Ata që ndoqën I 1-ti, 2da, I 3-ti y I 4-ti një pjesë e këtij artikulli dhe konsultat e bëra me BIND-in e tyre u kthyen rezultate të kënaqshme, ata tashmë janë ekspertë të kësaj teme. :-) Dhe pa zhurmë të mëtejshme le të hyjmë në pjesën e fundit:
- Krijimi i skedarit të Zonës Kryesore Master të llojit "Invers" 10.168.192.in-addr.arpa
- Troubleshooting
- Përmbledhje
Krijimi i skedarit të Zonës Kryesore Master të llojit "Invers" 10.168.192.in-addr.arpa
Emri i zonës i sjell për ju, apo jo? Dhe është që Zonat e Kundërta janë të detyrueshme të kenë një rezolucion të saktë të emrit sipas standardeve të Internetit. Nuk na mbetet gjë tjetër veçse të krijojmë atë që i përgjigjet domenit tonë. Për këtë ne përdorim si model skedarin /etj/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Ne editojmë skedarin /var/cache/bind/192.168.10.rev dhe e lëmë kështu:
; /var/cache/bind/192.168.10.rev; ; BIND skedari i të dhënave të kundërta për zonën master 10.168.192.in-addr.arpa; BIND Dosjet e të Dhënave për Zonën Master (Anasjelltas) 10.168.192.in-addr.arpa; $ TTL 604800 @ N SO SOA ns.amigos.cu. rrënjë.amigos.cu. (2; Serial 604800; Refresh 86400; Riprovo 2419200; Skadon 604800); Cache Negativ TTL; @ NS ns. 10 N P PTR ns.amigos.cu. 1 N P PTR gandalf.amigos.cu. 9 N P PTR mail.amigos.cu. 20 N P PTR web.amigos.cu. 100 N P PTR fedex.amigos.cu. ; mund të shkruajmë edhe adresën IP të plotë. Psh :; 192.168.10.1 N P PTR gandalf.amigos.cu.
- Vëzhgoni se si në këtë rast ne kemi lënë kohën në sekonda pasi është krijuar si parazgjedhje kur lidhin9. Funksionon njësoj. Ato janë të njëjtat herë me ato të treguara në dosje miqtë.cu.host. Kur keni dyshime, kontrolloni.
- Gjithashtu vini re se ne deklarojmë vetëm rekordet e kundërta të hostëve që kanë një IP të caktuar ose "reale" në LAN-in tonë dhe që e identifikon atë në mënyrë unike.
- Mos harroni të azhurnoni skedarin Reverse Zone me T ALL GJITHA adresat e sakta IP të deklaruara në Zonë Direkte.
- Mos harroni të rrisni Numri Serial i Zonës sa herë që ata modifikojnë skedarin dhe para se të rinisin BIND.
Le të kontrollojmë zonën e sapo krijuar:
zona me emrin 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Ne kontrollojmë konfigurimin:
me emër-çek-konf -z i quajtur-çeq-kon-p
Nëse gjithçka shkoi në rregull, ne rifillojmë shërbimin:
rinisni shërbimin bind9
Nga tani e tutje, sa herë që modifikojmë skedarët e zonës, thjesht duhet të ekzekutojmë:
ringarkoni rndc
Për këtë ne deklarojmë çelësin në /etc/bind/named.conf.options, jo?
Troubleshooting
Shumë e rëndësishme është përmbajtja e saktë e skedarit /etc/resolv.conf siç e pamë në kapitullin e mëparshëm. Mos harroni të tregoni në të paktën sa vijon:
kërko miqtë.seru i emrave të cc 192.168.10.20
komandë gërmoj të paketës dnsutil. Në një tastierë, shtypni komandat e paraprirë nga #:
# gërmoj -x 127.0.0.1 ..... ;; PJESA PRGJIGJE: 1.0.0.127.in-addr.arpa. 604800 N P PTR localhost. .... # gërmoj -x 192.168.10.9 .... ;; PJESA PRGJIGJE: 9.10.168.192.in-addr.arpa. 604800 IN PTR mail.amigos.cu. .... # host gandalf gandalf.amigos.cu ka adresë 192.168.10.1 # host gandalf.amigos.cu gandalf.amigos.cu ka adresë 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; opsionet globale: + cmd ;; skadoi lidhja; nuk mund të arrihej asnjë server # dig gandalf.amigos.cu .... ;; PJESA PRGJIGJE: gandalf.amigos.cu. 604800 N A 192.168.10.1 .... Nëse ata kanë qasje në internet Kuban ose Global, dhe Forwarders janë deklaruar saktë provoni: # dig debian.org .... ;; PJESA PYETJE :; debian.org. NE NJE ;; PJESA PSRGJIGJE: debian.org. 3600 N A një 86.59.118.148 debian.org. 3600 N A 128.31.0.51 .... # host bohemia.cu bohemia.cu ka adresë 190.6.81.130 # host yahoo.es yahoo.es ka adresë 77.238.178.122 yahoo.es ka adresë 87.248.120.148 yahoo.es merret posta nga 10 mx-eu.mail.am0.yahoodns.net. # gërmoj -x 77.238.178.122 ;; PJESA PRGJIGJE: 122.178.238.77.in-addr.arpa. 429 IN PTR w2.rc.vip.ird.yahoo.com.
