ผู้ที่ปฏิบัติตาม วันที่ 1, 2da, วันที่ 3 y 4ta ส่วนหนึ่งของบทความนี้และการสอบถามเกี่ยวกับ BIND ของพวกเขากลับได้ผลลัพธ์ที่น่าพอใจพวกเขาเป็นผู้เชี่ยวชาญในเรื่องนี้อยู่แล้ว :-) และโดยไม่ต้องกังวลใจต่อไปเรามาดูส่วนสุดท้ายกันดีกว่า:
- การสร้างไฟล์ Main Master Zone ประเภท“ ผกผัน” 10.168.192.in-addr.arpa
- การแก้ไขปัญหา
- ข้อมูลอย่างย่อ
การสร้างไฟล์ Main Master Zone ประเภท“ ผกผัน” 10.168.192.in-addr.arpa
ชื่อพื้นที่นำมาให้คุณใช่ไหม? และเป็นสิ่งที่บังคับให้ Reverse Zones มีการแก้ปัญหาชื่อที่ถูกต้องตามมาตรฐานอินเทอร์เน็ต เราไม่มีทางเลือกอื่นนอกจากสร้างโดเมนที่สอดคล้องกับโดเมนของเรา สำหรับสิ่งนี้เราใช้เป็นเทมเพลตไฟล์ /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
เราแก้ไขไฟล์ /var/cache/bind/192.168.10.rev และเราปล่อยไว้แบบนี้:
; /var/cache/bind/192.168.10.rev; ; ผูกไฟล์ข้อมูลย้อนกลับสำหรับมาสเตอร์โซน 10.168.192.in-addr.arpa; ผูกไฟล์ข้อมูลสำหรับ Master Zone (ย้อนกลับ) 10.168.192.in-addr.arpa; $ TTL 604800 @ ใน SOA ns.amigos.cu root.amigos.cu. (2; Serial 604800; รีเฟรช 86400; ลองใหม่ 2419200; หมดอายุ 604800); แคชเชิงลบ TTL; @ ใน NS ns. 10 ใน PTR ns.amigos.cu. 1 ใน PTR gandalf.amigos.cu. 9 ใน PTR mail.amigos.cu. 20 ใน PTR web.amigos.cu. 100 ใน PTR fedex.amigos.cu. ; นอกจากนี้เรายังสามารถเขียนที่อยู่ IP แบบเต็ม เช่น; 192.168.10.1 ใน PTR gandalf.amigos.cu
- สังเกตว่าในกรณีนี้เราเหลือเวลาเป็นวินาทีตามที่สร้างขึ้นโดยค่าเริ่มต้นเมื่อไฟล์ ผูก 9. มันทำงานเหมือนกัน เวลาเดียวกันกับที่ระบุในไฟล์ friends.cu.host. หากมีข้อสงสัยให้ตรวจสอบ
- นอกจากนี้โปรดทราบว่าเราจะประกาศเฉพาะระเบียนย้อนกลับของโฮสต์ที่มี IP ที่กำหนดหรือ "จริง" บน LAN ของเราเท่านั้นและข้อมูลดังกล่าวจะระบุโดยไม่ซ้ำกัน
- อย่าลืมอัปเดตไฟล์ Reverse Zone ด้วยที่อยู่ IP ที่ถูกต้องทั้งหมดที่ประกาศใน Direct Zone
- อย่าลืมเพิ่มไฟล์ หมายเลขซีเรียลโซน ทุกครั้งที่แก้ไขไฟล์และก่อนรีสตาร์ท BIND
ตรวจสอบโซนที่สร้างขึ้นใหม่:
ชื่อ checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
เราตรวจสอบการกำหนดค่า:
named-checkconf -z ชื่อ-checkconf -p
หากทุกอย่างเรียบร้อยเราจะเริ่มบริการใหม่:
บริการ bind9 เริ่มต้นใหม่
จากนี้ไปทุกครั้งที่เราแก้ไขไฟล์โซนเราต้องดำเนินการ:
rndc รีโหลด
เพื่อที่เราจะประกาศคีย์ใน /etc/bind/named.conf.options, ไม่?
