DNS in DHCP v CentOS 7 - SMB omrežja

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Pozdravljeni prijatelji!. V tem članku bomo videli, kako lahko uporabimo pomemben par storitev za omrežja, ki jih sestavlja DNS in DHCP na CentOS - Linux, natančneje v njegovi različici 7.2.

  • Nekateri članki o DNS se sklicujejo na dejstvo, da je izvajanje te storitve nekoliko nejasno in težko. Ne strinjam se zelo s to izjavo. Raje bi rekel, da je nekoliko konceptualen in da imajo številne njegove konfiguracijske datoteke naporno sintakso. Na srečo imamo orodja za korak za korakom preverjanje skladnje vsake konfiguracijske datoteke, ki jo spremenimo. Zato bomo poskušali narediti branje tega prispevka čim bolj prijetno in prijetno..

Za tiste, ki iščejo osnovne koncepte obeh storitev, toplo priporočamo, da začnete iskati na Wikipediji, tako v španski kot angleški različici. Nič manj res ni, da so članki v angleščini skoraj vedno bolj popolni in skladni. Kljub temu je Wikipedia zelo dobro izhodišče.

Za tiste, ki resnično želite izvedeti več o DNS in BIND, priporočamo branje knjige «OReilly - DNS in BIND 4ed" napisal Paul Albitz y Kriket Liuali kasnejša izdaja, ki zagotovo obstaja.

Na to temo smo že objavili članek z naslovom «DNS in DHCP v openSUSE 13.2 Harlequin - MSP omrežja»Za ljubitelje grafičnega okolja. Od zdaj naprej pa se bodo soočali s članki na to temo - ne na druge - napisani z veliko uporabo emulatorja terminala ali konzole. Vau, v klasičnem slogu, ki ga uporabljajo sistemski skrbniki UNIX® / Linux.

Če želite izvedeti več o priimku naslova tega članka «MSP Mreže»Stran lahko obiščete v tem blogu«Mreža MSP: prvi virtualni rez«. V njem boste našli povezave do številnih drugih objavljenih člankov.

  • Po končani namestitvi operacijskega sistema CentOS 7 s paketi, ki jih priporočamo, el imenik /usr/share/doc/bind-9.9.4/ vsebuje veliko dokumentacije, za katero vam priporočamo, da se pred vstopom v internetno iskanje posvetujete, ne da bi prej vedeli, da lahko na dosegu roke in v svojem domu najdete tisto, kar iščete.

Namestitev osnovnega sistema

Splošni podatki domene in strežnika DNS

Domena: iz linux.fan
Ime strežnika DNS: dns.fromlinux.fan
IP naslov: 192.168.10.5
Maska podomrežja: 255.255.255.0

Namestitev

Izhajamo iz nove ali čiste namestitve operacijskega sistema CentOS 7, kot je navedeno v prejšnjem članku «CentOS 7 Hypervisor I - SMB omrežja«. Izvesti moramo le naslednje spremembe:

  • V Imagen 22 «IZBOR PROGRAMSKE OPREME«, Priporočamo izbiro v levem stolpcu«Osnovno okolje»Možnost, ki ustrezaInfrastrukturni strežnik«, V desnem stolpcu«Vtičniki za izbrano okolje»Označite potrditveno polje«DNS imenski strežnik«. Strežnik DHCP bomo namestili kasneje.
  • Spomnimo se izjave dodatnih skladišč, kot je prikazano v Imagen 23, po nastavitvi «IME OMREŽJA IN EKIPE".
  • Slike, ki se nanašajo na particije, ki jih bomo ustvarili na trdem disku, so podane le kot vodila. Predelne stene lahko izbirate po lastni presoji, praksi in dobri presoji.
  • Končno v Slika 13 «IME OMREŽJA IN EKIPE», moramo spremeniti vrednosti glede na splošne parametre deklarirane domene in strežnika DNS, ne da bi pozabili navesti ime gostitelja - v tem primeru «dns«- po končani konfiguraciji omrežja. Pozitivno je ping -od drugega gostitelja- do navedenega naslova IP po aktivnem omrežju:

DNS in DHCP na CentOS

Resnično je zelo malo in zelo očitnih sprememb glede prejšnjega članka.

Začetni pregledi in prilagoditve

Po namestitvi operacijskega sistema moramo pregledati vsaj naslednje datoteke in za to začnemo sejo prek SSH iz našega računalnika sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ ssh 192.168.10.5
geslo buzz@192.168.10.5: Zadnja prijava: sobota 28. januarja 09:48:05 2017 od 192.168.10.1
[buzz @ dns ~] $

Zgornja operacija lahko traja dlje kot običajno in je predvsem posledica dejstva, da v LAN-ju še nimamo DNS-ja. Pozneje ponovno preverite, ali DNS deluje.

[buzz @ dns ~] $ mačka / itd / gostitelji
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[buzz @ dns ~] $ cat / etc / hostname
dns

[buzz @ dns ~] $ cat / etc / sysconfig / network-scripts / ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.10.5
PREFIX=24
GATEWAY=192.168.10.1
DNS1=127.0.0.1
DOMAIN=desdelinux.fan

[buzz @ dns ~] $ cat /etc/resolv.conf 
# Ustvari iskanje po NetworkManagerju iz imenskega strežnika linux.fan 127.0.0.1

Glavne konfiguracije se odzivajo na naš izbor. Upoštevajte, da tudi na strežniku Red Hat 7 - CentOS 7, je privzeto nastavljen, ko NetworkManager tako da ta upravlja omrežne vmesnike, naj bodo žični ali brezžični (WiFi), povezave VPN, povezave PPPoE in katera koli druga omrežna povezava.

[buzz @ dns ~] $ sudo systemctl status networkmanager
[sudo] geslo za buzz: ● networkmanager.service Loaded: not-found (Razlog: takšne datoteke ali imenika ni) Aktivno: neaktivno (mrtvo)

[buzz @ dns ~] $ sudo systemctl status NetworkManager
● NetworkManager.service - Network Manager naložen: naložen (/usr/lib/systemd/system/NetworkManager.service; omogočeno; prednastavitev prodajalca: omogočeno) Aktivno: aktivno (v teku) od sobote 2017-01-28 12:23:59 EST; Pred 12 minutami Glavni PID: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager --no-daemon

Red Hat - CentOS omogoča tudi povezovanje in odklop omrežnih vmesnikov z uporabo klasičnih ukazov ifup e če dol. Zaženimo na strežniški konzoli:

[root @ dns ~] # ifdown eth0
Naprava 'eth0' je uspešno prekinjena.

[root @ dns ~] # ifup eth0
Povezava je bila uspešno aktivirana (aktivna pot D-Bus: / org / freedesktop / NetworkManager / ActiveConnection / 1)
  • Predlagamo ne spreminjajte privzetih nastavitev, ki jih ponuja CentOS 7 NetworkManager.

Dokončno prijavimo skladišča, ki jih bomo uporabljali, in po potrebi posodobimo operacijski sistem:

[buzz @ dns ~] $ su Geslo: [root @ dns buzz] # cd /etc/yum.repos.d/
[root @ dns yum.repos.d] # ls -l
skupaj 28 -rw-r - r--. 1 korenski koren 1664 9. decembra 2015 CentOS-Base.repo -rw-r - r--. 1 korenski koren 1309 9. decembra 2015 CentOS-CR.repo -rw-r - r--. 1 korenski koren 649 9. decembra 2015 CentOS-Debuginfo.repo -rw-r - r--. 1 korenski koren 290 december 9 2015 CentOS-fasttrack.repo -rw-r - r--. 1 korenski koren 630 9. december 2015 CentOS-Media.repo -rw-r - r--. 1 korenski koren 1331 9. decembra 2015 CentOS-Sources.repo -rw-r - r--. 1 korenski koren 1952 9. december 2015 CentOS-Vault.repo

Zdravo je brati vsebino izvirnih datotek deklaracije iz priporočenih skladišč CentOS. Spremembe, ki jih tu naredimo, so posledica dejstva, da nimamo dostopa do interneta in sodelujemo z lokalnimi skladišči, ki so jih iz WWW Village prenesli kolegi, ki nam nekoliko olajšajo življenje. 😉

