Primär Master DNS för ett LAN på Debian 6.0 (II)

Vi fortsätter med vår serie artiklar och i den här kommer vi att behandla följande aspekter:

  • installation
  • Kataloger och huvudfiler

Innan du fortsätter rekommenderar vi att du inte slutar läsa:

installation

I en konsol och som användare rot vi installerade binda9:

aptitude installera bind9

Vi måste också installera paketet dnsutils som har nödvändiga verktyg för att göra DNS-frågor och diagnostisera operationen:

aptitude installera dnsutils

Om du vill läsa dokumentationen som finns i förvaret:

aptitude installera bind9-doc

Dokumentationen lagras i katalogen / usr / dela / doc / bind9-doc / arm och indexfilen eller innehållsförteckningen är Bv9ARM.html. För att öppna den kör:

firefox / usr / share / doc / bind9-doc / arm / Bv9ARM.html

När vi installerar binda9 på Debian, så gör paketet också bind9utils vilket ger oss flera mycket användbara verktyg för att upprätthålla en fungerande installation av en BIND. Bland dem kommer vi att hitta rndc, named-checkconf och named-checkzone. Dessutom paketet dnsutils bidrar med en hel serie BIND-klientprogram bland vilka kommer att vara gräva och nslookup. Vi kommer att använda alla dessa verktyg eller kommandon i följande artiklar.

För att känna till alla program i varje paket måste vi köra som användare rot:

dpkg -L bind9utils dpkg -L dnsutils

Eller gå till synaptic, leta efter paketet och se vilka filer som är installerade. Speciellt de som är installerade i mappar / Usr / bin o / usr / sbin.

Om vi ​​vill veta mer om hur man använder varje installerat verktyg eller program måste vi utföra:

man

Kataloger och huvudfiler

När vi installerar Debian skapas filen / Etc / resolv.conf. Den här filen eller "Resolver-tjänstens konfigurationsfil", Den innehåller flera alternativ som standard är domännamnet och IP-adressen till DNS-servern som deklareras under installationen. Eftersom innehållet i filens hjälp är på spanska och är mycket tydligt rekommenderar vi att du läser det med kommandot man resolv.konf.

Efter installation av binda9 I Squeeze skapas åtminstone följande kataloger:

/ etc / bind / var / cache / bind / var / lib / bind

I adressboken / etc / bind vi hittar bland annat följande konfigurationsfiler:

named.conf named.conf.options named.conf.default-zones named.conf.local rndc.key

I adressboken / var / cache / bind vi skapar filerna för Lokala områden som vi kommer att behandla senare. Av nyfikenhet kör du följande kommandon i en konsol som användare rot:

ls -l / etc / bind ls -l / var / cache / bind

Naturligtvis kommer den sista katalogen inte att innehålla någonting, eftersom vi ännu inte har skapat en lokal zon.

Att dela BIND-konfigurationen i flera filer görs för enkelhet och tydlighet. Varje fil har en specifik funktion som vi kommer att se nedan:

heter.konf: Huvudkonfigurationsfil. Den innehåller filernanamed.conf.optionsheter.conf.local y namngiven.conf.default-zoner.

named.conf.options: Allmänna alternativ för DNS-tjänster. Direktiv: katalog "/ var / cache / bind" det kommer att tala om för bind9 var man ska leta efter filerna i de skapade lokala zonerna. Vi förklarar här också servrarna “skotare"Eller i en ungefärlig översättning" Advancers "upp till ett maximalt antal 3, som är inget annat än externa DNS-servrar som vi kan konsultera från vårt nätverk (genom en brandvägg förstås) som kommer att svara på frågor eller begär att vår DNS lokal kan inte svara.

Till exempel om vi konfigurerar en DNS för LAN192.168.10.0 / 24, och vi vill att en av våra speditörer ska vara en UCI-namnserver, måste vi förklara direktivets vidarebefordran {200.55.140.178; }; IP-adress som motsvarar servern ns1.uci.cu.

