeme /var/named/dynamic/db.desdelinux.ventilátor
[root@dns ~]# pomenovaná-kontrolná zóna desdelinux.fan /var/named/dynamic/db.desdelinux.ventilátor zóna desdelinux.fan/IN: načítaný sériový 1 OK
Vytvoríme súbor reverznej zóny 10.168.192.in-addr.arpa
- Záznam SOA tejto zóny je rovnaký ako záznam priamej zóny bez zohľadnenia záznamu MX..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa $ TTL 3H @ IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. (1; sériové 1D; obnovenie 1H; opakovanie 1W; expirácia 3H); minimálne alebo ; Negatívny čas ukladania do vyrovnávacej pamäte; @ IN NS dns.desdelinux.ventilátor. ; 1 IN PTR sysadmin.desdelinux.ventilátor. 3 V PTR ad-dc.desdelinux.ventilátor. 4 V súborovom serveri PTR.desdelinux.ventilátor. 5 V PTR dns.desdelinux.ventilátor. 6 V PTR proxyweb.desdelinux.ventilátor. 7 V blogu PTR.desdelinux.ventilátor. 8 IN PTR ftpserver.desdelinux.ventilátor. 9 V PTR pošte.desdelinux.ventilátor. [root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa zóna 10.168.192.in-addr.arpa/IN: načítaný rad 1 OK
Pred reštartovaním menovaného skontrolujeme jeho konfiguráciu
- Pokiaľ si nebudeme istí, že konfiguračné súbory pomenovaného named.conf a jeho súbory zón nie sú správne nakonfigurované, navrhujeme nereštartovať pomenovaného démona. Ak to urobíme a neskôr upravíme súbor zóny, musíme zvýšiť sériové číslo upravenej zóny o 1.
- Pozrime sa na „.“ na konci doménových mien a mien hostiteľov.
[root @ dns ~] # named-checkconf [root @ dns ~] # named-checkconf -z zóna localhost.localdomain/IN: načítaná sériová 0 zóna localhost/IN: načítaná sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načítaná sériová 0 zóna 1.0.0.127.in-addr.arpa/IN: načítaná sériová 0 zóna 0.in-addr.arpa/IN: načítaná sériová 0 zóna desdelinux.fan/IN: načítaná sériová 1 zóna 10.168.192.in-addr.arpa/IN: načítaná sériová 1
Celá aktuálna pomenovaná konfigurácia
Kvôli prehľadnosti a úplnosti článku poskytneme úplný výstup príkazu named -checkconf -zp:
[root @ dns ~] # named-checkconf -zp
zóna localhost.localdomain/IN: načítaná sériová 0 zóna localhost/IN: načítaná sériová 0 zóna 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa/IN: načítaná sériová 0 zóna 1.0.0.127.in-addr.arpa/IN: načítaná sériová 0 zóna 0.in-addr.arpa/IN: načítaná sériová 0 zóna desdelinux.fan/IN: načítaná zóna sériového 1 10.168.192.in-addr.arpa/IN: načítané možnosti sériového 1 { bindkeys-file "/etc/named.iscdlv.key"; session-keyfile "/run/named/session.key"; adresár "/var/named"; dump-file "/var/named/data/cache_dump.db"; port počúvania 53 { 127.0.0.1/32; 192.168.10.5/32; }; listen-on-v6 port 53 { ::1/128; }; adresár spravovaných-kľúčov "/var/named/dynamic"; memstatistics-file "/var/named/data/named_mem_stats.txt"; pid-file "/run/named/named.pid"; štatistický-súbor "/var/named/data/named_stats.txt"; dnssec-enable áno; dnssec-validácia áno; rekurzia nie; allow-query { "sledoval"; }; povoliť prenos { 192.168.10.1/32; }; }; acl "sledoval" { 127.0.0.0/8; 192.168.10.0/24; }; logging { channel "default_debug" { file "data/named.run"; dynamická závažnosť; }; }; kľúč "dhcp-key" { algoritmus "hmac-md5"; tajné "OI7Vs+TO83L7ghUm2xNVKg=="; }; zóna "." IN { typ nápoveda; súbor "named.ca"; }; zóna "localhost.localdomain" IN { typ master; súbor "named.localhost"; allow-update { "none"; }; }; zóna "localhost" IN { typ master; súbor "named.localhost"; allow-update { "none"; }; }; zóna "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { typ master; súbor "named.loopback"; allow-update { "none"; }; }; zóna "1.0.0.127.in-addr.arpa" IN { typ master; súbor "named.loopback"; allow-update { "none"; }; }; zóna "0.in-addr.arpa" IN { typ master; súbor "named.empty"; allow-update { "none"; }; }; zóna"desdelinux.fan" { typ master; súbor "dynamic/db.desdelinux.fan"; allow-update { kľúč "dhcp-key"; }; }; zóna "10.168.192.in-addr.arpa" { typ master; súbor "dynamic/db.10.168.192.in-addr.arpa "; allow-update { key "dhcp-key"; }; }; managed-keys { "." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVzfQUTf6wBY58 O0g 0NfnfL8MTJRkxoX bfDaUeVPQuYEhg0NZWAJQ2VnMVDxP/VHL37M/QZxkjf9/Efucp496gaD F5dsV2DoBQzgul6sGIcGOYl6OyQdXageuAd68rel KBP0dfwhYB1N9knNnulq QxA +Uk7ihz6="; };
- Podľa postupu úpravy pomenovaný.konf Podľa našich potrieb a kontroly, a vytvorte každý súbor zóny a skontrolujte ich, pochybujeme, že budeme musieť čeliť veľkým problémom s konfiguráciou. Nakoniec si uvedomíme, že je to chlapská hra s mnohými konceptmi a zložitou syntaxou,
Kontroly priniesli uspokojivé výsledky, preto môžeme príkaz BIND reštartovať - pomenovaný.