[root @ dns yum.repos.d] # mkdir original
[root @ dns yum.repos.d] # mv CentOS- * original /

[root @ dns yum.repos.d] # nano centos-repos.repo
[centos-base]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/base/
gpgcheck=0
enabled=1

[centos-updates]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ dns yum.repos.d] # yum očisti vse
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Čiščenje repozitorijev: centos-base centos-updates Čiščenje vsega

[root @ dns yum.repos.d] # posodobitev yum
Naloženi vtičniki: najhitrejše zrcalo, centos-base langpacks | 3.4 kB 00:00 centos-posodobitve | 3.4 kB 00:00 (1/2): centos-osnova / primarni_db | 5.3 MB 00:00 (2/2): centos-posodobitve / primarni_db | 9.1 MB 00:00 Določanje najhitrejših ogledal Noben paket ni označen za posodobitev

Sporočilo «Ne (obstajajo) paketi, označeni za posodobitev» - «Noben paket ni označen za posodobitev»Označuje, da so bili z razglasitvijo najnovejših skladišč, ki so nam na voljo med namestitvijo, nameščeni natančno najnovejši paketi.

O kontekstu SELinux in požarnem zidu

Ta članek se bomo osredotočili na izvajanje storitev DNS in DHCP, kar je njegov glavni cilj.

Če je kateri koli bralec med namestitvijo izbral varnostno politiko, kot je navedeno v Imagen 06 referenčnega članka «CentOS 7 Hypervisor I - SMB omrežja»Uporablja se za namestitev tega strežnika DNS - DHCP in ugotovite, da ne veste, kako pravilno konfigurirati SELinux in požarni zid CentOS, predlagamo, da zaženete naslednje:

Spremenite datoteko / etc / sysconfig / selinux in spremembe SELINUX = uveljavljanje jo SELINUX = onemogoči

[root @ dns ~] # nano / etc / sysconfig / selinux
# Ta datoteka nadzoruje stanje SELinux v sistemu. # SELINUX = lahko zavzame eno od teh treh vrednosti: # prisiljevanje - uveljavljena je varnostna politika SELinux. # permissive - SELinux natisne opozorila, namesto da bi jih vsilil. # onemogočeno - Noben pravilnik SELinux ni naložen.
SELINUX = onemogočeno
# SELINUXTYPE = ima lahko eno od treh vrednosti: # ciljno - ciljni procesi so zaščiteni, # najmanj - sprememba ciljne politike. Samo izbrani procesi so pr $ # mls - Varnostna zaščita na več ravneh. SELINUXTYPE = ciljno usmerjen

Nato zaženite naslednje ukaze

[root @ dns ~] # setenforce 0
[root @ dns ~] # zaustavitev požarnega zidu storitve
Preusmeritev na / bin / systemctl stop firewalld.service

[root @ dns ~] # systemctl onemogoči požarni zid
Odstranjena simbolična povezava /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. Odstranjena simbolična povezava /etc/systemd/system/basic.target.wants/firewalld.service.

Če nameščate strežnik DNS, obrnjen proti internetu, ne smete početi zgoraj, ampak pravilno konfigurirajte kontekst SELinux in požarni zid. Glej "Konfiguracija strežnika z GNU / Linux, avtor Joel Barrios Dueñas" ali sama dokumentacija CentOS - Red Hat

Konfiguriramo BIND - named

  • El imenik /usr/share/doc/bind-9.9.4/ Vsebuje veliko dokumentacije, za katero priporočamo, da se pred vstopom v internetno iskanje posvetujete, ne da bi prej vedeli, da lahko na dosegu roke in v svojem domu najdete tisto, kar iščete.

V mnogih distribucijah se imenuje storitev DNS, nameščena prek paketa BIND imenovan (Ime Daemon). V CentOS 7 je nameščen privzeto onemogočen, glede na rezultat naslednjega ukaza, kjer je navedeno, da je njegovo stanje «onemogočena«, In da je to stanje vnaprej določil njegov» prodajalec «- prednastavitev prodajalca. Za zapisnik je BIND brezplačna programska oprema.

Omogočanje imenovane storitve

[root @ dns ~] # ime sistema systemctl
● named.service - Naložena domena internetnega imena Berkeley (DNS): naloženo (/usr/lib/systemd/system/named.service; onemogočena; prednastavitev prodajalca: onemogočena) Aktivno: neaktivno (mrtvo)

[root @ dns ~] # systemctl omogočeno imenovano
Ustvarjena je simbolna povezava od /etc/systemd/system/multi-user.target.wants/named.service do /usr/lib/systemd/system/named.service.

[root @ dns ~] # systemctl začetek imenovan

[root @ dns ~] # ime sistema systemctl
● named.service - Naložena domena internetnega imena Berkeley (DNS): naloženo (/usr/lib/systemd/system/named.service; omogočena; prednastavitev prodajalca: onemogočena)
   Aktivno: aktivno (tekoče) od sobote 2017-01-28 13:22:38 EST; Pred 5 minutami Proces: 1990 ExecStart = / usr / sbin / named -u z imenom $ OPTIONS (code = exited, status = 0 / USPEH) Proces: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "da"]; potem / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Preverjanje območnih datotek je onemogočeno"; fi (koda = izstopi, status = 0 / USPEH) Glavni PID: 1993 (imenovan) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u z imenom 28. januar 13:22:45 dns z imenom [1993]: napaka (omrežje nedosegljivo) pri reševanju './NS/IN': 2001: 500: 2f :: f # 53 28. januar 13:22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) reševanje './ DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 28. januar 13:22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) razreševanje' ./NS/IN ': 2001: 500: 3 :: 42 # 53 28. januarja 13:22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) razreševanje './DNSKEY/IN': 2001: 500: 2d :: d # 53 28. januarja 13:22:47 dns z imenom [1993] ]: napaka (omrežje nedosegljivo) pri razrešitvi './NS/IN': 2001: 500: 2d :: d # 53 28. januar 13:22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) pri reševanju './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 28. januar 13:22:47 dns z imenom [1993]: odpravljanje napake (omrežje nedosegljivo)' ./NS/IN ': 2001: dc3 :: 35 # 53 28. januar 13: 22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) razreševanje './DNSKEY/IN': 2001: 7fe :: 53 # 53 28. januarja 13:22:47 dns z imenom [1993]: napaka (omrežje nedosegljivo) res olving './NS/IN': 2001: 7fe :: 53 # 53 28. januar 13: 22: 48 dns z imenom [1993]: managed-keys-zone: DNSKEY set ni mogoče pridobiti '.': časovna omejitev je potekla

[root @ dns ~] z imenom # ponovni zagon systemctl

[root @ dns ~] # ime sistema systemctl
● named.service - Naložena domena internetnega imena Berkeley (DNS): naloženo (/usr/lib/systemd/system/named.service; omogočeno; prednastavitev prodajalca: onemogočena)
   Aktivno: aktivno (tekoče) od sobote 2017-01-28 13:29:41 EST; Pred 1s Proces: 1449 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (code = exited, status = 0 / USPEH) Proces: 1460 ExecStart = / usr / sbin / named -u named $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1457 ExecStartPre = / bin / bash -c, če [! "$ DISABLE_ZONE_CHECKING" == "da"]; potem / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Preverjanje območnih datotek je onemogočeno"; fi (koda = izstopi, status = 0 / USPEH) Glavni PID: 1463 (imenovan) CGroup: /system.slice/named.service └─1463 / usr / sbin / named -u imenovan 28. januar 13:29:41 dns imenovan [1463]: managed-keys-zone: datoteka dnevnika je zastarela: odstranjevanje datoteke dnevnika 28. januar 13:29:41 dns z imenom [1463]: managed-keys-zone: naložen serijski 2. januar 28 13:29:41 dns imenovan [1463]: cona 0.in-addr.arpa/IN: naložen serijski 0 28. januar 13:29:41 dns imenovan [1463]: cona localhost.localdomain / IN: naložen serijski 0 28. januar 13:29:41 dns imenovano [1463]: cona 1.0.0.127.in-addr.arpa/IN: naložen serijski 0 28. januar 13:29:41 dns z imenom [1463]: cona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .6.ip0.arpa / IN: naložen serijski 28 13. januar 29:41:1463 dns z imenom [0]: zone localhost / IN: naložen serijski 28 13. januar 29 : 41: 1463 dns z imenom [28]: vsa območja so bila naložena 13. januarja 29:41:1463 dns z imenom [28]: zagon 13. januarja 29:41:1 dns systemd [XNUMX]: Zagnana domena internetnega imena Berkeley (DNS).

