เป็นความพยายามอย่างมากในการลดบทความเล็ก ๆ 5 บทความความรู้ก่อนหน้าการติดตั้งการกำหนดค่าและการสร้างโซนและการตรวจสอบการผูกเพื่อให้สามารถเข้าใจได้โดยผู้อ่านจำนวนมากที่สุดซึ่งเป็นจุดประสงค์พื้นฐานของเรา .
ผู้ที่มีความอดทนในการอ่านไฟล์ วันที่ 1 y 2da สำหรับส่วนหนึ่งของบทความนี้พวกเขาพร้อมที่จะดำเนินการต่อด้วยการกำหนดค่าและตั้งค่าเซิร์ฟเวอร์ชื่อโดเมนสำหรับ LAN
สำหรับใหม่และสำหรับผู้ที่ไม่ชัดเจนเกี่ยวกับแนวคิดที่สรุปไว้ในส่วนก่อนหน้านี้เราขอแนะนำให้คุณอ่านและศึกษาก่อนดำเนินการต่อ ปกติผู้ต้องสงสัยถึงความสิ้นหวัง! ย้อนกลับไปหากคุณไม่ได้อ่านอย่างละเอียด
เราจะเห็นด้านล่าง:
- ข้อมูลหลักของ LAN
- การกำหนดค่าโฮสต์ขั้นต่ำ
- การแก้ไขไฟล์ /etc/resolv.conf
- การแก้ไขไฟล์ /etc/bind/named.conf
- การแก้ไขไฟล์ /etc/bind/named.conf.option
- การแก้ไขไฟล์ /etc/bind/named.conf.local
ข้อมูลหลักของ LAN
ชื่อโดเมน LAN: amigos.cu LAN Subnet: 192.168.10.0/255.255.255.0 BIND Server IP: 192.168.10.10 Server NetBIOS Name: ns
แม้ว่าจะเห็นได้ชัด แต่อย่าลืมเปลี่ยนข้อมูลก่อนหน้านี้ด้วยตัวคุณเอง
การกำหนดค่าโฮสต์ขั้นต่ำ
เป็นสิ่งสำคัญมากที่จะต้องกำหนดค่าไฟล์ให้ถูกต้อง / etc / เครือข่าย / อินเตอร์เฟซ y/ etc / hosts เพื่อให้ได้ประสิทธิภาพ DNS ที่ดี หากมีการประกาศข้อมูลทั้งหมดในระหว่างการติดตั้งไม่จำเป็นต้องแก้ไขใด ๆ เนื้อหาของแต่ละรายการต้องมีดังต่อไปนี้:
# เนื้อหาของไฟล์ / etc / network / interface # ไฟล์นี้อธิบายอินเตอร์เฟสเครือข่ายที่มีอยู่ในระบบของคุณ # และวิธีเปิดใช้งาน สำหรับข้อมูลเพิ่มเติมโปรดดูอินเทอร์เฟซ (5) # อินเทอร์เฟซเครือข่ายแบบวนกลับอัตโนมัติ lo iface lo inet loopback # อินเทอร์เฟซเครือข่ายหลัก allow-hotplug eth0 iface eth0 inet ที่อยู่คงที่ 192.168.10.10 netmask 255.255.255.0 เครือข่าย 192.168.10.0 ออกอากาศ 192.168.10.255 เกตเวย์ 192.168.10.2 ตัวเลือก # dns- * คือ ดำเนินการโดยแพ็คเกจ resolvconf หากติดตั้ง dns-nameserver 192.168.10.10 dns-search amigos.cu # content of / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # บรรทัดต่อไปนี้เป็นที่พึงปรารถนาสำหรับโฮสต์ที่รองรับ IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters
การแก้ไขไฟล์ /etc/resolv.conf
เพื่อให้การสืบค้นและการตรวจสอบของเราทำงานได้อย่างถูกต้องจำเป็นต้องประกาศในการกำหนดค่าภายในของโฮสต์ซึ่งจะเป็นโดเมนการค้นหาของเราและจะเป็น DNS ในเครื่องของเรา หากไม่มีพารามิเตอร์ข้างต้นอย่างน้อยการสืบค้น DNS ใด ๆ จะล้มเหลว และนี่เป็นข้อผิดพลาดที่ผู้เริ่มต้นหลายคนทำ มาแก้ไขไฟล์กัน / etc / resolv.conf และเราปล่อยให้มันมีเนื้อหาต่อไปนี้:
# เนื้อหาของ /etc/resolv.conf ค้นหา friends.cu nameserver 192.168.10.10
บนคอมพิวเตอร์ที่เราติดตั้งเซิร์ฟเวอร์ DNS เราสามารถเขียน:
ค้นหา amigos.cu nameserver 127.0.0.1
ในเนื้อหาข้างต้นคำสั่ง nameserver ฮิตระบุว่าจะมีการสอบถามข้อมูล localhost.