Reštartujeme meno a skontrolujeme jeho stav
[root @ dns ~] # systemctl reštart s názvom.service [root @ dns ~] # systemctl status named.service
Ak sa nám na výstupe posledného príkazu vyskytne akýkoľvek druh chyby, musíme reštartovať príkaz pomenovaný.služba a znova skontrolujte postavenie. Ak chyby zmizli, služba sa úspešne spustila. V opačnom prípade musíme vykonať dôkladnú kontrolu všetkých upravených a vytvorených súborov a postup opakovať.
Správny výstup stavu by mal byť:
[root @ dns ~] # systemctl status named.service ● named.service - Berkeley internetová doména názvu (DNS) Načítané: načítané (/usr/lib/systemd/system/named.service; povolené; prednastavenie dodávateľa: zakázané) Aktívne: aktívny (beh) od nedele 2017-01-29 10:05:32 EST; Pred 2 min 57 s Proces: 1777 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (kód=ukončený, stav=0/ÚSPECH) Proces: 1788 ExecStart=/usr/sbin/named -u s názvom $OPTIONS (kód=ukončený, stav=0/ÚSPECH) Proces: 1786 ExecStartPre =/bin/bash -c ak [ ! "$DISABLE_ZONE_CHECKING" == "áno" ]; potom /usr/sbin/named-checkconf -z /etc/named.conf; else echo "Kontrola súborov zóny je vypnutá"; fi (kód=ukončené, stav=0/ÚSPECH) Hlavné PID: 1791 (pomenované) CGroup: /system.slice/named.service └─1791 /usr/sbin/named -u Named Jan 29 10:05:32 dns named [1791]: zóna 1.0.0.127.in-addr.arpa/IN: načítaný sériový 0. január 29 10:05:32 dns s názvom[1791]: zóna 10.168.192.ip1.arpa/IN : načítaný seriál 29 10. január 05:32:1791 dns s názvom[1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0]: zóna desdelinux.fan/IN: načítaný sériový 1. január 29 10:05:32 dns pomenovaný[1791]: zóna localhost.localdomain/IN: načítaný sériový 0. január 29 10:05:32 dns pomenovaný[1791]: zóna localhost/IN: načítaný seriál 0 29. január 10:05:32 dns s názvom[1791]: všetky zóny načítané 29. januára 10:05:32 dns s názvom [1791]: bezat 29. januára 10:05:32 dns systemd [1]: Spustila sa internetová doména názvu (DNS) spoločnosti Berkeley. 29. januára 10:05:32 dns s názvom [1791]: zóna 10.168.192.in-addr.arpa/IN: zasielanie oznámení (sériové číslo 1)
Kontroly
Kontroly je možné spustiť na rovnakom serveri alebo na počítači pripojenom k sieti LAN. Radšej ich robíme z tímu sysadmin.desdelinux.ventilátor ktorému sme dali výslovné povolenie na uskutočnenie zónových prevodov. Súbor / Etc / resolv.conf tohto tímu je:
buzz @ sysadmin: ~ $ cat /etc/resolv.conf # Vygenerované vyhľadávaním v NetworkManager desdelinux.menný server fanúšikov 192.168.10.5 buzz@sysadmin:~$ dig desdelinux.ventilátor axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.ventilátor axfr ;; globálne možnosti: +cmd desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. 1 86400 3600 604800 10800 desdelinux.ventilátor. 10800 V NS dns.desdelinux.ventilátor. desdelinux.ventilátor. E-mail 10800 IN MX 10.desdelinux.ventilátor. desdelinux.ventilátor. 10800 V TXT"DesdeLinux, váš blog venovaný slobodnému softvéru“ ad-dc.desdelinux.ventilátor. 10800 V blogu 192.168.10.3.desdelinux.ventilátor. 10800 IN A 192.168.10.7 dns.desdelinux.ventilátor. 10800 IN NA súborový server 192.168.10.5.desdelinux.ventilátor. 10800 V ftpserveri 192.168.10.4.desdelinux.ventilátor. 10800 IN A 192.168.10.8 mail.desdelinux.ventilátor. 