Ko omogočimo storitev imenovan in zaženemo ga prvič, izhod ukaza ime sistema systemctl prikazuje napake. Ko spodaj znova zaženemo storitev, se imenovan ustvari vse konfiguracijske datoteke, ki so privzeto potrebne za njegovo pravilno delovanje. Zato, ko znova izvršimo ukaz ime sistema systemctl ni prikazanih nobenih napak več.

  • Dragi, dragi in zahtevni bralec: če želite vsaj ugotoviti, katera pot vodi do konca zajčje luknje, prosimo, mirno preberite podrobne izhode vsakega ukaza. The Zagotovo se bo članek zdel nekoliko dolg, vendar ne zanikajte, da pridobi na razlagi in jasnosti.

Spremenimo datoteko /etc/named.conf

Številni komentarji bralcev izražajo -Ne rečem- manija vzdrževalcev različnih distribucij Linuxa, da sistemske konfiguracijske datoteke polagajo v mape z različnimi imeni, odvisno od distribucije. Imajo prav. Toda kaj lahko storimo mi, preprosti uporabniki, ki uporabljajo te distribucije? Prilagoditi! 😉

Mimogrede, v FreeBSD, klonu UNIX® «Izvor», je datoteka v /usr/local/etc/namedb/named.conf; medtem ko je bil v Debianu, poleg tega, da se je razdelil na štiri datoteke named.conf, named.conf.options, named.conf.default-zone in named.conf.local, je v mapi / etc / bind /. Tisti, ki želite vedeti, kam jo postavi openSUSE, preberite «DNS in DHCP v openSUSE 13.2 Harlequin - MSP omrežja«. Bralci imajo prav! 😉

In kot vedno: preden kar koli spremenimo, shranimo izvirno konfiguracijsko datoteko pod drugim imenom.

[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original

Za lažje življenje, namesto da bi ustvarili ključ TSIG za dinamične posodobitve DNS prek DHCP kopiramo isti ključ rndc.key kot dhcp.key.

[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key

[root @ dns ~] # nano /etc/dhcp.key
ključ "dhcp-ključ" {algoritem hmac-md5; skrivnost "OI7Vs + TO83L7ghUm2xNVKg =="; };

Torej imenovan lahko prebere pravkar kopirano datoteko, spremenimo njeno skupino lastnikov:

[root @ dns ~] # chown root: named /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. 1 koren z imenom 77 28. januar 16:36 /etc/dhcp.key -rw-r -----. 1 koren z imenom 77 28. januar 13:22 /etc/rndc.key

Majhne podrobnosti, kot je prejšnja, so tisto, kar nas lahko obnore, ko poskušamo ugotoviti, kje je problem ... z nekaj več pridevniki, ki jih ne pišemo iz spoštovanja do Spoštljivega.

Zdaj, če - končno! - spremenimo datoteko /etc/ named.conf. Spremembe ali dopolnitve, ki smo jih izvedli glede na izvirnik, so v krepko. Dobro si oglejte, kako malo jih je.

[root @ dns ~] # nano /etc/named.conf
// // named.conf // // Zagotavlja paket za vezavo Red Hat za konfiguracijo strežnika ISC BIND z imenom (8) DNS // kot strežnik imen samo za predpomnjenje (samo kot razreševalnik DNS lokalnega gostitelja). // // Glej / usr / share / doc / bind * / sample / na primer imenovane konfiguracijske datoteke. //

// Seznam za nadzor dostopa, v katerem je navedeno, katera omrežja se bodo lahko posvetovala
// moj strežnik z imenom
acl mired {
 127.0.0.0 / 8;
 192.168.10.0 / 24;
};

opcije {
 // Izjavljam, da imenovani demon posluša tudi vmesnik
 // eth0, ki ima IP: 192.168.10.5
    vrata za poslušanje 53 {127.0.0.1; 192.168.10.5; };
    Prisluhni-v6 vrata 53 {:: 1; }; imenik "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; statistična datoteka "/var/named/data/named_stats.txt"; datoteka memstatistics "/var/named/data/named_mem_stats.txt";

 // Izjava o špediterjih
 // posredniki {
 // 0.0.0.0;
 // 1.1.1.1;
 //};
    // najprej naprej;

    // Dovolim poizvedbe samo za moj zapleteni ACL
    dovoli-poizvedba {mired; }; // Za preverjanje z ukazom dig desdelinux.fan axfr // samo z delovne postaje SysAdmin in localhost // Nimamo podrejenih strežnikov DNS. Ne potrebujemo ... do zdaj.
 dovoli prenos {localhost; 192.168.10.1; };

    / * - Če gradite AVTORITATIVNI strežnik DNS, NE omogočite rekurzije. - Če gradite DUR strežnik RECURSIVE (caching), morate omogočiti rekurzijo. - Če ima vaš rekurzivni strežnik DNS javni naslov IP, MORATE omogočiti nadzor dostopa, da omejite poizvedbe na vaše zakonite uporabnike. Če tega ne storite, bo vaš strežnik postal del obsežnih napadov za ojačanje DNS. Izvedba BCP38 v vašem omrežju bi močno zmanjšala takšno površino napada / /
    // Želimo strežnik AUTHORITY za naš LAN - SME
    rekurzija št;

    dnssec-enable da; dnssec-validacija da; / * Pot do ključa ISC DLV * / bindkeys-file "/etc/named.iscdlv.key"; imenik upravljanih ključev "/ var / named / dynamic"; pid-datoteka "/run/named/named.pid"; datoteka ključa seje "/run/named/session.key"; }; beleženje {channel default_debug {datoteka "data / named.run"; dinamika resnosti; }; }; območje "." IN {tip namig; datoteka "named.ca"; }; vključujejo "/etc/named.rfc1912.zones"; vključite "/etc/named.root.key";

// Vključimo ključ TSIG za dinamične posodobitve DNS // po DHCP
vključujejo "/etc/dhcp.key";

// Izjava imena, vrste, lokacije in dovoljenja za posodobitev
// območij zapisov DNS // Obe coni sta MOJSTERI
cona "desdelinux.fan" {
 tip master;
 datoteka "dynamic / db.fromlinux.fan";
 allow-update {ključ dhcp-ključ; };
};

cona "10.168.192.in-addr.arpa" {
 tip master;
 datoteka "dynamic / db.10.168.192.in-addr.arpa";
 allow-update {ključ dhcp-ključ; };
};

Preverimo skladnjo

[root @ dns ~] # named-checkconf 
[root @ dns ~] #

Ker zgornji ukaz ne vrne ničesar, je skladnja v redu. Če pa izvedemo isti ukaz, vendar z možnostjo -z, bo rezultat:

[root @ dns ~] # named-checkconf -z
cona localhost.localdomain / IN: naložen serijski 0 cona localhost / IN: naložen serijski 0 cona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: naloženo serijsko 0 območje 1.0.0.127.in-addr.arpa/IN: naloženo serijsko 0 območje 0.in-addr.arpa/IN: naloženo serijsko 0 območje iz linux.fan/IN: nalaganje iz glavnega datoteka dynamic / db.from linux.fan ni uspela: datoteke ni mogoče najti cone iz linux.fan/IN: zaradi napak ni naložena. _default / desdelinux.fan / IN: datoteka ni bila najdena cona 10.168.192.in-addr.arpa/IN: nalaganje iz glavne datoteke dynamic / db.10.168.192.in-addr.arpa ni uspelo: datoteka ni bila najdena cona 10.168.192 .in-addr.arpa / IN: zaradi napak ni naložen. _default / 10.168.192.in-addr.arpa / IN: datoteke ni mogoče najti

Seveda gre za napake, ki se pojavijo, ker za svojo domeno še nismo ustvarili območij za registracijo DNS.