หลังจากที่เรากำหนดค่า BIND ของเราอย่างถูกต้องแล้วเราสามารถทำการสืบค้น DNS จากโฮสต์ของเราได้ไม่ว่าจะเป็นเซิร์ฟเวอร์เอง ผูก 9 หรือเครือข่ายอื่นที่เชื่อมต่อกับเครือข่ายและอยู่ในเครือข่ายย่อยเดียวกันและมีเน็ตเวิร์กมาสก์เดียวกัน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับไฟล์ให้เรียกใช้ คน resolv.conf.
การแก้ไขไฟล์ /etc/bind/named.conf
เพื่อ จำกัด การสืบค้นให้อยู่ใน BIND ของเราเพื่อให้ตอบสนองต่อเครือข่ายย่อยของเราเท่านั้นและป้องกันการโจมตี การปลอมแปลงเราประกาศในไฟล์ ชื่อ.conf Access Control List หรือ ACL (Access Control List) และเราเรียกมันว่า ติดหล่ม. ไฟล์ชื่อ.conf ควรเป็นดังนี้:
// /etc/bind/named.conf // นี่คือไฟล์คอนฟิกูเรชันหลักสำหรับเซิร์ฟเวอร์ BIND DNS ที่ชื่อ // // โปรดอ่าน /usr/share/doc/bind9/README.Debian.gz สำหรับข้อมูลเกี่ยวกับ // โครงสร้างของไฟล์คอนฟิกูเรชัน BIND ใน Debian * ก่อน * ที่คุณกำหนดเอง // ไฟล์คอนฟิกูเรชันนี้ // // หากคุณกำลังเพิ่มโซนโปรดทำใน /etc/bind/named.conf.local // // ความคิดเห็นในภาษาสเปนเป็นของเรา // เราปล่อยให้ต้นฉบับเป็นภาษาอังกฤษ // ระวังการคัดลอกและวาง // อย่าเว้นช่องว่างที่ส่วนท้ายของแต่ละบรรทัด // // รายการควบคุมการเข้าถึง: // จะอนุญาตการสืบค้นจากโดเมนภายในและจากเครือข่ายย่อยของเรา // ในไฟล์ที่รวม named.conf.options เราจะอ้างถึง . acl ติดหล่ม {127.0.0.0/8; 192.168.10.0/24; }; รวม "/etc/bind/named.conf.options"; รวม "/etc/bind/named.conf.local"; รวม "/etc/bind/named.conf.default-zones"; // ท้ายไฟล์ /etc/bind/named.conf
ตรวจสอบการกำหนดค่า BIND กันแล้วเริ่มบริการใหม่:
ชื่อ-checkconf -z บริการ bind9 เริ่มต้นใหม่
การแก้ไขไฟล์ /etc/bind/named.conf.options
ในส่วนแรก“ตัวเลือก"เราจะประกาศเฉพาะ ลำเลียงและใครจะเป็นคนที่สามารถปรึกษา BIND ของเราได้ จากนั้นเราจะประกาศคีย์หรือ สำคัญ ซึ่งเราสามารถควบคุมไฟล์ ผูก 9และสุดท้ายจากโฮสต์ใดที่เราสามารถควบคุมได้ หากต้องการทราบว่าสิ่งใดเป็นกุญแจสำคัญเราต้องทำ แมว /etc/bind/rndc.key. เราคัดลอกผลลัพธ์และวางลงในไฟล์ named.conf.options. ท้ายที่สุดไฟล์ของเราควรมีลักษณะดังนี้:
// /etc/bind/named.conf.options ตัวเลือก {// ระวังการคัดลอกและวางโปรด ... // ไดเร็กทอรีเริ่มต้นเพื่อค้นหาไดเร็กทอรีไฟล์ Zones ของเรา "/ var / cache / bind"; // หากมีไฟร์วอลล์ระหว่างคุณและเนมเซิร์ฟเวอร์ที่คุณต้องการ // คุยด้วยคุณอาจต้องแก้ไขไฟร์วอลล์เพื่อให้พอร์ต // หลายพอร์ตสามารถพูดคุยได้ โปรดดู http://www.kb.cert.org/vuls/id/800113 // หาก ISP ของคุณให้ที่อยู่ IP