På detta sätt kan vi konsultera vår lokala DNS-server som är IP-adressen för yahoo.es-värden (som uppenbarligen inte finns på vårt LAN), eftersom vår DNS frågar UCI om den vet vilken som är IP-adressen till yahoo.es, och då kommer det att ge oss ett tillfredsställande resultat eller inte. Också och i själva filen namnet.conf.option Vi kommer att förklara andra viktiga aspekter av konfigurationen som vi kommer att se senare.

namngiven.conf.default-zoner: Som namnet antyder är de standardzonerna. Här konfigurerar du BIND namnet på filen som innehåller informationen om Rootservrar eller Rootservrar som är nödvändiga för att starta DNS-cachen, mer specifikt filendb.rot. BIND instrueras också att ha full auktoritet (att vara auktoritär) i upplösningen av namn för lokalvärd, både i direkta och omvända frågor, och detsamma för "Broadcast" -områdena.

heter.conf.local: Fil där vi deklarerar den lokala konfigurationen av vår DNS-server med namnet på varje Lokala områden, och vilka kommer att vara DNS-inspelningsfilerna som kartlägger namnen på de datorer som är anslutna till vårt LAN med deras IP-adress och vice versa.

rndc.nyckel: Genererad fil som innehåller nyckeln för att styra BIND. Använda BIND-serverkontrollverktyget rndckommer vi att kunna ladda om DNS-konfigurationen utan att behöva starta om den med kommandot rndc ladda om. Mycket användbart när vi gör ändringar i filerna i de lokala zonerna.

I Debian de lokala zonerna kan också finnas i / var / lib / bind; medan i andra distributioner som Red Hat och CentOS de vanligtvis finns i  / var / lib / namngiven eller andra kataloger beroende på graden av säkerhet som implementerats.

Vi väljer katalogen / var / cache / bind det är den som föreslås som standard Debian i filen named.conf.options. Vi kan använda vilken annan katalog som helst så länge vi säger till binda9 var du ska leta efter filerna i zonerna, eller så ger vi dig den absoluta sökvägen för var och en av dem i filen heter.conf.local. Det är väldigt hälsosamt att använda de kataloger som rekommenderas av den distribution vi använder.

Det ligger utanför ramen för denna artikel att diskutera den extra säkerhet som är involverad i att skapa en bur eller chroot för BIND. Så är frågan om säkerhet genom SELinux-sammanhanget. De som behöver implementera sådana funktioner bör vända sig till manualer eller specialiserad litteratur. Kom ihåg att dokumentationspaketet bind9-doc är installerad i katalogen / usr / dela / doc / bind9-doc.

Nåväl herrar, hittills den andra delen. Vi vill inte utöka en enda artikel på grund av våra chefs goda rekommendationer. Till sist! vi kommer in i det smutsiga med BIND Setup och Testing ... i nästa kapitel.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

9 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Carlos Andres sade

    Grattis mycket bra artikel!

    1.    phico sade

      Tack så mycket ..

  2.   Harry sade

    Detta är mindre viktigt av säkerhetsskäl: Lämna inte en dns öppen (öppen resolver)

    referenser:
    1) http://www.google.com/search?hl=en&q=spamhaus+ataque
    2) http://www.hackplayers.com/2013/03/el-ataque-ddos-spamhaus-y-la-amenaza-de-dns-abiertos.html
    Jag citerar:
    «... Exempelvis uppskattar Open DNS Resolver Project (openresolverproject.org), en grupp säkerhetsexperter för att åtgärda detta, att det för närvarande finns 27 miljoner" Open Recursive Resolvers ", och 25 miljoner av dem är ett betydande hot ., latent, väntar på att släppa loss sin raseri mot ett nytt mål .. »
    hälsningar

  3.   någonsin sade

    Mycket bra att få människor till en så viktig tjänst idag som DNS.
    Vad jag gör, om jag kan påpeka en sak, är din ledsna översättning av "skotare", som ser ut som om den drogs från google translate. Rätt översättning är "Vidarebefordra servrar" eller "Vidarebefordrare."
    Allt annat, bra.
    hälsningar

    1.    federico sade

      Semantikproblem. Om du vidarebefordrar en begäran till en annan för att få ett svar, flyttar du inte fram en begäran till en annan nivå. Jag trodde att den bästa behandlingen på kubansk spanska var Adelantadores eftersom jag hänvisade till Pass eller Advance en fråga som jag (den lokala DNS) inte kunde svara på. Enkel. Det hade varit lättare för mig att skriva artikeln på engelska. Men jag klargör alltid om Mina översättningar. Tack för din snabba kommentar.

  4.   st0rmt4il sade

    Lyx;)!

    Hälsningar!

  5.   jecale47 sade

    Och för OpenSUSE?

    1.    federico sade

      CREO fungerar för alla distroer. Zones filplats varierar, tror jag. Nej?

  6.   phico sade

    Tack alla för att ni kommenterade .. och jag accepterar gärna era förslag .. 😉