10800 IN A 192.168.10.9 proxyweb.desdelinux.ventilátor. 10800 V A 192.168.10.6 sysadmin.desdelinux.ventilátor. 10800 DO 192.168.10.1 desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. 1 86400 3600 604800 10800; Čas dopytu: 0 ms ;; SERVER: 192.168.10.5#53(192.168.10.5) ;; KEDY: Ne 29. január 11:44:18 EST 2017 ;; Veľkosť XFR: 13 záznamov (správy 1, 385 bajtov) buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr ; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; globálne možnosti: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.ventilátor. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.ventilátor. 3.10.168.192.in-addr.arpa. 10800 V PTR ad-dc.desdelinux.ventilátor. 4.10.168.192.in-addr.arpa. súborový server 10800 IN PTR.desdelinux.ventilátor. 5.10.168.192.in-addr.arpa. 10800 V PTR dns.desdelinux.ventilátor. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.ventilátor. 7.10.168.192.in-addr.arpa. 10800 IN PTR blog.desdelinux.ventilátor. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.desdelinux.ventilátor. 9.10.168.192.in-addr.arpa. 10800 V PTR pošta.desdelinux.ventilátor. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800; Čas dopytu: 0 ms ;; SERVER: 192.168.10.5#53(192.168.10.5) ;; KEDY: Ne 29. január 11:44:57 EST 2017 ;; Veľkosť XFR: 11 záznamov (správy 1, 352 bajtov) buzz@sysadmin:~$ kopať v SOA desdelinux.ventilátor buzz@sysadmin:~$ dig IN MX desdelinux.fanúšik buzz@sysadmin:~$ dig IN TXT desdelinux.ventilátor buzz @ sysadmin: ~ $ hostiteľský dns dns.desdelinux.fanúšik má adresu 192.168.10.5 buzz @ sysadmin: ~ $ hostiteľský sysadmin sysadmin.desdelinux.fanúšik má adresu 192.168.10.1 ... A akékoľvek ďalšie kontroly, ktoré potrebujeme
- Zatiaľ máme v našej sieti SME základ pre server DNS. Dúfame, že sa vám celý postup, ktorý bol dosť jednoduchý, páčil, však? 😉
Inštalujeme a konfigurujeme DHCP
[root @ dns ~] # yum install dhcp
Načítané doplnky: najrýchlejšie zrkadlá, jazykové balíčky centos-base | 3.4 kB 00:00:00 aktualizácie Centos | 3.4 kB 00:00:00 Načítanie rýchlostí zrkadla z hostiteľského súboru v medzipamäti Riešenie závislostí -> Spustenie testu transakcie ---> Musí byť nainštalovaný balík dhcp.x86_64 12: 4.2.5-42.el7.centos -> Riešenie závislostí ukončené Vyriešené závislosti ============================================== ================================================== =================================== Veľkosť úložiska verzie architektúry balíka ================ ================================================== ================================================== ======================= Inštalácia: dhcp x86_64 12: 4.2.5-42.el7.centos-base 511k Zhrnutie transakcií ==== ================================================== ================================================== ============================ Inštalácia 1 balíka Celková veľkosť sťahovania: 511k Inštalovaná veľkosť: 1.4 M Je to v poriadku [y / d / N]: y Sťahovanie balíkov: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Spustená kontrola transakcie Spustený test transakcie Test transakcie bol úspešný Spustená transakcia Inštalácia: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Kontrola: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Nainštalované: dhcp.x86_64 12: 4.2.5-42.el7.centos Hotovo!
