Tisti, ki so sledili 1., 2da, 3. y 4. del tega članka in posvetovanja z njihovimi BIND so prinesla zadovoljive rezultate, že so strokovnjaki na tem področju. :-) In brez nadaljnjega odlašanja pojdimo v zadnji del:
- Ustvarjanje datoteke glavne glavne cone tipa "Inverse" 10.168.192.in-addr.arpa
- Odpravljanje težav
- Povzetek
Ustvarjanje datoteke glavne glavne cone tipa "Inverse" 10.168.192.in-addr.arpa
Ime območja jih pripelje do vas, kajne? In to je, da so povratne cone obvezne, da imajo pravilno ločljivost imena v skladu z internetnimi standardi. Ne preostane nam drugega, kot da ustvarimo tisto, ki ustreza naši domeni. Za to uporabimo kot predlogo datoteko /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Datoteko uredimo /var/cache/bind/192.168.10.rev in pustimo tako:
; /var/cache/bind/192.168.10.rev; ; BIND povratna podatkovna datoteka za glavno cono 10.168.192.in-addr.arpa; Datoteke BIND za glavno cono (vzvratno) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; serijska 604800; osveži 86400; poskusi znova 2419200; poteče 604800); TTL negativnega predpomnilnika; @ IN NS ns. 10 V PTR ns.amigos.cu. 1 V PTR gandalf.amigos.cu. 9 V PTR mail.amigos.cu. 20 V PTR web.amigos.cu. 100 V PTR fedex.amigos.cu. ; lahko tudi zapišemo celoten naslov IP. Na primer :; 192.168.10.1 V PTR gandalf.amigos.cu.
- Opazujte, kako v tem primeru pustimo čase v sekundah, saj so privzeto ustvarjeni, ko je veži9. Deluje enako. So enaki časi, kot so navedeni v datoteki prijatelji.cu.host. Če ste v dvomih, preverite.
- Upoštevajte tudi, da prijavljamo samo povratne zapise gostiteljev, ki imajo dodeljeni ali "pravi" IP v našem LAN-u in ga enolično identificirajo.
- Ne pozabite posodobiti datoteke Reverse Zone z VSE pravilnimi naslovi IP, deklariranimi v neposredni coni.
- Ne pozabite povečati Serijska številka cone vsakič, ko spremenijo datoteko in pred ponovnim zagonom BIND.
Preverimo novo ustvarjeno cono:
named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Preverimo konfiguracijo:
named-checkconf -z imenovan-checkconf -p
Če je šlo vse v redu, ponovno zaženemo storitev:
ponovni zagon storitve bind9
Od zdaj naprej moramo vsakič, ko spremenimo conske datoteke, samo izvesti:
rndc ponovno naloži
Za to prijavimo ključ v /etc/bind/named.conf.optionsne?
Odpravljanje težav
Zelo pomembna je pravilna vsebina datoteke / Etc / resolv.conf kot smo videli v prejšnjem poglavju. V njem ne pozabite navesti vsaj naslednjega:
išči strežnik imen amigos.cu 192.168.10.20
Ukaz kopati paketa dnsutil. V konzolo vnesite ukaze pred #:
# dig -x 127.0.0.1 ..... ;; ODDELEK ODGOVORA: 1.0.0.127.in-addr.arpa. 604800 V PTR lokalni gostitelj. .... # dig -x 192.168.10.9 .... ;; ODDELEK ODGOVORA: 9.10.168.192.in-addr.arpa. 604800 V PTR mail.amigos.cu. .... # gostitelj gandalf gandalf.amigos.cu ima naslov 192.168.10.1 # gostitelj gandalf.amigos.cu gandalf.amigos.cu ima naslov 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; globalne možnosti: + cmd ;; Povezava je potekla; ni mogoče doseči nobenega strežnika # dig gandalf.amigos.cu .... ;; ODDELEK ODGOVORA: gandalf.amigos.cu. 604800 V 192.168.10.1 .... Če imajo dostop do kubanskega ali globalnega interneta in so špediterji pravilno razglašeni, poskusite: # dig debian.org .... ;; ODDELEK VPRAŠANJA :; debian.org. V ;; ODDELEK ODGOVORA: debian.org. 3600 V 86.59.118.148 debian.org. 3600 V 128.31.0.51 .... # gostitelj bohemia.cu bohemia.cu ima naslov 190.6.81.130 # gostitelj yahoo.es yahoo.es ima naslov 77.238.178.122 yahoo.es ima naslov 87.248.120.148 yahoo.es pošta je obdelana do 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; ODDELEK ODGOVORA: 122.178.238.77.in-addr.arpa. 429 V PTR w2.rc.vip.ird.yahoo.com.