  • Za več informacij o ukazu named-checkconf, teči človek z imenom-checkconf, preden poiščete kakršne koli druge informacije na internetu. Zagotavljam vam, da boste prihranili precej časa.

Datoteko Direct Zone ustvarimo iz linux.fan

... najprej brez kančka teorije. 😉

Kot predlogo za ustvarjanje podatkovne datoteke območja lahko vzamemo datoteko /var/named/named.emptyali /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. Oba sta enaka.

[root @ dns ~] # cat /var/named/named.empty 
$ TTL 3H @ IN SOA @ rname.invalid. (0; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); minimalni ali negativni čas predpomnjenja za življenje NS @ A 127.0.0.1 AAAA :: 1

Čas življenja - Čas je za življenje TTL Zapis SOA

Vzemimo oklepaje, da razložimo TTL - Čas za življenje iz registra SOA - Začetek pooblastila glavne cone. Zanimivo je vedeti njihov pomen, kadar želimo spremeniti katero od njihovih vrednot.

$ TTL: Čas življenja - Čas za življenje za vse zapise v datoteki, ki sledijo izjavi (vendar pred katero koli drugo izjavo $ TTL) in nimajo izrecne izjave TTL.

serijska: Serijska številka podatkov o coni. Vsakič, ko ročno spremenimo zapis DNS v območju, moramo to število povečati za 1, še posebej, če imamo pomožne ali sekundarne strežnike. Vsakič, ko sekundarni ali pomožni strežnik DNS stopi v stik s svojim glavnim strežnikom, zahteva serijsko številko glavnih podatkov. Če je serijska številka podrejenega strežnika manjša, so podatki za to območje na podrejenem strežniku zastareli in podrejeni izvede prenos območja, da se posodobi.

osvežitev: Podrejenemu strežniku pove časovni interval, v katerem mora preveriti, ali so njegovi podatki posodobljeni glede na glavno datoteko.

poskusite znova: Če glavni strežnik ni na voljo - če recimo zboli - za suženj po določenem časovnem intervalu osvežitev, poskusite znova Sužnju pove, kako dolgo naj čaka, preden znova poskusi stopiti v stik s svojim gospodarjem.

poteče: Če suženj za določen čas ne more stopiti v stik s svojim nadrejenim potečePotem, če je bilo razmerje med območjem podrejenega in glavnega pretrgano in podrejeni strežnik nima druge izbire, kot da izteče zadevno območje. Potek območja s podrejenim strežnikom DNS pomeni, da se ne bo več odzival na poizvedbe DNS, povezane s tem območjem, ker so razpoložljivi podatki prestari, da bi bili uporabni.

  • Zgornje nas uči posredno in obremenjeno z veliko zdravo pametjo - najmanj splošno razumom - da če za delovanje našega MSP ne potrebujemo podrejenih strežnikov DNS, jih ne izvajamo, razen če so nujno potrebni. Vedno poskusimo iti od preprostega k kompleksnemu.

minimalno: V različicah pred VEZ 8.2, zadnji zapis SOA Označuje tudi privzeto življenjsko dobo - Privzeti čas za življenje, in negativni čas predpomnilnika - Negativni čas predpomnjenja za življenje za cono. Ta čas se nanaša na vse negativne odgovore odgovornega strežnika za cono.

Datoteka z območjem /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, vaš spletni dnevnik, namenjen brezplačni programski opremi"; sysadmin V A 192.168.10.1 ad-dc V A 192.168.10.3 datotečni strežnik V A 192.168.10.4 dns V A 192.168.10.5 proxyweb V A 192.168.10.6 blog V A 192.168.10.7 ftpserver V A 192.168.10.8 mail IN A 192.168.10.9

Preverjamo /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # named-checkzone iz linux.fan / var / named / dynamic / db. fromlinux.fan
cona iz linux.fan/IN: naložen serijski 1 V redu

Ustvarimo datoteko Reverse Zone 10.168.192.in-addr.arpa

  • Zapis SOA v tej coni je enak zapisu v neposredni coni, ne da bi upoštevali zapis MX..
[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje; @ IN NS dns.fromlinux.fan. ; 1 V PTR sysadmin.fromlinux.fan. 3 V PTR ad-dc.fromlinux.fan. 4 V PTR datotečni strežnik.fromlinux.fan. 5 V PTR dns.fromlinux.fan. 6 V PTR proxyweb.desdelinux.fan. 7 V PTR blog.desdelinux.fan. 8 V PTR ftpserver.fromlinux.fan. 9 V PTR mail.fromlinux.fan.

[root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa 
cona 10.168.192.in-addr.arpa/IN: naložen serijski 1 OK

Pred ponovnim zagonom imenovanega preverimo njegovo konfiguracijo

  • Dokler nismo prepričani, da konfiguracijske datoteke poimenovanega named.conf in njegove conske datoteke niso pravilno konfigurirane, priporočamo, da imenovanega demona ne zaženete znova. Če to storimo in kasneje spremenimo datoteko območja, moramo serijsko številko spremenjene cone povečati za 1.
  • Poglejmo "." na koncu imen domen in gostiteljev.
[root @ dns ~] # named-checkconf 
[root @ dns ~] # named-checkconf -z
cona localhost.localdomain / IN: naložen serijski 0 cona localhost / IN: naložen serijski 0 cona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: naloženo serijsko 0 območje 1.0.0.127.in-addr.arpa/IN: naloženo serijsko 0 območje 0.in-addr.arpa/IN: naloženo serijsko 0 območje iz linux.fan/IN: naloženo serijsko 1 cona 10.168.192.in-addr.arpa/IN: naložen serijski 1

Vse trenutne imenovane konfiguracije

Za večjo jasnost in čeprav članek postane dolg, podajamo celoten rezultat ukaza named -checkconf -zp:

[root @ dns ~] # named-checkconf -zp
cona localhost.localdomain / IN: naložen serijski 0 cona localhost / IN: naložen serijski 0 cona 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: naloženo serijsko 0 območje 1.0.0.127.in-addr.arpa/IN: naloženo serijsko 0 območje 0.in-addr.arpa/IN: naloženo serijsko 0 območje iz linux.fan/IN: naloženo serijsko 1 cona 10.168.192.in-addr.arpa/IN: naložene serijske 1 možnosti {bindkeys-file "/etc/named.iscdlv.key"; datoteka ključa seje "/run/named/session.key"; imenik "/ var / named"; dump-datoteka "/var/named/data/cache_dump.db"; vrata za poslušanje 53 {127.0.0.1/32; 192.168.10.5/32; }; vrata za poslušanje na v6 53 {:: 1/128; }; imenik upravljanih ključev "/ var / named / dynamic"; datoteka memstatistics "/var/named/data/named_mem_stats.txt"; pid-datoteka "/run/named/named.pid"; statistična datoteka "/var/named/data/named_stats.txt"; dnssec-enable da; dnssec-validacija da; rekurzija št; allow-query {"mired"; }; dovoli prenos {192.168.10.1/32; }; }; acl "mired" {127.0.0.0/8; 192.168.10.0/24; }; beleženje {channel "default_debug" {datoteka "data / named.run"; dinamika resnosti; }; }; ključ "dhcp-key" {algoritem "hmac-md5"; skrivnost "OI7Vs + TO83L7ghUm2xNVKg =="; }; območje "." IN {tip namig; datoteka "named.ca"; }; cona "localhost.localdomain" IN {glavni tip; datoteka "named.localhost"; allow-update {"nič"; }; }; cona "localhost" IN {glavni tip; datoteka "named.localhost"; allow-update {"nič"; }; }; cona "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {glavni tip; datoteka "named.loopback"; allow-update {"nič"; }; }; cona "1.0.0.127.in-addr.arpa" IN {glavni tip; datoteka "named.loopback"; allow-update {"nič"; }; }; cona "0.in-addr.arpa" IN {glavni tip; datoteka "named.empty"; allow-update {"nič"; }; }; cona "desdelinux.fan" {glavni mojster; datoteka "dynamic / db.fromlinux.fan"; allow-update {ključ "dhcp-ključ"; }; }; cona "10.168.192.in-addr.arpa" {glavni mojster; datoteka "dynamic / db.10.168.192.in-addr.arpa"; allow-update {ključ "dhcp-ključ"; }; }; upravljane tipke {"." Ključ za začetno 257 3 avgust "AwEAAagAIKlVZrpC8Ia6gEzahOR + 7W9euxhJhVVLOyQbSEW29O0gcCjF FVQUTf8v6fLjwBd58YI0EzrAcQqBGCzh / RStIoO0g8NfnfL0MTJRkxoX bfDaUeVPQuYEhg2NZWAJQ37VnMVDxP / VHL9M / QZxkjf496 / Efucp5gaD X2RS6CXpoY6LsvPVjR68ZSwzz0apAzvN1dlzEheX9ICJBBtuA7G6LQpz W3hOA5hzCTMjJPJ2LbqF8dsV6DoBQzgul6sGIcGOYl0OyQdXfZ7relS Qageu + ipAdTTJ57AsRTAoub25ONGcLmqrAmRLKBP8dfwhYB1N4knNnulq QXA + Uk7ihz1 ="; };
  • Po postopku spreminjanja named.conf Glede na naše potrebe in preverjanje ter ustvarjanje vsake datoteke območja in preverjanje dvomimo, da se bomo morali soočiti z večjimi težavami s konfiguracijo. Na koncu se zavedamo, da gre za fantovsko igro z veliko koncepti in razburljivo sintakso,