การแก้ไขปัญหา
สิ่งที่สำคัญมากคือเนื้อหาที่ถูกต้องของไฟล์ / etc / resolv.conf อย่างที่เราเห็นในบทที่แล้ว อย่าลืมระบุอย่างน้อยดังต่อไปนี้:
ค้นหา amigos.cu nameserver 192.168.10.20
คำสั่ง ขุด ของแพ็คเกจ dnsutil. บนคอนโซลพิมพ์คำสั่งที่นำหน้าด้วย #:
# ขุด -x 127.0.0.1 ..... ;; ส่วนคำตอบ: 1.0.0.127.in-addr.arpa 604800 ใน PTR localhost .... # ขุด -x 192.168.10.9 .... ;; ส่วนคำตอบ: 9.10.168.192.in-addr.arpa 604800 ใน PTR mail.amigos.cu .... # โฮสต์ gandalf gandalf.amigos.cu มีที่อยู่ 192.168.10.1 # โฮสต์ gandalf.amigos.cu gandalf.amigos.cu มีที่อยู่ 192.168.10.1 # ขุดแกนดัล์ฟ; << >> DiG 9.7.2-P3 << >> แกนดัล์ฟ ;; ตัวเลือกทั่วโลก: + cmd ;; หมดเวลาการเชื่อมต่อ; ไม่สามารถเข้าถึงเซิร์ฟเวอร์ # ขุด gandalf.amigos.cu .... ;; ส่วนคำตอบ: gandalf.amigos.cu 604800 IN A 192.168.10.1 .... หากพวกเขาสามารถเข้าถึงคิวบาหรืออินเทอร์เน็ตทั่วโลกและผู้ส่งต่อได้รับการประกาศอย่างถูกต้องให้ลอง: # dig debian.org .... ;; ส่วนคำถาม:; debian.org ใน ;; ส่วนคำตอบ: debian.org 3600 ใน A 86.59.118.148 debian.org 3600 IN A 128.31.0.51 .... # host bohemia.cu bohemia.cu มีที่อยู่ 190.6.81.130 # โฮสต์ yahoo.es yahoo.es มีที่อยู่ 77.238.178.122 yahoo.es มีที่อยู่ 87.248.120.148 yahoo.es mail ได้รับการจัดการ โดย 10 mx-eu.mail.am0.yahoodns.net # ขุด -x 77.238.178.122 ;; ส่วนคำตอบ: 122.178.238.77.in-addr.arpa 429 ใน PTR w2.rc.vip.ird.yahoo.com
…และโดยทั่วไปกับโดเมนอื่นนอก LAN ของเรา ปรึกษาและค้นหาเกี่ยวกับสิ่งที่น่าสนใจบนอินเทอร์เน็ต
วิธีที่ดีที่สุดวิธีหนึ่งในการตรวจสอบประสิทธิภาพของเซิร์ฟเวอร์ ผูก 9และโดยทั่วไปของบริการที่ติดตั้งอื่น ๆ กำลังอ่านผลลัพธ์ของไฟล์ ข้อความบันทึกระบบ โดยใช้คำสั่ง tail -f / var / log / syslog เรียกใช้ในฐานะผู้ใช้ราก.
เป็นเรื่องที่น่าสนใจมากที่ได้เห็นผลลัพธ์ของคำสั่งนั้นเมื่อเราถามคำถาม BIND ในพื้นที่ของเราเกี่ยวกับโดเมนภายนอกหรือโฮสต์ ในกรณีนี้สามารถนำเสนอสถานการณ์ต่างๆได้:
- หากเราไม่สามารถเข้าถึงอินเทอร์เน็ตการสืบค้นของเราจะล้มเหลว
- หากเราสามารถเข้าถึงอินเทอร์เน็ตและเราไม่ได้ประกาศ Forwarders เรามักจะไม่ได้รับการตอบกลับ
- หากเราสามารถเข้าถึงอินเทอร์เน็ตและเราได้ประกาศ Forwarders เราจะได้รับคำตอบเนื่องจากพวกเขาจะทำหน้าที่ให้คำปรึกษาเกี่ยวกับเซิร์ฟเวอร์ DNS ที่จำเป็น
หากเรากำลังดำเนินการกับไฟล์ LAN ปิด ซึ่งเป็นไปไม่ได้เลยที่จะไปต่างประเทศและเราไม่มี Forwarders ใด ๆ เราสามารถกำจัดข้อความค้นหาของ เซิร์ฟเวอร์รูท "การล้าง" ไฟล์ /etc/bind/db.root. ในการดำเนินการนี้ขั้นแรกให้บันทึกไฟล์ด้วยชื่ออื่นจากนั้นจึงลบเนื้อหาทั้งหมด จากนั้นเราตรวจสอบการกำหนดค่าและเริ่มบริการใหม่:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 รีสตาร์ท
ข้อมูลอย่างย่อ
จนถึงตอนนี้ผู้คนแนะนำเล็กน้อยเกี่ยวกับบริการ DNS สิ่งที่เราทำจนถึงตอนนี้สามารถให้บริการเราได้อย่างสมบูรณ์แบบสำหรับธุรกิจขนาดเล็ก นอกจากนี้สำหรับบ้านหากเราสร้างเครื่องเสมือนด้วยระบบปฏิบัติการที่แตกต่างกันและที่อยู่ IP ที่แตกต่างกันและเราไม่ต้องการอ้างถึงพวกเขาด้วย IP แต่ตามชื่อ ฉันติดตั้ง BIND บนโฮสต์ที่บ้านของฉันเสมอเพื่อติดตั้งกำหนดค่าและทดสอบบริการที่ขึ้นอยู่กับบริการ DNS เป็นอย่างมาก ฉันใช้เดสก์ท็อปและเซิร์ฟเวอร์เสมือนอย่างกว้างขวางและฉันไม่ชอบเก็บไฟล์ / etc / hosts ในแต่ละเครื่อง ฉันผิดมากเกินไป
หากคุณไม่เคยติดตั้งและกำหนดค่า BIND โปรดอย่าท้อใจหากเกิดข้อผิดพลาดในการลองครั้งแรกและคุณต้องเริ่มใหม่ทั้งหมด เราแนะนำเสมอในกรณีเหล่านี้ให้เริ่มต้นด้วยการติดตั้งใหม่ทั้งหมด มันคุ้มค่าที่จะลอง!