... In na splošno pri drugih domenah zunaj našega LAN-a. Posvetujte se in poiščite zanimive stvari na internetu.
Eden najboljših načinov za preverjanje delovanja strežnika veži9, in na splošno pri kateri koli drugi nameščeni storitvi bere izhodne podatke Sporočila sistemskega dnevnika z uporabo ukaza tail -f / var / log / syslog zaženi kot uporabnikkoren.
Zelo zanimivo je videti izhod tega ukaza, ko lokalnemu BIND postavimo vprašanje o zunanji domeni ali gostitelju. V tem primeru je mogoče predstaviti več scenarijev:
- Če nimamo dostopa do interneta, naša poizvedba ne bo uspela.
- Če imamo dostop do interneta in NISO razglasili špediterjev, najverjetneje ne bomo dobili odgovora.
- Če imamo dostop do interneta in smo razglasili špediterje, bomo dobili odgovor, saj bodo zadolženi za posvetovanje s strežnikom DNS ali potrebnimi strežniki.
Če delamo na LAN zaprt pri katerih je nemogoče iti v tujino in nimamo nobenih špediterjev, lahko odstranimo iskalna sporočila Korenski strežniki "Praznjenje" datoteke /etc/bind/db.root. Za to datoteko najprej shranimo z drugim imenom in nato izbrišemo vso njeno vsebino. Nato preverimo konfiguracijo in znova zaženemo storitev:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p bind9 restart
Povzetek
Zaenkrat, ljudje, majhen uvod v storitev DNS. To, kar smo storili do zdaj, nam lahko popolnoma služi za naše malo podjetje. Tudi za hišo, če ustvarjamo navidezne stroje z različnimi operacijskimi sistemi in različnimi naslovi IP in se nanje ne želimo sklicevati po IP, temveč po imenu. Vedno namestim BIND na domačega gostitelja, da namestim, konfiguriram in preizkusim storitve, ki so močno odvisne od storitve DNS. Veliko uporabljam namizne in navidezne strežnike in ne maram datoteke / Etc / hosts v vsakem od strojev. Preveč se motim.
Če še nikoli niste namestili in konfigurirali BIND-a, naj vas ne odvrne, če gre v prvem poskusu kaj narobe in morate začeti znova. V teh primerih vedno priporočamo, da začnete s čisto namestitvijo. Vredno je poskusiti!
Za tiste, ki potrebujejo visoko razpoložljivost storitve ločevanja imen, ki jo lahko dosežemo s konfiguracijo sekundarnega glavnega strežnika, priporočamo, da nadaljujete z nami v naslednji pustolovščini: Sekundarni glavni DNS za LAN.
Čestitamo tistim, ki so spremljali vse članke in dosegli pričakovane rezultate!
Končno! .. zadnji prispevek: D!
Hvala, ker ste delili mojega prijatelja!
Lep pozdrav!
Zelo zanimivo, vaši članki, v freeBSD-ju za domeno .edu.mx imam nastavljen avtoritativni DNS, ki mi je doslej popolnoma uspeval, toda v zadnjem mesecu sem zaznal več napadov na strežnik, kaj bi bilo obrambne metode do izpostavljenega DNS-a? in ne vem, ali je mogoče, naj poveljnik izpostavi internetu in sekundarnemu, ki služi majhnemu lancu približno 60 računalnikov, oba DNS medsebojno povezana, ali da lahko definirajte dve coni, eno notranjo in eno zunanjo, zahvaljujoč se poveljniku
Paket squeeze bind9 ima težave z delovanjem sambe, različica 9.8.4 je že na voljo v backports podružnici squeeze, različica wheeze nima te težave, za lenny venenux.net bo paket backportirala.