อย่างน้อยหนึ่งรายการสำหรับเซิร์ฟเวอร์ชื่อ // ที่เสถียรคุณอาจต้องการใช้เป็นตัวส่งต่อ // ยกเลิกการใส่เครื่องหมายในบล็อกต่อไปนี้และแทรกที่อยู่แทนที่ // ตัวยึดตำแหน่งของ all-0 // ตัวส่งต่อ {// 0.0.0.0; // 0.0.0.0; //} // ผู้ส่งต่อ ฉันไม่มีคำแปลที่ดีกว่า // ที่อยู่มาจากเซิร์ฟเวอร์ของ ceniai.net.cu // หากไม่สามารถเข้าถึงอินเทอร์เน็ตได้ก็ไม่จำเป็น // ต้องประกาศเว้นแต่คุณจะมี LAN ที่ซับซ้อนกว่า // กับเซิร์ฟเวอร์ DNS ที่ทำหน้าที่เป็นตัวส่งต่อภายนอก // ของช่วงที่อยู่ IP ของซับเน็ตของคุณ ในกรณีนั้น // คุณต้องประกาศ IP ของเซิร์ฟเวอร์เหล่านั้น // ข้อความค้นหาของ Forwarders คือ Cascade ผู้ส่งต่อ {169.158.128.136; 169.158.128.88; }; // บน LAN ที่กำหนดค่าไว้อย่างดีควรทำการสืบค้น DNS ทั้งหมด // ไปยังเซิร์ฟเวอร์ DNS ภายในบน LAN นั้น // ห้ามไปยังเซิร์ฟเวอร์ภายนอก LAN // โดยเฉพาะอย่างยิ่งเมื่อคุณมีอินเทอร์เน็ต // ไม่ว่าจะเป็นระดับชาติหรือนานาชาติ สำหรับสิ่งนั้น // เราประกาศว่า Forwarders auth-nxdomain no; # สอดคล้องกับ RFC1035 listen-on-v6 {any; }; // ป้องกันการปลอมแปลง allow-query {mired; }; }; // เนื้อหาของไฟล์ / etc / bind / rndc-key // ได้มาจาก cat / etc / bind / rndc-key // อย่าลืมเปลี่ยนถ้าเราสร้างคีย์ "rndc-key" ขึ้นมาใหม่ {algorithm hmac-md5; ลับ "dlOFESXTp2wYLa86vQNU6w =="; }; // จากโฮสต์ใดที่เราจะควบคุมและผ่านการควบคุมคีย์ใด {inet 127.0.0.1 อนุญาตให้ {localhost; } คีย์ {rndc-key; }; }; // end ไฟล์ /etc/bind/named.conf.options
ตรวจสอบการกำหนดค่า BIND กันแล้วเริ่มบริการใหม่:
ชื่อ-checkconf -z บริการ bind9 เริ่มต้นใหม่
เราได้ตัดสินใจที่จะรวมเป็น // ความคิดเห็น ประเด็นพื้นฐานที่สามารถใช้เป็นข้อมูลอ้างอิงสำหรับการปรึกษาหารือในอนาคต
ข้อเท็จจริงของการประกาศ Forwarders จะแปลงเซิร์ฟเวอร์ BIND Local ของเราให้เป็นเซิร์ฟเวอร์Cachéโดยยังคงฟังก์ชันการทำงานหลัก เมื่อเราขอโฮสต์หรือโดเมนภายนอกคำตอบ - หากเป็นค่าบวก - จะถูกเก็บไว้ในแคชดังนั้นเมื่อเราถามอีกครั้งสำหรับโฮสต์เดียวกันหรือสำหรับโดเมนภายนอกเดียวกันเราจะได้รับคำตอบอย่างรวดเร็วโดยไม่ ให้คำปรึกษากลับไปยัง DNS ภายนอก
การแก้ไขไฟล์ /etc/bind/named.conf.local
ในไฟล์นี้เราประกาศโซนท้องถิ่นของโดเมนของเรา เราต้องรวมโซนเดินหน้าและถอยหลังให้น้อยที่สุด จำไว้ว่าในไฟล์กำหนดค่า/etc/bind/named.conf.options เราประกาศว่าเราจะโฮสต์ไฟล์ Zones ในไดเรกทอรีใดโดยใช้คำสั่งไดเร็กทอรี ท้ายที่สุดไฟล์ควรเป็นดังนี้:
// /etc/bind/named.conf.local // // ทำการกำหนดค่าภายในเครื่องที่นี่ // // พิจารณาเพิ่มโซน 1918 ที่นี่หากไม่ได้ใช้ใน // organization // include "/ etc / bind /zones.rfc1918 "; // ชื่อไฟล์ในแต่ละโซนคือ // รสนิยมของผู้บริโภค เราเลือก amigos.cu.hosts // และ 192.168.10.rev เพราะให้ความชัดเจนใน // เนื้อหา ไม่มีความลึกลับอีกต่อไป // // ชื่อของโซนไม่ใช่ ARBITRARY // และจะสอดคล้องกับชื่อโดเมนของเรา // และกับซับเน็ต LAN // Main Master Zone: พิมพ์ "Direct" zone "amigos.cu "{นายพิมพ์; ไฟล์ "amigos.cu.hosts"; }; // Master Main Zone: พิมพ์ "Inverse" zone "10.168.192.in-addr.arpa" {พิมพ์ master; ไฟล์ "192.168.10.rev"; }; // สิ้นสุดไฟล์ named.conf.local
ในการตรวจสอบการกำหนดค่า BIND จนถึงตอนนี้:
ชื่อ -checkconf -z
คำสั่งก่อนหน้านี้จะส่งคืนข้อผิดพลาดจนกว่าไฟล์โซนจะไม่มีอยู่ สิ่งสำคัญคือมันเตือนเราว่าโซนที่ประกาศใน named.conf.local จะไม่ถูกโหลดเนื่องจากไม่มีไฟล์บันทึก DNS ซึ่งเป็นความจริงในตอนนี้ เราสามารถก้าวต่อไป
เริ่มบริการใหม่เพื่อให้การเปลี่ยนแปลงถูกนำมาพิจารณา:
บริการ bind9 เริ่มต้นใหม่
เนื่องจากเราไม่ต้องการให้แต่ละโพสต์มีความยาวมากนักเราจะแก้ไขปัญหาในการสร้างไฟล์ Local Zones ในส่วนที่ 4 ถัดไป ถึงแล้วเพื่อน!
ขอบคุณ!
วันนี้เป็นเรื่องยากที่จะเห็นโพสต์คุณภาพนี้บนอินเทอร์เน็ต!
ทักทาย!
ขอบคุณมากสำหรับความคิดเห็น.. มีความสุขที่ได้อ่านเรื่องแบบนั้น .. 😉
บทความยอดเยี่ยม!
ขอบคุณ fico, Elav, KZ ยังไงก็ตาม… DesdeLinux เพราะมีอยู่
โดยรวมสามารถติดตั้งปลั๊กอินที่อนุญาตให้ดาวน์โหลดบทความเป็น pdf (สไตล์ HumanOS)
ความนับถือ
รีบ
ขอบคุณทุกความคิดเห็น เราเรียนรู้ทั้งหมด
การดาวน์โหลดบทความในรูปแบบ PDF ไม่รวมความคิดเห็นของเพื่อนและเพื่อนร่วมงานซึ่งช่วยเสริมโพสต์และมีประโยชน์มาก การให้คำแนะนำโดยไม่มีความคิดเห็นเป็นไปไม่ได้ในทางปฏิบัติเนื่องจากความกว้างของหัวข้อ UNIX / Linux นั้นกว้างมากที่จะขัดขวางประสบการณ์ของทุกคน
บทความยอดเยี่ยม!
เป็นที่ชัดเจนว่าความคิดเห็นเสริมข้อมูลของบทความพวกเขายังแนะนำสิ่งที่อาจยังคงอยู่หรือสามารถเพิ่มได้ แต่ฉันก็ยังคงรักษาความคิดของฉันไว้ว่ามันจะเหมาะอย่างยิ่งหากบทความสามารถบันทึกเป็น pdf ได้อย่างน้อยก็สำหรับฉัน
กอดจากคิวบาและรอคอย
วิ่ง:
ชื่อ -checkconf -z
ฉันรู้สึกเหมือน:
/etc/bind/named.conf.options:30: ตัวเลือกที่ไม่รู้จัก 'controls'
ฉันตอบตัวเอง: คุณต้องวางส่วนควบคุมไว้นอกส่วนตัวเลือก
ฉันต้องการมีส่วนร่วมกับบางสิ่ง: ถ้าแทนที่จะคัดลอกและวางในไฟล์ named.conf.options
คีย์ "rndc-key" {
อัลกอริทึม hmac-md5;
ลับ "dlOFESXTp2wYLa86vQNU6w ==";
};
เราสร้าง:
รวม "/etc/bind/rndc.key";
ในไฟล์ named.conf ฉันคิดว่ามันก็ใช้ได้เช่นกัน
อาศิรพจน์