Primárny hlavný server DNS pre LAN v systéme Debian 6.0 (III)

Je obrovskou snahou obmedziť v 5 malých článkoch Predchádzajúce vedomosti, Inštaláciu, Konfiguráciu a Vytváranie zón a kontroly BINDU tak, aby im porozumel najväčší počet čitateľov, čo je náš základný účel.

Tí, ktorí mali trpezlivosť, aby si pozorne prečítali 1 y 2da časti tohto článku sú pripravení pokračovať v konfigurácii a nastavení servera doménových mien pre LAN.

Pre Nového a pre tých, ktorým nie sú príliš jasné veľmi zhrnuté koncepty uvedené v predchádzajúcich častiach, odporúčame vám prečítať si ich a študovať skôr, ako budete pokračovať. Zvyčajní podozriví zo zúfalstva! späť, ak ste nečítali pozorne.

Uvidíme nižšie:

• Hlavné údaje LAN
• Minimálna konfigurácia hostiteľa
• Úpravy súboru /etc/resolv.conf
• Úpravy súboru /etc/bind/named.conf
• Úpravy súboru /etc/bind/named.conf.option
• Úpravy súboru /etc/bind/named.conf.local

 Hlavné údaje LAN

Názov domény LAN: amigos.cu Podsieť LAN: 192.168.10.0/255.255.255.0 BIND Server IP: 192.168.10.10 Názov servera NetBIOS: ns

Aj keď je to zrejmé, nezabudnite zmeniť predchádzajúce údaje za svoje.

Minimálna konfigurácia hostiteľa

Je veľmi dôležité mať súbory správne nakonfigurované / Etc / network / interfaces y/ Etc / hosts aby ste dosiahli dobrý výkon DNS. Ak boli počas inštalácie deklarované všetky údaje, nebude potrebná žiadna úprava. Obsah každého z nich musí byť nasledovný:

# obsah súboru / etc / network / interfaces # Tento súbor popisuje sieťové rozhrania dostupné vo vašom systéme # a spôsob ich aktivácie. Viac informácií nájdete v časti rozhrania (5). # Loopback sieťové rozhranie auto lo iface lo inet loopback # Primárne sieťové rozhranie allow-hotplug eth0 iface eth0 inet statická adresa 192.168.10.10 sieťová maska ​​255.255.255.0 sieť 192.168.10.0 vysielanie 192.168.10.255 brána 192.168.10.2 # dns- * možnosti sú implementované balíkom resolvconf, ak je nainštalovaný dns-nameservers 192.168.10.10 dns-search amigos.cu # obsah / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Nasledujúce riadky sú žiaduce pre hostiteľov schopných IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allroutery

Úpravy súboru /etc/resolv.conf

Aby naše dotazy a kontroly fungovali správne, je potrebné v lokálnej konfigurácii hostiteľa deklarovať, ktorá bude našou doménou vyhľadávania a ktorá bude našim lokálnym DNS. Bez vyššie uvedených parametrov bude akýkoľvek dotaz DNS neúspešný. A toto je chyba, ktorú robí veľa začiatočníkov. Poďme teda súbor upraviť / Etc / resolv.conf a necháme to s nasledujúcim obsahom:

# obsah /etc/resolv.conf hľadajte server friends.cu nameserver 192.168.10.10

Na počítač, na ktorom máme nainštalovaný server DNS, môžeme napísať:

vyhľadať server friends.cu nameserver 127.0.0.1

Vo vyššie uvedenom obsahu vyhlásenie nameserver 127.0.0.1, označuje, že bude uskutočnené vyšetrovanie localhost.

Keď máme správne nakonfigurované BIND, môžeme z nášho hostiteľa urobiť akýkoľvek dotaz DNS, či už je to samotný server viazať9 alebo iný pripojený k sieti a ktorý patrí do rovnakej podsiete a má rovnakú sieťovú masku. Ak sa chcete dozvedieť viac informácií o súbore, spustite program muž resolv.conf.

Úpravy súboru /etc/bind/named.conf

Obmedziť dotazy na naše BIND tak, aby odpovedali iba na našu podsieť a zabránili útoku spoofing, prehlasujeme v spise pomenovaný.konf Access Control List alebo ACL (Access Control List) a my mu hovoríme utápa. Súborpomenovaný.konf Malo by to byť takto:

// /etc/bind/named.conf // Toto je primárny konfiguračný súbor pre server BIND DNS s názvom. // // Prečítajte si prosím /usr/share/doc/bind9/README.Debian.gz, kde nájdete informácie o // štruktúre BIND konfiguračných súborov v Debiane, * PRED * prispôsobením // tohto konfiguračného súboru. // // Ak práve pridávate zóny, urobte to v /etc/bind/named.conf.local // // Komentáre v španielčine sú naše // Originály nechávame v angličtine // POZOR na kopírovanie a paste // NEPOUŽÍVAJTE PRECHODY NA PRECHODE NA KONCI KAŽDÉHO RIADKU // // Zoznam riadenia prístupu: // Umožní to dotazy z lokálnej domény a z našej podsiete // V zahrnutom súbore named.conf.options na neho odkazujeme . acl mired {127.0.0.0/8; 192.168.10.0/24; }; zahrnúť "/etc/bind/named.conf.options"; zahrnúť "/etc/bind/named.conf.local"; zahrnúť "/etc/bind/named.conf.default-zones"; // koniec súboru /etc/bind/named.conf