Zelo dober članek.
To je edini članek, ki naredi vse, kar je dobro razloženo ..
Treba je opozoriti, da acl za spofing ne deluje, saj bi bil na enak način vbrizgan iz notranjega omrežja, rešitev bi bila zavrnitev preusmeritev za stranke in ustvariti zapleten acl, ki preprečuje prerazporeditev imen (nekaj podobnega statičnim dns)
POSEBNI NASVET:
Dobro bi bilo imeti dodatno konfiguracijo, kako narediti dns filter vsebino namesto požarnega zidu
Hvala za komentar @PICCORO !!!.
Na začetku vseh svojih člankov izjavljam, da se ne štejem za specialista. Veliko manj glede vprašanja DNS. Tu se vsi učimo. Upošteval bom vaša priporočila pri namestitvi DNS-ja, obrnjenega proti internetu in ne za navaden in preprost LAN.
ODLIČEN VODNIK !!! V veliko pomoč mi je bilo, saj sem pravkar začel s tem strežnikom, vse je delovalo v redu. Hvala in še naprej objavljajte tako odlične vadnice !!!
Fico, še enkrat ti čestitam za ta čudovit material.
Nisem strokovnjak za BIND9, oprostite, če se motim v zvezi s komentarjem, vendar mislim, da ste zamudili določitev območja za povratna iskanja v datoteki named.conf.local
Škoda, da vam Fico trenutno ne more odgovoriti.
Lep pozdrav in hvala, Elav, in tukaj se odzivam. Kot vedno priporočam, da berete počasi ... 🙂
V prispevku: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Napišem naslednje:
Spremembe datoteke /etc/bind/named.conf.local
V tej datoteki navajamo lokalna območja naše domene. Vključiti moramo vsaj naprej in nazaj območja. Ne pozabite, da v konfiguracijski datoteki /etc/bind/named.conf.options z uporabo direktive imenika deklariramo, v katerem imeniku bomo gostili datoteke Zones. Na koncu mora biti datoteka naslednja:
// /etc/bind/ named.conf.local
//
// Tu naredite katero koli lokalno konfiguracijo
//
// Razmislite o dodajanju 1918 con tukaj, če niso uporabljene v vašem
// organizacija
// vključuje "/etc/bind/zones.rfc1918";
// Imena datotek v vsakem območju so a
// potrošniški okus. Izbrali smo prijatelje.cu.hosts
// in 192.168.10.rev, ker nam dajeta njihovo jasnost
// vsebina. Skrivnosti ni več 😉
//
// Imena območij NISO SAMOSTALNA
// in bodo ustrezali imenu naše domene
// in v podomrežje LAN
// Glavna glavna cona: tip »Direct«
cona «amigos.cu» {
tip master;
datoteka "amigos.cu.hosts";
};
// Glavna glavna cona: tip «Inverse»
cona "10.168.192.in-addr.arpa" {
tip master;
datoteka "192.168.10.rev";
};
// Konec datoteke named.conf.local
Dobro, zelo zanimiva vaša objava o dns-u, pomagali so mi pri začetku teme, hvala. Pojasnjujem, da sem v tem pogledu novinec. Toda ob branju objavljenih informacij sem opazil, da delujejo s fiksnimi naslovi v gostiteljih internega omrežja. Moje vprašanje je, kako bi z notranjim omrežjem z dinamičnimi naslovi IP, ki jih dodeli strežnik dhcp, ustvarili datoteke glavne glavne cone tipa "direct" in "reverse"?
Hvaležen vam bom za luč, ki jo boste lahko dali glede obravnavane zadeve. Hvala vam. Fv
Hvala za komentar, @fabian. Oglejte si naslednje članke, za katere upam, da vam bodo pomagali pri izvedbi omrežja z dinamičnimi naslovi:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
pozdrav