Pregledi so vrnili zadovoljive rezultate, zato lahko BIND znova zaženemo - imenovan.

Imenovani znova zaženemo in preverimo njegovo stanje

[root @ dns ~] # systemctl znova zaženite named.service
[root @ dns ~] # systemctl status named.service

Če dobimo kakršno koli napako pri izhodu zadnjega ukaza, moramo znova zagnati poimenovana.storitev in znova preverite Status. Če napake ni več, se je storitev uspešno zagnala. V nasprotnem primeru moramo temeljito pregledati vse spremenjene in ustvarjene datoteke in postopek ponoviti.

Pravilni izhod stanja mora biti:

[root @ dns ~] # systemctl status named.service
● named.service - Naložena domena internetnega imena (DNS) Berkeley: naloženo (naloženo (/usr/lib/systemd/system/named.service; omogočeno; prednastavitev ponudnika: onemogočeno) Aktivno: aktiven (teče) od ned 2017-01-29 10:05:32 EST; 2min 57s nazaj Proces: 1777 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (code = exited, status = 0 / USPEH) Proces: 1788 ExecStart = / usr / sbin / named -u named $ OPTIONS (code = exited, status = 0 / SUCCESS) Proces: 1786 ExecStartPre = / bin / bash -c, če [! "$ DISABLE_ZONE_CHECKING" == "da"]; potem / usr / sbin / named-checkconf -z /etc/named.conf; else echo "Preverjanje območnih datotek je onemogočeno"; fi (koda = izhod, status = 0 / USPEH) Glavni PID: 1791 (imenovan) CGroup: /system.slice/named.service └─1791 / usr / sbin / named -u z imenom 29. januar 10:05:32 dns z imenom [1791]: cona 1.0.0.127.in-addr.arpa/IN: naložena zaporedna seja 0. januarja 29:10:05 dns z imenom [32]: cona 1791.in-addr.arpa/IN: naložena zaporedna 10.168.192. januar 1 29:10:05 dns z imenom [32]: cona 1791.ip1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.arpa/IN : naložen serijski 6 0. januarja 29:10:05 dns z imenom [32]: zone desdelinux.fan/IN: naložen serijski 1791. januar 1 29:10:05 dns z imenom [32]: zone localhost.localdomain / IN: naložen serijski 1791 0. januar 29:10:05 dns z imenom [32]: zone localhost / IN: naložen serijski naslov 1791. januar 0:29:10 dns z imenom [05]: vsa območja naložena
29. januar 10:05:32 dns z imenom [1791]: tek
29. januar 10:05:32 dns systemd [1]: Zagnala domeno internetnega imena Berkeley (DNS). 29. januar 10:05:32 dns z imenom [1791]: cona 10.168.192.in-addr.arpa/IN: pošiljanje obvestil (serijska 1)

Pregledi

Preverjanja lahko izvajate na istem strežniku ali na računalniku, ki je povezan v LAN. Raje jih delamo iz ekipe sysadmin.fromlinux.fan kateremu smo izrecno dovolili opravljati prenose z območja. Datoteka / Etc / resolv.conf te ekipe je naslednje:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Ustvari iskanje po NetworkManagerju iz imenskega strežnika linux.fan 192.168.10.5

buzz @ sysadmin: ~ $ dig iz linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; globalne možnosti: + cmd iz linux.fan. 10800 V SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 iz linux.fan. 10800 V NS dns.fromlinux.fan. iz linux.fan. 10800 V MX 10 mail.fromlinux.fan. iz linux.fan. 10800 IN TXT "FromLinux, vaš spletni dnevnik, namenjen brezplačni programski opremi" ad-dc.desdelinux.fan. 10800 V 192.168.10.3 blog.desdelinux.fan. 10800 V 192.168.10.7 dns.fromlinux.fan. 10800 V 192.168.10.5 datotečni strežnik.fromlinux.fan. 10800 V 192.168.10.4 ftpserver.fromlinux.fan. 10800 V 192.168.10.8 mail.fromlinux.fan. 10800 V 192.168.10.9 proxyweb.fromlinux.fan. 10800 V 192.168.10.6 sysadmin.fromlinux.fan. 10800 V DO 192.168.10.1 iz linux.fan. 10800 V SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; Čas poizvedbe: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KDAJ: Nedelja, 29. januarja 11:44:18 EST 2017 ;; Velikost XFR: 13 zapisov (sporočila 1, bajti 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; globalne možnosti: + cmd 10.168.192.in-addr.arpa. 10800 V SOA dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 V NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 V PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 V PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 V PTR datotečni strežnik.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 V PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 V PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 V PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 V PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 V PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 V SOA dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; Čas poizvedbe: 0 ms ;; SERVER: 192.168.10.5 # 53 (192.168.10.5) ;; KDAJ: Nedelja 29. januarja 11:44:57 EST 2017 ;; Velikost XFR: 11 zapisov (sporočila 1, bajti 352)

buzz @ sysadmin: ~ $ dig IN SOA iz linux.fan
buzz @ sysadmin: ~ $ dig IN MX iz linux.fan buzz @ sysadmin: ~ $ dig IN TXT iz linux.fan
buzz @ sysadmin: ~ $ gostitelj dns
dns.fromlinux.fan ima naslov 192.168.10.5
buzz @ sysadmin: ~ $ gostitelj sysadmin
sysadmin.desdelinux.fan ima naslov 192.168.10.1 ... In vsa druga preverjanja, ki jih potrebujemo
  • Zaenkrat imamo osnovo za strežnik DNS v našem omrežju MSP. Upamo, da ste uživali v celotnem postopku, ki je bil dokaj preprost, kajne? 😉

Namestimo in konfiguriramo DHCP

[root @ dns ~] # yum namestite dhcp
Naloženi vtičniki: najhitrejše zrcalo, centos-base langpacks | 3.4 kB 00:00:00 centos-posodobitve | 3.4 kB 00:00:00 Hitrost nalaganja zrcala iz predpomnjene datoteke gostitelja Reševanje odvisnosti -> Izvajanje preizkusa transakcije ---> Paket dhcp.x86_64 12: 4.2.5-42.el7.centos mora biti nameščen -> Razreševanje odvisnosti ukinjene razrešene odvisnosti =============================================== =================================================== ==================================== Velikost repozitorija arhitekture paketov =========== =================================================== =================================================== ====================== Namestitev: dhcp x86_64 12: 4.2.5-42.el7.centos-base 511k Povzetek transakcije ==== =================================================== =================================================== ============================ Namesti 1 paket Skupna velikost prenosa: 511k Velikost namestitve: 1.4 M Ali je to v redu [y / d / N]: y Prenašanje paketov: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 Izvajanje preverjanja transakcije Izvajanje preizkusa transakcije Preizkus transakcije je uspel Zagon transakcije Namestitev: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 Preverjanje: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 Nameščeno: dhcp.x86_64 12: 4.2.5-42.el7.centos Končano!