[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # Konfiguračný súbor servera DHCP. # pozri /usr/share/doc/dhcp*/dhcpd.conf.example # pozri dhcpd.conf(5) manuálovú stránku # ddns-update-style interim; ddns-updates on; ddns-názov domény"desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; ignorovať klientske aktualizácie; autoritatívne; voľba ip-preposielanie vypnutá; voľba názov-domény "desdelinux.fan"; # option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; vrátane "/etc/dhcp.key" zóna desdelinux.ventilátor. { primárne 127.0.0.1; kľúč dhcp-key; } zóna 10.168.192.in-addr.arpa. { primárne 127.0.0.1; kľúč dhcp-key; } redlocal zdieľanej siete { podsieť 192.168.10.0 maska siete 255.255.255.0 { voliteľné smerovače 192.168.10.1; možnosť maska podsiete 255.255.255.0; možnosť vysielacia adresa 192.168.10.255; možnosť servery doménových mien 192.168.10.5; možnosť netbios-name-servers 192.168.10.5; rozsah 192.168.10.30 192.168.10.250; } } # KONIEC dhcpd.conf
[root @ dns ~] # dhcpd -t
Konzorcium internetových systémov DHCP 4.2.5 Autorské práva 2004 - 2013 Konzorcium internetových systémov. Všetky práva vyhradené. Ďalšie informácie nájdete na stránke https://www.isc.org/software/dhcp/ Nehľadajte LDAP, pretože v konfiguračnom súbore neboli zadané servery ldap-server, ldap-port a ldap-base-dn
[root @ dns ~] # systemctl povoliť dhcpd
Vytvoril sa symbolický odkaz z /etc/systemd/system/multi-user.target.wants/dhcpd.service do /usr/lib/systemd/system/dhcpd.service.
[root @ dns ~] # systemctl štart dhcpd
[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - načítaný démon servera DHCPv4: načítaný (/usr/lib/systemd/system/dhcpd.service; povolený; predvoľba dodávateľa: vypnutý) aktívny: aktívny (spustený) od dom. 2017 01:29:12 ITS T; Pred 04 s Dokumenty: muž: dhcpd (59) muž: dhcpd.conf (23) Hlavné PID: 8 (dhcpd) Stav: „Odosielanie paketov ...“ CGroup: /system.slice/dhcpd.service └─5 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid 2381. januára 2381:29:12 dns dhcpd [04]: Internet Systems Consortium DHCP Server 59 2381. januára 4.2.5 : 29: 12 dns dhcpd [04]: Copyright 59-2381 Internet Systems Consortium. 2004. januára 2013:29:12 dns dhcpd [04]: Všetky práva vyhradené. 59. januára 2381:29:12 dns dhcpd [04]: Informácie nájdete na https://www.isc.org/software/dhcp/ 59. januára 2381:29:12 dns dhcpd [04]: Neprehľadáva LDAP od ldap -server, ldap-port a ldap-base-dn neboli špecifikované v konfiguračnom súbore 59. januára 2381:29:12 dns dhcpd [04]: Napísal 59 leasingov do leasingového súboru. 2381. januára 0:29:12 dns dhcpd [04]: Počúvanie na LPF / eth59 / 2381: 0: 52: 54: 00: 12 / redlocal 17. januára 04:29:12 dns dhcpd [04]: Posielanie na LPF / eth59 / 2381: 0: 52: 54: 00: 12 / redlocal 17. januára 04:29:12 dns dhcpd [04]: Posielanie na Socket / fallback / fallback-net 59. januára 2381:29:12 dns systemd [04]: Spustené Démon servera DHCPv59.
Čo treba ešte urobiť?
Jednoduché. Spustite Windows 7 alebo iného klienta so slobodným softvérom a začnite testovať a kontrolovať. Urobili sme to s dvoma klientmi: sedem.desdelinux.ventilátor y suse-desktop.desdelinux.ventilátor. Kontroly boli tieto:
buzz @ sysadmin: ~ $ hostiteľ sedem sedem.desdelinux.fanúšik má adresu 192.168.10.30 buzz@sysadmin:~$ hostiteľ sedem.desdelinux.ventilátor sedem.desdelinux.fanúšik má adresu 192.168.10.30 buzz@sysadmin:~$ kopať v TXT sedem.desdelinux.ventilátor ...;; SEKCIA OTÁZKY: ;sedem.desdelinux.ventilátor. V TXT ;; SEKCIA ODPOVEĎ: sedem.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„....
Tím „sedem“ premenujeme na „LAGER“ a reštartujeme. Po reštartovaní nového LAGERU skontrolujeme:
buzz @ sysadmin: ~ $ hostiteľ sedem Hostiteľ sedem sa nenašiel: 5 (ZAMIETNUTÝ) buzz@sysadmin:~$ hostiteľ sedem.desdelinux.ventilátor Hostiteľ sedem.desdelinux.ventilátor nenájdený: 3 (NXDOMAIN) bzučať@ sysadmin: ~ $ hostiteľský ležiak ležiak.desdelinux.fanúšik má adresu 192.168.10.30 bzučať@sysadmin:~$host ležiak.desdelinux.ventilátor ležiak.desdelinux.fanúšik má adresu 192.168.10.30 buzz@sysadmin:~$ vykopať TXT ležiak.desdelinux.ventilátor ...;; SEKCIA OTÁZKY: ;ležiak.desdelinux.ventilátor. V TXT ;; SEKCIA ODPOVEĎ: ležiak.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„....