… Dhe në përgjithësi me fusha të tjera jashtë LAN tonë. Konsultohuni dhe mësoni për gjëra interesante në Internet.
Një nga mënyrat më të mira për të kontrolluar funksionimin e një serveri lidhin9, dhe në përgjithësi të çdo shërbimi tjetër të instaluar, po lexon prodhimin e Mesazhet e Regjistrit të Sistemit duke përdorur komandën bisht -f / var / log / syslog ekzekutohet si përdoruesrrënjë.
Veryshtë shumë interesante të shohësh rezultatet e asaj komande kur i bëjmë BIND tonë lokal një pyetje në lidhje me një domen të jashtëm ose host. Në atë rast, mund të paraqiten disa skenarë:
- Nëse nuk kemi qasje në internet, pyetja jonë do të dështojë.
- Nëse kemi qasje në internet dhe NUK kemi deklaruar Forwarders, ka shumë të ngjarë që të mos marrim përgjigje.
- Nëse kemi qasje në internet dhe ne kemi deklaruar Forwarders, ne do të marrim një përgjigje pasi ata do të jenë të ngarkuar të konsultohen me serverin DNS ose serverat që janë të nevojshëm.
Nëse jemi duke punuar në një LAN i mbyllur në të cilën është e pamundur në asnjë mënyrë të shkosh jashtë vendit dhe nuk kemi asnjë lloj Forwarders, ne mund të eleminojmë mesazhet e kërkimit të Serverat Root "Zbrazja" e skedarit /etj/bind/db.root. Për ta bërë këtë, së pari ruajmë skedarin me një emër tjetër dhe pastaj fshijmë të gjithë përmbajtjen e tij. Pastaj ne kontrollojmë konfigurimin dhe rifillojmë shërbimin:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root me emrin-checkconf -z quajtur-checkconf -p shërbimi bind9 rinis
Përmbledhje
Deri më tani, njerëz, një prezantim i vogël në shërbimin DNS. Ajo që kemi bërë deri më tani mund të na shërbejë në mënyrë perfekte për biznesin tonë të vogël. Gjithashtu për shtëpinë nëse krijojmë makina virtuale me sisteme të ndryshme operative dhe adresa të ndryshme IP dhe nuk duam t’i referohemi me IP por me emër. Unë gjithmonë instaloj një BIND në hostin tim të shtëpisë për të instaluar, konfiguruar dhe testuar shërbime që mbështeten shumë te shërbimi DNS. Unë përdor gjerësisht Desktop dhe Serverat Virtual, dhe nuk më pëlqen të mbaj një skedar / Etc / hosts në secilën prej makinerive. Unë gaboj shumë.
Nëse nuk keni instaluar dhe konfiguruar kurrë një BIND, ju lutemi mos u shtyni nëse diçka shkon keq gjatë provës së parë dhe duhet të filloni nga e para. Ne gjithmonë rekomandojmë që në këto raste të filloni me një instalim të pastër. Vlen të provohet!
Për ata që kanë nevojë për disponueshmëri të lartë në shërbimin e zgjidhjes së emrit, gjë që mund të arrihet duke konfiguruar një server sekondar Master, ju rekomandojmë që të vazhdoni me ne në aventurën tjetër: Master dytësor DNS për një LAN.
Urime atyre që ndoqën të gjithë artikujt dhe morën rezultatet e pritura!
Më në fund! .. postimi i fundit: D!
Faleminderit për ndarjen e mikut tim!
Përshëndetje!
Shumë interesante, artikujt tuaj, unë kam një DNS autoritar të vendosur në një freeBSD për një domen .edu.mx, deri më tani ka punuar në mënyrë perfekte për mua, por muajin e fundit zbulova disa sulme, drejt serverit, çfarë do të ishte metodat e mbrojtjes ndaj një masteri të ekspozuar të DNS?