[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # Konfiguracijska datoteka strežnika DHCP. # glej /usr/share/doc/dhcp*/dhcpd.conf.example # glej dhcpd.conf (5) man page # ddns-update-style interim; ddns-posodobitve o; ddns-ime domene "desdelinux.fan."; ddns-rev-ime domene "in-addr.arpa."; prezreti posodobitve odjemalca; avtoritativni; možnost ip-posredovanja izključena; ime domene-ime "desdelinux.fan"; # možnost ntp-strežniki 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; vključujejo "/etc/dhcp.key"; cona iz linux.fan. {primarno 127.0.0.1; ključ dhcp-ključ; } cona 10.168.192.in-addr.arpa. {primarno 127.0.0.1; ključ dhcp-ključ; } redlocal v skupnem omrežju {podomrežje 192.168.10.0 netmask 255.255.255.0 {usmerjevalniki možnosti 192.168.10.1; možnost podomrežja-maska ​​255.255.255.0; možnost oddajanja-naslov 192.168.10.255; možnost domena-ime-strežniki 192.168.10.5; možnost netbios-name-strežniki 192.168.10.5; obseg 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

[root @ dns ~] # dhcpd -t
Internet Systems Consortium DHCP Server 4.2.5 Copyright 2004-2013 Internet Systems Consortium. Vse pravice pridržane. Za informacije obiščite https://www.isc.org/software/dhcp/ Ne iščite LDAP, ker ldap-server, ldap-port in ldap-base-dn niso bili določeni v konfiguracijski datoteki

[root @ dns ~] # systemctl omogoči dhcpd
Ustvarjena je simbolna povezava od /etc/systemd/system/multi-user.target.wants/dhcpd.service do /usr/lib/systemd/system/dhcpd.service.

[root @ dns ~] # systemctl start dhcpd

[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - Naložen demon strežnika DHCPv4: naložen (/usr/lib/systemd/system/dhcpd.service; omogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: aktivno (v teku) od doma 2017-01-29 12:04:59 ITS T; Pred 23 leti Dokumenti: man: dhcpd (8) man: dhcpd.conf (5) Glavni PID: 2381 (dhcpd) Stanje: "Pošiljanje paketov ..." Skupina: /system.slice/dhcpd.service └─2381 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid 29. januar 12:04:59 dns dhcpd [2381]: Internet Systems Consortium DHCP Server 4.2.5 29. januar 12 : 04: 59 dns dhcpd [2381]: Copyright 2004-2013 Internet Systems Consortium. 29. januar 12:04:59 dns dhcpd [2381]: Vse pravice pridržane. 29. januar 12:04:59 dns dhcpd [2381]: Za informacije obiščite https://www.isc.org/software/dhcp/ 29. januar 12:04:59 dns dhcpd [2381]: LDAP ne išče od ldap -server, ldap-port in ldap-base-dn niso bili določeni v konfiguracijski datoteki 29. januarja 12:04:59 dns dhcpd [2381]: 0 datotek za zakup je zapisal v zakup. 29. januar 12:04:59 dns dhcpd [2381]: Poslušanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. januar 12:04:59 dns dhcpd [2381]: Pošiljanje na LPF / eth0 / 52: 54: 00: 12: 17: 04 / redlocal 29. januar 12:04:59 dns dhcpd [2381]: Pošiljanje v vtičnico / rezervni / nadomestni-net 29. januar 12:04:59 dns systemd [1]: Začelo DHCPv4 strežniški demon.

Kaj je še treba storiti?

Preprosto. Zaženite Windows 7 ali drugega odjemalca z brezplačno programsko opremo in začnite testirati in preverjati. To smo storili z dvema strankama: seven.fromlinux.fan y suse-desktop.fromlinux.fan. Pregledi so bili naslednji:

buzz @ sysadmin: ~ $ gostitelj sedem
seven.fromlinux.fan ima naslov 192.168.10.30

buzz @ sysadmin: ~ $ gostitelj seven.fromlinux.fan
seven.fromlinux.fan ima naslov 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT seven.fromlinux.fan
.... ;; ODDELEK VPRAŠANJA:; seven.fromlinux.fan. V TXT ;; ODDELEK ODGOVORA: seven.fromlinux.fan. 3600 V TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Ekipo "sedem" preimenujemo v "LAGER" in ponovno zaženemo. Po ponovnem zagonu novega LAGERja preverimo:

buzz @ sysadmin: ~ $ gostitelj sedem
Sedem gostiteljev ni mogoče najti: 5 (ZAVRNJENO)

buzz @ sysadmin: ~ $ gostitelj seven.fromlinux.fan
Gostitelja seven.desdelinux.fan ni mogoče najti: 3 (NXDOMAIN)

buzz@sysadmin: ~ $ gostiteljski lager
lager.desdelinux.fan ima naslov 192.168.10.30

buzz@sysadmin: ~ $ gostitelj lager.fromlinux.fan
lager.desdelinux.fan ima naslov 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT lager.fromlinux.fan
.... ;; ODDELEK VPRAŠANJA:; lager.fromlinux.fan. V TXT ;; ODDELEK ODGOVORA: lager.fromlinux.fan. 3600 V TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

Glede odjemalca suse-desktop:

buzz @ sysadmin: ~ $ gostitelj suse-dektop
Gostitelja suse-dektop ni mogoče najti: 5 (ZAVRNJENO)

buzz @ sysadmin: ~ $ gostitelj suse-namizje
suse-desktop.desdelinux.fan ima naslov 192.168.10.33

buzz @ sysadmin: ~ $ gostitelj suse-desktop.fromlinux.fan
suse-desktop.desdelinux.fan ima naslov 192.168.10.33

buzz @ sysadmin: ~ $ gostitelj 192.168.10.33
33.10.168.192.in-addr.arpa kazalec domene suse-desktop.desdelinux.fan.

buzz @ sysadmin: ~ $ gostitelj 192.168.10.30
30.10.168.192.in-addr.arpa kazalec imena domene LAGER.desdelinux.fan.
buzz @ sysadmin: ~ $ dig -x 192.168.10.33
.... ;; VPRAŠALNI ODDELEK :; 33.10.168.192.in-addr.arpa. V PTR ;; ODDELEK ODGOVORA: 33.10.168.192.in-addr.arpa. 3600 V PTR suse-desktop.fromlinux.fan. ;; ODDELEK OBLASTI: 10.168.192.in-addr.arpa. 10800 V NS dns.fromlinux.fan. ;; DODATNI ODDELEK: dns.fromlinux.fan. 10800 V 192.168.10.5 ....

buzz @ sysadmin: ~ $ dig IN TXT suse-desktop.fromlinux.fan ....
; suse-desktop.desdelinux.fan. V TXT ;; ODDELEK ODGOVORA: suse-desktop.desdelinux.fan. 3600 V TXT "31b78d287769160c93e6dca472e9b46d73"

;; ODDELEK OBLASTI: desdelinux.fan. 10800 V NS dns.fromlinux.fan. ;; DODATNI ODDELEK: dns.fromlinux.fan. 10800 V 192.168.10.5
....