Pokiaľ ide o klienta suse-desktop:
buzz @ sysadmin: ~ $ host suse-dektop Hostiteľ suse-dektop nebol nájdený: 5 (ZAMIETNUTÝ) buzz @ sysadmin: ~ $ hostiteľ suse-desktop suse-desktop.desdelinux.fanúšik má adresu 192.168.10.33 buzz@sysadmin:~$ hostiteľ suse-desktop.desdelinux.ventilátor suse-desktop.desdelinux.fanúšik má adresu 192.168.10.33 buzz @ sysadmin: ~ $ hostiteľ 192.168.10.33 33.10.168.192.in-addr.arpa ukazovateľ názvu domény suse-desktop.desdelinux.ventilátor. buzz @ sysadmin: ~ $ hostiteľ 192.168.10.30 30.10.168.192.in-addr.arpa ukazovateľ názvu domény LAGER.desdelinux.ventilátor.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33 ...;; SEKCIA OTÁZKY: ;33.10.168.192.in-addr.arpa. IN PTR ;; SEKCIA ODPOVED: 33.10.168.192.in-addr.arpa. 3600 IN PTR suse-desktop.desdelinux.ventilátor. ;; SEKCIA ÚRADU: 10.168.192.in-addr.arpa. 10800 V NS dns.desdelinux.ventilátor. ;; DOPLNKOVÁ SEKCIA: dns.desdelinux.ventilátor. 10800 DO 192.168.10.5 .... buzz@sysadmin:~$ kopať do TXT suse-desktop.desdelinux.ventilátor.... ;suse-desktop.desdelinux.ventilátor. V TXT ;; SEKCIA ODPOVEĎ: suse-desktop.desdelinux.ventilátor. 3600 V TXT "31b78d287769160c93e6dca472e9b46d73" ;; ODDIEL ÚRADU: desdelinux.ventilátor. 10800 V NS dns.desdelinux.ventilátor. ;; DOPLNKOVÁ SEKCIA: dns.desdelinux.ventilátor. 10800 DO 192.168.10.5 ....
Spustíme tiež nasledujúce príkazy
[root@dns ~]# dig desdelinux.ventilátor axfr ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> desdelinux.ventilátor axfr ;; globálne možnosti: +cmd desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. 6 86400 3600 604800 10800 desdelinux.ventilátor. 10800 V NS dns.desdelinux.ventilátor. desdelinux.ventilátor. E-mail 10800 IN MX 10.desdelinux.ventilátor. desdelinux.ventilátor. 10800 V TXT"DesdeLinux, váš blog venovaný slobodnému softvéru“ ad-dc.desdelinux.ventilátor. 10800 V blogu 192.168.10.3.desdelinux.ventilátor. 10800 IN A 192.168.10.7 dns.desdelinux.ventilátor. 10800 IN NA súborový server 192.168.10.5.desdelinux.ventilátor. 10800 V ftpserveri 192.168.10.4.desdelinux.ventilátor. 10800 V A 192.168.10.8 LEŽIAKU.desdelinux.ventilátor. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9„LEŽIAK.desdelinux.ventilátor. 3600 V e-maile 192.168.10.30.desdelinux.ventilátor. 10800 IN A 192.168.10.9 proxyweb.desdelinux.ventilátor. 10800 V A 192.168.10.6 suse-desktop.desdelinux.ventilátor. 3600 IN TXT"31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.ventilátor. 3600 V A 192.168.10.33 sysadmin.desdelinux.ventilátor. 10800 DO 192.168.10.1 desdelinux.ventilátor. 10800 IN SOA dns.desdelinux.ventilátor. root.dns.desdelinux.ventilátor. 6 86400 3600 604800 10800
Vo výstupe vyššie sme zvýraznili ďalej tučne je TTL -v sekundách- pre počítače s adresami IP pridelenými službou DHCP, tie, ktoré majú explicitné vyhlásenie o TTL 3600 dané protokolom DHCP. Pevné adresy IP sa riadia $ TTL 3H -3 hodiny = 10800 XNUMX sekúnd - deklarované v zázname SOA každého súboru zóny.
Rovnakým spôsobom môžu skontrolovať spätnú zónu.
[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr
Ďalšie mimoriadne zaujímavé príkazy sú:
[root@dns ~]# name-journalprint /var/named/dynamic/db.desdelinux.fan.jnl [root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl [root @ dns ~] # journalctl -f
Ručná úprava súborov Zones
Potom, čo DHCP vstúpi do hry dynamickej aktualizácie zónových súborov systému Windows pomenovanýAk budeme niekedy potrebovať manuálne upraviť súbor zóny, musíme vykonať nasledujúci postup, ale nie skôr, ako sa dozvieme niečo viac o prevádzke tohto pomocného programu. rndc na kontrolu servera mien.