สำหรับผู้ที่ต้องการความพร้อมใช้งานสูงในบริการแก้ไขชื่อซึ่งสามารถทำได้โดยการกำหนดค่าเซิร์ฟเวอร์รอง Master เราขอแนะนำให้คุณดำเนินการต่อกับเราในการผจญภัยครั้งต่อไป: DNS หลักรองสำหรับ LAN
ขอแสดงความยินดีกับผู้ที่ติดตามบทความทั้งหมดและได้ผลลัพธ์ที่คาดหวัง!
สุดท้าย! .. โพสต์สุดท้าย: D!
ขอบคุณสำหรับการแบ่งปันเพื่อนของฉัน!
ทักทาย!
น่าสนใจมากบทความของคุณฉันมี DNS ที่เชื่อถือได้ตั้งค่าใน freeBSD สำหรับโดเมน. edu.mx จนถึงตอนนี้มันทำงานได้ดีสำหรับฉัน แต่ในเดือนที่แล้วฉันตรวจพบการโจมตีหลายครั้งต่อเซิร์ฟเวอร์สิ่งที่จะเป็น วิธีการป้องกัน DNS ที่เปิดเผย? และฉันไม่รู้ว่าเป็นไปได้หรือไม่ให้ต้นแบบสัมผัสกับอินเทอร์เน็ตและตัวรองที่ให้บริการ LAN ขนาดเล็กประมาณ 60 เครื่องทั้ง DNS ที่เชื่อมต่อกันหรือเพื่อให้สามารถ กำหนดสองโซนหนึ่งภายในและหนึ่งภายนอกขอบคุณในต้นแบบ
แพคเกจบีบ bind9 มีปัญหาในการทำงานกับแซมบ้าเวอร์ชัน 9.8.4 มีอยู่แล้วในสาขา backport ของการบีบรุ่นที่มีเสียงดังไม่มีปัญหานี้สำหรับ lenny venenux.net แบ็คพอร์ตแพ็คเกจ
บทความที่ดีมาก
นี่เป็นบทความเดียวที่อธิบายทุกอย่างได้ดี ..
ควรสังเกตว่า acl สำหรับ spofing ไม่ทำงานเนื่องจากในลักษณะเดียวกับที่จะถูกฉีดออกจากเครือข่ายภายในวิธีแก้ปัญหาคือปฏิเสธการเปลี่ยนเส้นทางสำหรับไคลเอนต์และสร้าง acl ที่ซับซ้อนเพื่อป้องกันการกำหนดชื่อใหม่ (สิ่งที่คล้ายกับ dns แบบคงที่)
เคล็ดลับพิเศษ:
จะเป็นการดีหากมีการกำหนดค่าเพิ่มเติมเกี่ยวกับวิธีสร้างเนื้อหากรอง DNS แทนไฟร์วอลล์
ขอบคุณสำหรับความคิดเห็น @PICCORO !!!