Zaženimo tudi naslednje ukaze

[root @ dns ~] # kopati iz linux.fan axfr
; << >> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 << >> desdelinux.fan axfr ;; globalne možnosti: + cmd iz linux.fan. 10800 V SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 iz linux.fan. 10800 V NS dns.fromlinux.fan. iz linux.fan. 10800 V MX 10 mail.fromlinux.fan. iz linux.fan. 10800 IN TXT "FromLinux, vaš spletni dnevnik, namenjen brezplačni programski opremi" ad-dc.desdelinux.fan. 10800 V 192.168.10.3 blog.desdelinux.fan. 10800 V 192.168.10.7 dns.fromlinux.fan. 10800 V 192.168.10.5 datotečni strežnik.fromlinux.fan. 10800 V 192.168.10.4 ftpserver.fromlinux.fan. 10800 V LAGERJU 192.168.10.8 LAGER.fromlinux.fan. 3600 V TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"LAGER.fromlinux.fan.   3600 V 192.168.10.30 mail.fromlinux.fan. 10800 V 192.168.10.9 proxyweb.fromlinux.fan. 10800 V 192.168.10.6 suse-desktop.fromlinux.fan. 3600 V TXT "31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.fan. 3600 V 192.168.10.33 sysadmin.fromlinux.fan. 10800 V DO 192.168.10.1 iz linux.fan. 10800 V SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800

V zgornjem rezultatu smo poudarili krepko jih TTL -v sekundah - za računalnike z naslovi IP, ki jih odobri storitev DHCP, tiste, ki imajo izrecno izjavo TTL 3600, ki jo poda DHCP. Fiksni IP-ji temeljijo na $ TTL 3H -3 ure = 10800 sekund - deklarirani v zapisu SOA za vsako datoteko območja.

Na enak način lahko preverijo tudi vzvratno območje.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

Drugi izredno zanimivi ukazi so:

[root @ dns ~] # named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl
[root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl
[root @ dns ~] # journalctl -f

Ročno spreminjanje datotek z območji

Po DHCP začne igrati dinamično posodabljanje con datotek imenovanČe moramo kadar koli ročno spremeniti datoteko območja, moramo izvesti naslednji postopek, vendar ne preden vemo malo več o delovanju pripomočka rndc za nadzor imenskega strežnika.

[root @ dns ~] # man rndc
....
       zamrznitev [cona [razred [pogled]]]
           Začasna ustavitev posodobitev dinamičnega območja. Če območje ni določeno, so vsa območja začasno ustavljena. To omogoča ročno urejanje območja, ki se običajno posodablja z dinamično posodobitvijo. Prav tako povzroči, da se spremembe v datoteki dnevnika sinhronizirajo z glavno datoteko. Vsi poskusi dinamične posodobitve bodo zavrnjeni, medtem ko je območje zamrznjeno.

       odtajanje [cona [razred [pogled]]]
           Omogočite posodobitve zamrznjenega dinamičnega območja. Če območje ni določeno, so omogočena vsa zamrznjena območja. To povzroči, da strežnik ponovno naloži območje z diska in znova omogoči dinamične posodobitve po zaključku nalaganja. Ko se območje otopi, dinamične posodobitve ne bodo več zavrnjene. Če se je območje spremenilo in se uporablja možnost ixfr-from-razlike, bo datoteka dnevnika posodobljena tako, da odraža spremembe v območju. V nasprotnem primeru bo, če se bo območje spremenilo, odstranjena vsa obstoječa datoteka dnevnika. ....

Kaj, ste mislili, da bom prepisal celoten priročnik? ... kos in gredo z avtom. Ostalo prepuščam vam. 😉

V bistvu:

  • rndc zamrznitev [cona [razred [pogled]]], začasno ustavi dinamično posodobitev območja. Če ena ni določena, bodo vse zamrznjene. Ukaz omogoča ročno urejanje zamrznjene cone ali vseh con. Vsaka dinamična posodobitev bo zavrnjena, ko bo zamrznjena.
  • rndc taljenje [cona [razred [ogled]]], omogoča dinamične posodobitve na prej zamrznjenem območju. DNS strežnik znova naloži zonsko datoteko z diska, dinamične posodobitve pa se znova omogočijo po končanem vnovičnem nalaganju.

Previdnost pri ročnem urejanju datoteke območja? Enako, kot če bi ga ustvarjali, ne da bi pozabili povečati serijsko številko za 1 oz serijska preden shranite datoteko s končnimi spremembami.

Primer:

[root @ dns ~] # rndc zamrzne iz linux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
Datoteko območja spremenim iz kakršnega koli razloga, potrebnega ali ne. Spremembe shranim

[root @ dns ~] # rndc otoplitev iz linux.fan
Začelo se je ponovno nalaganje in odtajanje cone. Preverite dnevnike, da vidite rezultat.

[root @ dns ~] # journalctl -f
29. januar 14:06:46 dns z imenom [2257]: območje odmrzovanja 'desdelinux.fan/IN': uspeh
29. januar 14:06:46 dns z imenom [2257]: cona iz linux.fan/IN: zone serial (6) nespremenjena. območje morda ne bo prešlo na sužnje.
29. januar 14:06:46 dns z imenom [2257]: zone desdelinux.fan/IN: naložen serijski 6

Napaka v prejšnjem izhodu, ki je na konzoli prikazana rdeče, je posledica tega, da sem "pozabil" povečati serijsko številko za 1. Če bi pravilno sledil postopku, bi bil izhod:

[root @ dns ~] # journalctl -f
- Dnevniki se začnejo ob nedelji 2017-01-29 08:31:32 EST. - 29. januar 14:06:46 dns z imenom [2257]: zone desdelinux.fan/IN: naložen serijski 6. januar 29 14:10:01 dns systemd [1]: Začel sejo 43 uporabniškega korena. 29. januar 14:10:01 dns systemd [1]: Začetek 43. seje uporabniškega korena. 29. januar 14:10:01 dns CROND [2693]: (root) CMD (/ usr / lib64 / sa / sa1 1) 1. januar 29:14:10 dns z imenom [45]: prejel je ukaz nadzornega kanala 'freeze from linux. fan '2257. januar 29:14:10 dns z imenom [45]: zamrzovalno območje' desdelinux.fan/IN ': uspeh 2257. januar 29:14:10 dns z imenom [58]: prejet ukaz nadzornega kanala' thaw desdelinux.fan 'jan 2257 29:14:10 dns z imenom [58]: odmrzovalno območje 'desdelinux.fan/IN': uspeh 2257. januar 29:14:10 dns z imenom [58]: zone desdelinux.fan/IN: datoteka dnevnika je zastarela: odstranjevanje datoteke dnevnika 2257. januar 29:14:10 dns z imenom [58]: zone desdelinux.fan/IN: naložen serijski 2257
  • Bralci, ponavljam, da morate natančno prebrati izhode ukazov. Za nekaj so njegovi razvijalci toliko dela porabili za programiranje vsakega ukaza, ne glede na to, kako preprost je.

Povzetek

Doslej smo obravnavali izvajanje para DNS - DHCP, pomembnih in ključnih storitev za dobro delovanje našega omrežja MSP, in sicer pri dodeljevanju dinamičnih naslovov prek DHCP ter razrešitvi računalniških in domenskih imen prek DNS.

Resnično upamo, da ste uživali v celotnem postopku, kot smo mi. Čeprav se zdi, da je uporaba konzole težja, je z njeno pomočjo storitev v sistemu UNIX® / Linux veliko lažje in poučnejše.

Odpuščajo mi vsakršno napačno razlago pojmov, ki so bili mišljeni, ustvarjeni, napisani, popravljeni, prepisani in objavljeni v jeziku Shakespeara, ne Cervantesa. 😉

Naslednja dostava

Mislim, da je malo več istega - s teoretičnimi dodatki o zapisih DNS - vendar v Debianu. Te distribucije ne moremo pozabiti, kajne?


Vsebina članka je v skladu z našimi načeli uredniška etika. Če želite prijaviti napako, kliknite tukaj.

15 komentarja, pustite svojega

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   Cristian Mercan je dejal

    Najlepša hvala za vaše hvalevredno delo pri pisanju tako plodnih člankov. Zelo mi bo koristilo

  2.   Federico je dejal

    In najlepša hvala, Cristian, ker ste me spremljali in ocenili to objavo. Uspehi!

  3.   Ismael Alvarez Wong je dejal

    Po prvem ogledu te nove objave, ki jo je objavil Federico, je spet opazna velika profesionalnost, ki jo vidimo v celotni seriji «PYMES»; poleg odličnih podrobnosti, ki ponazarjajo vašo domeno na dveh najpomembnejših storitvah (DNS in DHCP) katerega koli omrežja. Ob tej priložnosti, za razliko od mojih prejšnjih komentarjev, čakam na drugo pripombo, potem ko sem uresničil, kar je navedeno v tem prispevku.