[root @ dns ~] # man rndc
....
zmraziť [zóna [trieda [zobraziť]]]
Pozastaviť aktualizácie dynamickej zóny. Ak nie je zadaná žiadna zóna, potom sú všetky zóny pozastavené. To umožňuje vykonať manuálne úpravy zóny bežne aktualizovanej dynamickou aktualizáciou. Tiež to spôsobí synchronizáciu zmien v súbore denníka s hlavným súborom. Pokiaľ je zóna zamrznutá, všetky pokusy o dynamickú aktualizáciu budú odmietnuté.
topiť [zóna [trieda [zobraziť]]]
Povoliť aktualizácie zamrznutej dynamickej zóny. Ak nie je zadaná žiadna zóna, potom sú povolené všetky zamrznuté zóny. To spôsobí, že server znovu načíta zónu z disku a po dokončení načítania znova povolí dynamické aktualizácie. Po rozmrazení zóny už dynamické aktualizácie nebudú odmietané. Ak sa zóna zmenila a používa sa voľba ixfr-from-differences, potom sa súbor denníka aktualizuje tak, aby odrážal zmeny v zóne. V opačnom prípade, ak sa zóna zmenila, bude existujúci súbor denníka odstránený. ....
Čo, myslel si si, že prepíšem celý manuál? ... kúsok a idú autom. Zvyšok nechám na vás. 😉
v podstate:
- rndc freeze [zóna [trieda [zobraziť]]], pozastaví dynamickú aktualizáciu zóny. Ak jeden nie je uvedený, všetky zmrazia. Príkaz umožňuje manuálnu úpravu zamrznutej zóny alebo všetkých zón. Počas zmrazenia bude akákoľvek dynamická aktualizácia odmietnutá.
- rndc topiť [zóna [trieda [zobraziť]]], umožňuje dynamické aktualizácie v predtým zamrznutej zóne. Server DNS znovu načíta súbor zóny z disku a dynamické aktualizácie sa znova povolia po dokončení načítania.
Upozornenia, ktoré treba urobiť pri manuálnej úprave súboru zóny? To isté, ako keby sme ho tvorili, bez toho, aby sme zabudli zvýšiť sériové číslo o 1 resp sériový pred uložením súboru s poslednými zmenami.
príklad:
[root @ dns ~] # rndc zmrazenie desdelinux.ventilátor
[root@dns ~]# nano /var/named/dynamic/db.desdelinux.ventilátor
Súbor zóny upravujem z akéhokoľvek dôvodu, či už je to potrebné alebo nie. Zmeny ukladám
[root @ dns ~] # rndc topiť desdelinux.ventilátor
Spustilo sa opätovné načítanie a topenie zóny. Výsledok skontrolujte v protokoloch.
[root @ dns ~] # journalctl -f
29. január 14:06:46 dns s názvom[2257]: zóna rozmrazovania 'desdelinux.fan/IN': úspech
29. január 14:06:46 dns s názvom[2257]: zóna desdelinux.fan/IN: sériová zóna (6) nezmenená. zónu nemusí preniesť na otrokov.
29. január 14:06:46 dns s názvom[2257]: zóna desdelinux.fan/IN: načítané sériové 6
Chyba v predchádzajúcom výstupe, ktorá je na konzole zobrazená červenou farbou, je spôsobená skutočnosťou, že som „zabudol“ zvýšiť sériové číslo o 1. Keby som postupoval správne, bol by to výstup:
[root @ dns ~] # journalctl -f -- Záznamy začínajú v nedeľu 2017 01:29:08 EST. -- 31. január 32:29:14 dns s názvom[06]: zóna desdelinux.fan/IN: načítaný sériový 6. január 29 14:10:01 dns systemd[1]: Začala relácia 43 používateľa root. 29. január 14:10:01 dns systemd[1]: Začína sa relácia 43 používateľa root. 29. január 14:10:01 dns CROND[2693]: (root) CMD (/usr/lib64/sa/sa1 1 1) 29. január 14:10:45 dns pomenovaný[2257]: prijatý príkaz „freeze“ riadiaceho kanála desdelinux.fan' 29. január 14:10:45 dns s názvom[2257]: mrazivá zóna 'desdelinux.fan/IN': úspech 29. januára 14:10:58 dns named[2257]: prijatý príkaz riadiaceho kanála 'rozmrazenie desdelinux.fan' 29. január 14:10:58 dns s názvom[2257]: zóna rozmrazovania 'desdelinux.fan/IN': úspech 29. jan. 14:10:58 dns s názvom[2257]: zóna desdelinux.fan/IN: súbor denníka je zastaraný: odstránenie súboru denníka 29. januára 14:10:58 dns name[2257]: zone desdelinux.fan/IN: načítané sériové 7
- Priatelia čitatelia, opakujem, že výstupy príkazov si musíte prečítať pozorne. Za niečo, čo jeho vývojári strávili toľko práce programovaním každého príkazu, bez ohľadu na to, aké je to jednoduché.