Paketa e shtrydhjes bind9 ka një problem pune me samba, një version 9.8.4 është tashmë i disponueshëm në degën e backports të shtrydhjes, versioni i wheezes nuk e ka këtë problem, për lenny venenux.net ajo do të backportojë paketën.
Artikull shume i mire.
Ky është artikulli i vetëm që bën gjithçka të shpjeguar mirë ..
Duhet të theksohet se acl për spofing nuk funksionon pasi që në të njëjtën mënyrë do të injektohet nga rrjeti i brendshëm, zgjidhja do të ishte mohimi i ridrejtimeve për klientët dhe krijimi i një acl kompleks që parandalon rivendosjen e emrave (diçka e ngjashme me dns statike)
KIPSHILL E VEÇANTE:
Një konfigurim shtesë do të ishte i mirë se si të bëni përmbajtjen e filtrit dns në vend të firewall
Faleminderit për komentin tuaj @PICCORO !!!.
Unë deklaroj në fillim të të gjithë artikujve të mi se nuk e konsideroj veten specialist. Shumë më pak për çështjen DNS. Këtu të gjithë mësojmë. Unë do të marr parasysh rekomandimet tuaja kur instaloni një DNS që përballet me internet dhe jo për një LAN normal dhe të thjeshtë.
Tutorial i shkëlqyeshëm !!! Ishte një ndihmë e madhe për mua pasi sapo fillova në këtë kthesë serverash, gjithçka funksionoi mirë. Faleminderit dhe vazhdoni të botoni udhëzime kaq madhështore !!!
Fico, edhe një herë ju përgëzoj për këtë material të shkëlqyeshëm.
Unë nuk jam ekspert në BIND9, më falni nëse jam gabim në lidhje me komentin, por mendoj se ju ka munguar përcaktimi i zonës për kërkime të kundërta në skedarin names.conf.local
Ashtë turp që Fico nuk mund të të përgjigjet tani.
Përshëndetje dhe Faleminderit, Elav, dhe këtu po përgjigjem. Si gjithmonë, ju rekomandoj që të lexoni ngadalë ...
Në postim: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Unë shkruaj si vijon:
Modifikimet në skedarin /etc/bind/named.conf.local
Në këtë skedar ne deklarojmë zonat lokale të domenit tonë. Ne duhet të përfshijmë Zonat Forward dhe Reverse si minimum. Mos harroni se në skedarin e konfigurimit /etc/bind/named.conf.options deklarojmë se në cilin direktori do të presim skedarët Zones duke përdorur direktivën e direktorisë. Në fund, skedari duhet të duket kështu:
// /etc/bind/named.conf.local
//
// Bëni ndonjë konfigurim lokal këtu
//
// Merrni parasysh shtimin e zonave të 1918 këtu, nëse ato nuk përdoren në zonat tuaja
// organizimi
// përfshijnë "/etc/bind/zones.rfc1918";
// Emrat e skedarëve në secilën zonë janë a
// shija e konsumatorit. Ne zgjodhëm miqtë.cu.hosts
// dhe 192.168.10.rev sepse ato na japin qartësinë e tyre
// përmbajtja. Nuk ka më mister
//
// Emrat e zonave NUK JAN AR ARBITRARE
// dhe do të korrespondojë me emrin e domenit tonë
// dhe në nënrrjetin LAN
// Zona Kryesore Master: lloji «Direkt»
zona «amigos.cu» {
tip master;
skedari "amigos.cu.hosts";
};
// Zona Kryesore Master: lloji «Invers»
zona "10.168.192.in-addr.arpa" {
tip master;
dosja "192.168.10.rev";
};
// Fundi i skedarit names.conf.local
Mirë, shumë interesant postimi juaj në lidhje me dns, ata më kanë ndihmuar të filloj me këtë temë, faleminderit. Unë sqaroj se unë jam një fillestar në këtë drejtim. Por duke lexuar informacionin tuaj të botuar, kam vërejtur se ai punon me adresa fikse në hostet e një rrjeti të brendshëm. Pyetja ime është, si do të bëhej me një rrjet të brendshëm me adresa dinamike të ip, të caktuara nga një server dhcp, për të krijuar skedarët e zonës kryesore kryesore të tipit "direkt" dhe "invers"?
Unë do të jem mirënjohës për dritën që mund të jepni për çështjen e ngritur. Faleminderit. Fv
Faleminderit për komentin, @fabian. Ju mund të konsultoheni me artikujt e mëposhtëm, të cilët shpresoj se do t'ju ndihmojnë të zbatoni një rrjet me adresa dinamike:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
të fala