Poďme skontrolovať doterajšiu konfiguráciu BIND a reštartovať službu:

named-checkconf -z služba bind9 reštart

Úpravy súboru /etc/bind/named.conf.options

V prvej časti „možnosti„Iba vyhlásime transportéry, a kto budú tí, ktorí budú mať možnosť konzultovať naše VIAZANIE. Potom vyhlásime Kľúč alebo kľúč prostredníctvom ktorého môžeme ovládať viazať9a nakoniec z ktorého hostiteľa ho môžeme ovládať. Aby sme vedeli, ktorý je kľúč alebo kľúč, musíme to urobiť mačka /etc/bind/rndc.key. Výstup skopírujeme a prilepíme do súboru named.conf.options. Nakoniec by náš súbor mal vyzerať takto:

// /etc/bind/named.conf.options options {// POZOR NA KOPÍROVANIE A PASTU, PROSÍM ... // Predvolený adresár na vyhľadanie adresára súborov Zones "/ var / cache / bind"; // Ak medzi vami a mennými servermi, s ktorými chcete // hovoriť, je brána firewall, možno budete musieť bránu firewall opraviť, aby mohla hovoriť viac portov //. Pozri http://www.kb.cert.org/vuls/id/800113 // Ak váš ISP poskytol jednu alebo viac adries IP pre stabilné // menné servery, pravdepodobne ich budete chcieť použiť ako servery na preposielanie. // Odkomentujte nasledujúci blok a vložte adresy, ktoré nahradia // zástupný symbol all-0. // lesné traktory {// 0.0.0.0; // 0.0.0.0; //} // Zasielatelia. Nemám lepší preklad // Adresy sú zo serverov ceniai.net.cu // Ak NEMÁ prístup na internet, NIE JE potrebné // ich deklarovať, pokiaľ nemáte zložitejšiu LAN // so servermi DNS, ktoré fungujú ako preposielatelia mimo // rozsahu adries IP vašej podsiete. V takom prípade // musíte deklarovať IP adresy týchto serverov. // Dopyty forwarderov sú kaskádové. špeditéri {169.158.128.136 169.158.128.88 1035 6; 5 2 86; }; // V dobre nakonfigurovanej sieti LAN by sa VŠETKY dotazy DNS mali robiť na lokálny server DNS v tejto sieti LAN, // NIE na servery mimo LAN. // Najmä ak máte prístup na internet. // Či už je to národný alebo medzinárodný. Za to // prehlasujeme zasielateľov auth-nxdomain no; # vyhovuje RFC6 listen-on-v127.0.0.1 {any; }; // Chrániť pred falšovaním allow-query {mired; }; }; // Obsah súboru / etc / bind / rndc-key // získaný prostredníctvom súboru cat / etc / bind / rndc-key // Nezabudnite to zmeniť, ak vygenerujeme kľúč „rndc-key“ {algoritmus hmac-mdXNUMX; tajomstvo "dlOFESXTpXNUMXwYLaXNUMXvQNUXNUMXw =="; }; // Od akého hostiteľa budeme ovládať a cez ktoré kľúčové ovládacie prvky {inet XNUMX povoliť {localhost; } klávesy {rndc-key; }; }; // koncový súbor /etc/bind/named.conf.options

Poďme skontrolovať doterajšiu konfiguráciu BIND a reštartovať službu:

named-checkconf -z služba bind9 reštart

Rozhodli sme sa zahrnúť ako // Komentáre základné aspekty, ktoré môžu slúžiť ako referencia pre budúce konzultácie.

Skutočnosť, že sme vyhlásili špeditérov, robí z nášho servera BIND Local server Caché a zachováva si jeho funkčnosť ako primárny master. Keď požiadame o hostiteľa alebo externú doménu, odpoveď - ak je kladná - sa uloží do jej medzipamäte, takže keď ju požiadame znova pre toho istého hostiteľa alebo pre rovnakú externú doménu, dostaneme rýchlu odpoveď tým, že spätné konzultovanie s externými DNS.

Úpravy súboru /etc/bind/named.conf.local

V tomto súbore deklarujeme miestne zóny našej domény. Musíme zahrnúť minimálne Forward and Reverse Zones. Pamätajte na to v konfiguračnom súbore/etc/bind/named.conf.options Pomocou direktívy adresár deklarujeme, v ktorom adresári budeme hostiť súbory Zones. Na konci by mal byť súbor nasledovný:

// /etc/bind/named.conf.local // // Tu môžete vykonať ľubovoľnú lokálnu konfiguráciu // // Zvážte, či sem nepridáte zóny 1918, ak sa nepoužívajú vo vašej // organizácii // zahrnúť „/ etc / bind /zones.rfc1918 "; // Názvy súborov v každej zóne zodpovedajú spotrebiteľskému vkusu. Vybrali sme si amigos.cu.hosts // a 192.168.10.rev, pretože nám objasňujú ich // obsah. Už neexistuje žiadna záhada // // Názvy zón NIE SÚ ARBITRÁRNE // a budú zodpovedať názvu našej domény // a podsieti LAN // Hlavná hlavná zóna: zadajte „Priama“ zóna „amigos.cu“ { typový majster; súbor "amigos.cu.hosts"; }; // Hlavná hlavná zóna: zadajte "inverznú" zónu "10.168.192.in-addr.arpa" {typ hlavný; súbor "192.168.10.rev"; }; // Koniec súboru named.conf.local

Ak chcete skontrolovať konfiguráciu BIND tak ďaleko:

named -checkconf -z

Predchádzajúci príkaz vráti chybu, kým súbory zóny neexistujú. Hlavná vec je, že nás varuje, že zóny deklarované v named.conf.local sa nenačítajú, pretože súbory záznamov DNS jednoducho neexistujú, čo je nateraz pravda. Môžeme ísť ďalej.

Reštartujte službu, aby sa zohľadnili zmeny:

služba bind9 reštart

Pretože nechceme, aby bol každý príspevok veľmi dlhý, budeme sa otázkam vytvárania súborov Local Zones venovať v ďalšej 4. časti. Dovtedy priatelia!