Zhrnutie
Doteraz sme sa venovali implementácii dvojice DNS - DHCP, dôležitým a rozhodujúcim službám pre dobrý výkon našej siete SME, s odkazom na udeľovanie dynamických adries cez DHCP a rozlíšenie názvov počítačov a domén cez DNS.
Vážne dúfame, že sa vám celý postup páčil rovnako ako nám. Aj keď sa používanie konzoly môže javiť ako zložitejšie, implementácia služby v systéme UNIX® / Linux s jej pomocou je omnoho ľahšia a vzdelanejšia.
Odpúšťajú mi akúkoľvek nesprávnu interpretáciu pojmov, ktoré boli myslené, vytvorené, napísané, prepracované, prepísané a publikované v jazyku Shakespeara, nie Cervantesa. 😉
Ďalšia dodávka
Myslím si, že trochu viac toho istého - s teoretickými dodatkami k záznamom DNS - ale v Debiane. Nemôžeme zabudnúť na túto distribúciu, však?
Ďakujem pekne za prácu, ktorú chválite pri písaní takýchto plodných článkov. Bude to pre mňa veľmi užitočné
A veľmi vám ďakujem, Cristian, že ste ma sledovali a za hodnotenie tohto príspevku. Úspechy!
Po prvom pohľade na tento nový príspevok Federica je opäť zrejmá veľká profesionalita zaznamenaná v rámci série „PYMES“; navyše k veľkým detailom, ktoré ilustrujú vašu doménu na dvoch najdôležitejších službách (DNS a DHCP) akejkoľvek siete. Pri tejto príležitosti a na rozdiel od mojich predchádzajúcich komentárov mám ešte druhý komentár čakajúci po tom, čo som v praxi uviedol to, čo som uviedol v tomto príspevku.
Žiadne komentáre, pa 400! Fico ďakujem, pretože veľmi dobre vieš, že som čítal tvoje príspevky a nemôžeme požadovať viac. Začínate s veľmi dobrou organizáciou, od spôsobu inštalácie a nastavenia osobnej plochy používateľa, pracovná stanica je základňou, ide o zmysel existencie týchto sieťových služieb, ktorý veľmi dobre vysvetľujete. Liezli ste a hoci je pravda, že úroveň sa zvyšuje, je pravda, že ste písali a publikovali pre tých, ktorí sú menej ako tí, ktorí začínajú, pre tých, ktorí sú už nejaký čas ako ja a pre tých najvyspelejších.
Postupom času som dospel k záveru, že viem, že už mnohí prišli, teóriu, teóriu, ktorú nás stojí toľko, aby sme si ju zaobstarali pre prostý fakt, že sa nám nechce čítať, pretože vykonávanie je už oveľa jednoduchšie, keď vieme, čo robíme, prečo ???, otázky, kde hľadať a ako sa dostať z chyby, ktorá tak silno bolí, keď ani nevieme, odkiaľ pochádzajú, stojí za nadbytočnosť.
Z tohto dôvodu nechcem, aby ste zanechali tie teoretické prvky, ktoré o záznamoch DNS zahrniete do nasledujúcej publikácie, ako ste oznámili, tým menej, pokiaľ ide o drahého a milovaného DEBIANA.
VEĽMI ĎAKUJEME a čakáme.
Vynikajúci ako vždy Fico! Čakám na verziu Debianu, roky s tým distrom hrám všetko.
Wong: Váš názor po prečítaní stojí za veľa. Čakám na vaše komentáre, keď otestujete obsah, pretože viem, že to tak robíte radi. 😉
Crespo: Ako vždy, vaše pripomienky sú veľmi dobre prijaté. Vidím, že ste zachytili všeobecnú líniu, ktorú som nastolil v zložení tejto série. Dúfam, že tak ako vy, mnohí si to už všimli. Ďakujeme za váš komentár.
Dhunter: Rád vás znova čítam! Nebudete musieť dlho čakať. Najneskôr do pondelka - alebo skôr - bude zverejnenie dokončené. Nemyslite si, že je pre mňa ľahké prebrať tri rôzne distribúcie, ale vážený čitateľ to žiada. Nielen Debian a Ubuntu, ale traja orientovaní na malé a stredné podniky.
Ak ste publikovali, je to preto, že môžete, podporujeme vás a vieme, že sa budete riadiť týmto smerom.
Ako lovec čakám s ostrými zubami na vydanie Debianu. Bolo by pekné, keby ste sa trochu venovali NTP. Sl2 a veľké objatie. Keby ma moji učitelia naučili všetko také, HAHAJJA, platinový titul, HAHAJJA.