  4.   crespo88 je dejal

    Brez komentarjev, pa '400 !!! Fico hvala, ker dobro veste, da berem vaše objave in ne moremo zahtevati več. Začnete z zelo dobro organizacijo, od namestitve in nastavitve osebnega namizja uporabnika, delovna postaja je osnova, občutek pripadnosti tem omrežnim storitvam pa zelo dobro razložite. Plezali ste in čeprav je res, da se nivo povečuje, je res, da ste pisali in objavljali za tiste, ki so manjši od tistih, ki štartajo, za tiste, ki so že nekaj časa kot jaz in za najbolj napredne.
    Sčasoma sem prišel do zaključka, da vem, da so mnogi že prišli, teorija, ki nas toliko stane zaradi preprostega dejstva, da ne želimo brati, ker je izvrševanje že veliko lažje, ko vemo, kaj počnemo, zakaj ???, vprašanja, kje najti in kako se rešiti napake, ki povzroča toliko glavobola, ko sploh ne vemo, od kod prihajajo, vredna odvečnosti.
    Zaradi tega ne bi rad, da za seboj pustite teoretične elemente, ki jih boste o zapisih DNS vključili v naslednjo publikacijo, kot ste napovedali, še manj pa, ko gre za dragega in ljubljenega DEBIANA.
    HVALO HVALA in čakamo.

  5.   dhunter je dejal

    Odličen kot vedno Fico! Čakam na različico Debian, že leta igram vse s tem distrojem.

  6.   Federico je dejal

    Wong: Vaše mnenje po branju je veliko vredno. Pri preizkušanju vsebine čakam na vaše komentarje, ker vem, da tako radi počnete. 😉

  7.   Federico je dejal

    Crespo: Kot vedno so tudi vaši komentarji zelo dobro sprejeti. Vidim, da ste zajeli splošno smer, ki sem jo navedel v sestavi te serije. Upam, da so tako kot vi tudi mnogi že opazili. Hvala za vaš komentar.

  8.   Federico je dejal

    Dhunter: Lepo te je spet prebrati! Ne bo treba dolgo čakati. Najkasneje do ponedeljka - ali prej - bo končan za objavo. Ne mislite, da mi je enostavno pokriti tri različne distribucije, vendar Respectable Reader to zahteva. Ne le Debian in Ubuntu, ampak tudi trije, usmerjeni v MSP.

  9.   crespo88 je dejal

    Daj no, če ste objavili, je to zato, ker lahko, vas podpiramo in vemo, da boste sledili tej smernici.
    Kot dhunter čakam na izdajo Debiana z ostrimi zobmi. Bilo bi lepo, če bi se malo posvetili NTP. Sl2 in velik objem. Če bi me učitelji naučili vsega takega, HAHAJJA, platinasti študij, HAHAJJA.

  10.   Federico je dejal

    Stopnja podrobnosti v izhodih ukazov je potrebna, da pokažemo njegovo pomembnost. Veliko povedo. Res je, da le malo člankov obravnava to stopnjo podrobnosti, ker se jim zdi, da bi bili dolgi in težki članki za branje. No, del naloge SysAdmina je, da prebere te težke, podrobne izpise, ne samo pred težavo, ampak tudi pred preverjanji.

  11.   Ismael Alvarez Wong je dejal

    Pozdravljeni Federico, že prej sem obljubil, da bom napisal nekaj komentarjev, potem ko sem natančno preučil zadevno objavo; No, tukaj gremo naslednje:
    - Odlična tehnika, namesto da bi DHCP ustvaril ključ TSIG za dinamične posodobitve DNS s kopiranjem istega ključa rndc.key kot dhcp.key, kar očitno "tako preprosto" kaže, da cilj ni le tehničnost HOWTO-INSTALL-DNS - & - DHCP, vendar nas uči razmišljati, 5 ZVEZD ZA AVTORJA.
    - Zelo zanimiva v konfiguracijski datoteki DNS, named.conf, prisotnost vrstice «allow-transfer {localhost; 192.168.10.1; }; » da preizkusite domeno «desdelinux.fan» samo z delovne postaje SysAdmin in lokalnega gostitelja (samega strežnika DNS) in vstavite tudi ključ TSIG za posodobitev DNS iz DHCP.
    - Zelo dobro je ustvarjanje neposrednih in obratnih con DNS skupaj z "podrobno" razlago njihovih vrst zapisov, poleg izvrševanja ukaza "# named-checkconf -zp" za preverjanje vse sintakse imenovanega pred njegovo trda ponastavitev, pa tudi primeri izvajanja ukaza "dig" za preverjanje različnih vrst zapisov DNS.
    . V konfiguraciji DHCP (z uporabo datoteke /etc/dhcp/dhcpd.conf):
    - Kako dodati naše lokalno omrežje z obsegom za dodelitev dinamičnih naslovov IP, definicijo imenskega strežnika itd .; kot tudi, kako DHCP povem, naj posodobi zapise DNS z uporabo vrstic "ddns- ..." v njegovi konfiguraciji.
    . Ko že vse deluje, 5 ZVEZD ZA AVTORJA pri izvajanju ukaza "# dig desdelinux.fan axfr" preverite TTL računalnikov v LAN, ki imajo statični IP od tistih, ki jim je dodeljen dinamični IP.
    . Končno, VELIKO, ročno spreminjanje datotek z območij, tako da jih najprej zamrznete z "# rndc freeze desdelinux.fan", nato izvedete spremembe in na koncu odmrznete z "# rndc thaw desdelinux.fan"
    . IN NAJBOLJŠE, VSE JE BILO ODREJENO OD TERMINALA.
    Nadaljuj, Fico.

    1.    Joy je dejal

      Pozdravljeni,
      Ik kom net kijken, dit omdat ik probeer te achterhalen hoe het kan dat alles gedeeld en verwijderd wordt op mijn computer zelfs mijn foto's. Ik heb totaal geen control meer over myjn eigen computer on mobiel.
      Het zit m dus ook in het dns v dhcp. Ik weet echt niet hoe ik dit moet oplossen en het kan verwijderen. Misschien dat iemand mij wilt helpen? Dit is namelijk buiten mij om geinstalleerd. Walgelijk gedrag vind ik het.

  12.   Federico je dejal

    Wong: vaš komentar dopolnjuje članek. Resno kaže, da ste ga temeljito preučili. V nasprotnem primeru ne morete komentirati s stopnjo podrobnosti, ki jo delate. Samo dodajte to dovoli prenos Uporablja se predvsem za primere, ko imamo podrejeni DNS in omogočimo prenos con z glavnega nanj. Uporabljam ga tako, ker gre za mehanizem, ki je enostaven za izvajanje nenevarnih pregledov iz enega računalnika. Najlepša hvala za vašo oceno 5. Lep pozdrav! in vas bom še naprej čakal v naslednjih člankih.

  13.   IgnacioM je dejal

    Pozdravljeni Federico. Vem, da sem nekoliko pozen, vendar bi vas rad vprašal.
    Ali mi bo ta postopek pomagal, če želim usmeriti domeno na strežnik vps?

    Vsakih 15 minut dobim ta sistemska sporočila:

    DHCPREQUEST na eth0 do vrat 67 (xid =…)
    DHCPACK od (xid =…)
    vezana na - obnova v 970 sekundah.

    In iz tega, kar razumem, bi moral ustvariti zapis A s svojo domeno in IP-jem svojega namenskega strežnika.

    * Čestitam vam in se vam zahvaljujem za ta članek, ne vem, ali je to, kar sem iskal, vendar se mi je zdel zelo zanimiv in dobro razložen. Poleg tega sprejemam priporočilo "DNS in BIND", ki sem ga že malo ogovarjal in se mi zdi zelo zanimivo.

    Lep pozdrav iz Argentine!

    1.    antonio valdes toujague je dejal

      prosim kontaktirajte me valdestoujague@yandex.com