ฉันประกาศในตอนต้นของบทความทั้งหมดว่าฉันไม่ได้คิดว่าตัวเองเป็นผู้เชี่ยวชาญ ปัญหา DNS น้อยลงมาก ที่นี่เราทุกคนเรียนรู้ ฉันจะคำนึงถึงคำแนะนำของคุณเมื่อติดตั้ง DNS ที่หันหน้าเข้าหาอินเทอร์เน็ตไม่ใช่สำหรับ LAN ธรรมดาและธรรมดา
การสอนที่ยอดเยี่ยม !!! มันเป็นความช่วยเหลือที่ดีสำหรับฉันตั้งแต่ฉันเพิ่งเริ่มเปิดเซิร์ฟเวอร์นี้ทุกอย่างก็โอเค ขอขอบคุณและโพสต์บทเรียนดีๆเช่นนี้ต่อไป !!!
Fico ขอแสดงความยินดีอีกครั้งกับเนื้อหาที่ยอดเยี่ยมนี้
ฉันไม่ใช่ผู้เชี่ยวชาญใน BIND9 โปรดยกโทษให้ฉันหากฉันผิดเกี่ยวกับความคิดเห็น แต่ฉันคิดว่าคุณขาดการกำหนดโซนสำหรับการค้นหาย้อนกลับในไฟล์ named.conf.local
เป็นเรื่องน่าเสียดายที่ Fico ไม่สามารถตอบคุณได้ในตอนนี้
สวัสดีและขอบคุณ Elav และที่นี่ฉันกำลังตอบสนอง เช่นเคยฉันขอแนะนำให้คุณอ่านช้าๆ ... 🙂
ในโพสต์: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
ฉันเขียนสิ่งต่อไปนี้:
การแก้ไขไฟล์ /etc/bind/named.conf.local
ในไฟล์นี้เราประกาศโซนท้องถิ่นของโดเมนของเรา เราต้องรวมโซนเดินหน้าและถอยหลังเป็นขั้นต่ำ โปรดจำไว้ว่าในไฟล์คอนฟิกูเรชัน /etc/bind/named.conf.options เราประกาศว่าเราจะโฮสต์ไฟล์ Zones ในไดเร็กทอรีใดโดยใช้คำสั่งไดเร็กทอรี ท้ายที่สุดไฟล์ควรมีลักษณะดังนี้:
// /etc/bind/named.conf.local
//
// ทำการกำหนดค่าภายในเครื่องที่นี่
//
// พิจารณาเพิ่มโซน 1918 ที่นี่หากไม่ได้ใช้ในไฟล์
// องค์กร
// รวม "/etc/bind/zones.rfc1918";
// ชื่อของไฟล์ในแต่ละโซนคือไฟล์
// รสนิยมของผู้บริโภค. เราเลือก friends.cu.hosts
// และ 192.168.10.rev เพราะพวกเขาให้ความชัดเจนกับไฟล์
// เนื้อหา ไม่มีความลึกลับอีกต่อไป😉
//
// ชื่อของโซนไม่ใช่อนุญาโตตุลาการ
// และจะสอดคล้องกับชื่อโดเมนของเรา
// และไปยังเครือข่ายย่อย LAN
// Master Main Zone: ประเภท«โดยตรง»
โซน« amigos.cu » {
ประเภทต้นแบบ
ไฟล์ "amigos.cu.hosts";
};
// Master Main Zone: ประเภท«ผกผัน»
โซน "10.168.192.in-addr.arpa" {
ประเภทต้นแบบ
ไฟล์ "192.168.10.rev";
};
// สิ้นสุดไฟล์ named.conf.local
ดีน่าสนใจมากโพสต์ของคุณเกี่ยวกับ DNS พวกเขาช่วยฉันในการเริ่มต้นเรื่องนี้ขอบคุณ ฉันชี้แจงว่าฉันเป็นมือใหม่ในเรื่องนี้ แต่การอ่านข้อมูลที่คุณเผยแพร่ฉันสังเกตเห็นว่ามันใช้งานได้กับที่อยู่ถาวรในโฮสต์ของเครือข่ายภายใน คำถามของฉันคือคุณจะทำอย่างไรกับเครือข่ายภายในที่มีที่อยู่ IP แบบไดนามิกซึ่งกำหนดโดยเซิร์ฟเวอร์ dhcp เพื่อสร้างไฟล์ของโซนหลักหลักประเภท "โดยตรง" และ "ย้อนกลับ"
ฉันจะขอบคุณสำหรับความสว่างที่คุณสามารถให้ในเรื่องที่เกิดขึ้น ขอขอบคุณ. Fv
ขอบคุณสำหรับความคิดเห็น @fabian คุณสามารถอ่านบทความต่อไปนี้ซึ่งฉันหวังว่าจะช่วยให้คุณติดตั้งเครือข่ายที่มีที่อยู่แบบไดนามิก:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
ความนับถือ