Úroveň podrobnosti výstupov príkazov je nevyhnutná na preukázanie ich dôležitosti. Veľa hovoria. Je pravda, že len málo článkov sa venuje tejto úrovni podrobností, pretože si myslia, že by to boli dlhé a ťažké články na čítanie. Súčasťou práce SysAdminu je prečítať tieto ťažké a podrobné výstupy, a to nielen tvárou v tvár problému, ale aj kontrolám.
Dobrý deň Federico, už som sľúbil, že po dôkladnom preštudovaní daného príspevku napíšem niekoľko komentárov; No, ideme ďalej:
- Skvelá technika namiesto generovania kľúča TSIG pre dynamické aktualizácie DNS pomocou protokolu DHCP, kopírovania rovnakého kľúča rndc.key ako dhcp.key, je zjavne „taká jednoduchá“ a ukazuje, že cieľom nie je iba technickosť protokolu HOWTO-INSTALL-DNS - & - DHCP, ale učí nás myslieť, 5 HVIEZD PRE AUTORA.
– Veľmi zaujímavé v konfiguračnom súbore DNS s názvom.conf je prítomnosť riadku «allow-transfer { localhost; 192.168.10.1; };» otestovať doménu «desdelinux.fan“ iba z pracovnej stanice SysAdmin a localhost (samotný server DNS) a okrem vloženia kľúča TSIG na aktualizáciu DNS z DHCP.
- Veľmi dobré vytvorenie priamej a inverznej zóny DNS spolu s „podrobným“ vysvetlením ich typov záznamov, okrem vykonania príkazu „# named-checkconf -zp“ skontroluje celú syntax pomenovaného pred jeho tvrdý reset, ako aj príklady spustenia príkazu „dig“ na overenie rôznych typov záznamov DNS.
. V konfigurácii DHCP (pomocou súboru /etc/dhcp/dhcpd.conf):
- Ako pridať našu lokálnu sieť s jej rozsahom pre priradenie dynamických IP adries, definíciou menného servera atď .; ako aj to, ako povedať DHCP, aby aktualizoval záznamy DNS pomocou riadkov „ddns- ...“ v jeho konfigurácii.
. Keď je už všetko funkčné, 5 HVIEZDIEK PRE AUTORA pri vykonaní príkazu «# dig desdelinux.fan axfr» na kontrolu TTL počítačov v sieti LAN, ktoré majú statické adresy IP, a tých, ktoré majú priradené dynamické adresy IP.
. Nakoniec, SKVELÉ, manuálne upravte súbory zóny ich zmrazením najskôr pomocou «# rndc freeze desdelinux.fan", potom urobte úpravu a nakoniec ich rozmrazte pomocou "# rndc thaw desdelinux.ventilátor"
. A NAJLEPŠIE, VŠETKO SA ROBilo OD SVORKY.
Len tak ďalej Fico.
Dobrý deň,
Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het kan dat alles gedeeld en verwijderd wordt op mijn computer zelfs mijn photos. Ik heb tota geen control meer over mijn eigen computer on mobiel.
Het zit m dus ook in het dns in dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien dat iemand mij chce pomôcť? Dit je namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.
Wong: váš komentár dopĺňa článok. Vážne, ukazuje to, že ste si to poriadne preštudovali. Inak by ste nemohli komentovať tak podrobne, ako robíte. Len to dodaj povoliť-prevod Používa sa hlavne na to, keď máme DNS Slave a dovoľujeme prenos zón z masteru do neho. Používam to tak, pretože je to ľahko implementovateľný mechanizmus na vykonávanie nebezpečných kontrol z jedného počítača. Ďakujeme veľmi pekne za hodnotenie 5. Zdravím vás! a budem na teba čakať vo svojich ďalších článkoch.
Ahoj Federico. Viem, že trochu meškám, ale chcel by som sa vás na niečo opýtať.
Pomôže mi tento postup, ak chcem nasmerovať doménu na svoj server vps?
Každých 15 minút dostávam tieto systémové správy:
DHCPREQUEST na et0 na port 67 (xid = ...)
DHCPACK od (xid = ...)
viazané na - obnovenie za 970 sekúnd.
A z toho, čo chápem, by som mal vytvoriť záznam A s mojou doménou a ip môjho dedikovaného servera.
* Blahoželám a ďakujem za tento článok, neviem, či je to to, čo som hľadal, ale považoval som ho za veľmi zaujímavý a dobre vysvetlený. Okrem toho beriem odporúčanie „DNS a BIND“, že som už trochu klebetil a zdá sa byť veľmi zaujímavým.
Zdravím z Argentíny!
prosím, kontaktujte ma prostredníctvom valdestoujague@yandex.com