NSD Authoritarian DNS Server + Shorewall - เครือข่าย SME

ดัชนีทั่วไปของซีรี่ส์: Computer Networks for SMEs: Introduction

บทความนี้เป็นความต่อเนื่องของ:

• การตรวจสอบ Squid + PAM บน CentOS 7.
• ผู้ใช้ภายในและการจัดการกลุ่ม

สวัสดีเพื่อนและเพื่อน!

กลุ่ม ผู้ที่ชื่นชอบ ซื้อชื่อโดเมนอินเทอร์เน็ต desdelinux.พัดลม ไปยังผู้ให้บริการอินเทอร์เน็ตของคุณหรือ ISP. ในการซื้อกิจการครั้งนั้นพวกเขาขอให้ ISP รวมระเบียน DNS ทั้งหมดที่จำเป็นสำหรับการค้นหาที่เกี่ยวข้องเกี่ยวกับโดเมนของตนเพื่อแก้ไขจากอินเทอร์เน็ต

พวกเขายังขอให้รวมบันทึก SRV เกี่ยวกับไฟล์ XMPP เนื่องจากพวกเขาวางแผนที่จะติดตั้งเซิร์ฟเวอร์การส่งข้อความโต้ตอบแบบทันทีโดยใช้ ฉันทลักษณ์ ที่จะเข้าร่วมสหพันธ์ที่มีอยู่ของเซิร์ฟเวอร์ XMMP ที่เข้ากันได้บนอินเทอร์เน็ต

• วัตถุประสงค์หลักของบทความนี้คือการแสดงให้เห็นว่าเราสามารถสะท้อนในไฟล์โซน DNS บันทึก SRV ที่เกี่ยวข้องกับบริการ Instant Messaging ที่เข้ากันได้กับ XMPP ได้อย่างไร.
• การติดตั้งไฟล์ ชอร์วอลล์ ด้วยอินเทอร์เฟซเครือข่ายเดียวสามารถให้บริการผู้ที่ตัดสินใจติดตั้งเซิร์ฟเวอร์เช่นนี้เพื่อจัดการ DNS Zone ที่ได้รับมอบหมาย. หากเซิร์ฟเวอร์นั้นเชื่อมต่อกับ Enterprise LAN นอกเหนือจากอินเทอร์เน็ตการตั้งค่าที่จำเป็นจะต้องทำเพื่อใช้อินเทอร์เฟซเครือข่ายสองแบบ.

เซิร์ฟเวอร์ฐาน

เรากำลังจะติดตั้ง NSD เซิร์ฟเวอร์ DNS ที่เชื่อถือได้บน เดเบียน "เจสซี". นี่คือเซิร์ฟเวอร์รูทสำหรับโดเมน "fan" พารามิเตอร์หลักของเซิร์ฟเวอร์คือ:

ชื่อ: ns.fan ที่อยู่ IP: 172.16.10.30 root @ ns: ~ # hostname
ns

root @ ns: ~ # ชื่อโฮสต์ --fqdn
ns.แฟน

root @ ns: ~ # ip addr แสดง
1: อะไร: mtu 65536 qdisc noqueue state UNKNOWN group default link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 ขอบเขตโฮสต์ lo valid_lft ตลอดไปที่ต้องการ _lft ตลอดไป inet6 :: โฮสต์ขอบเขต 1/128 valid_lft ตลอดไปที่ต้องการ _lft ตลอดไป 2: eth0: mtu 1500 qdisc pfifo_fast state UP กลุ่มเริ่มต้นลิงก์ qlen 1000 / อีเธอร์ 00: 0c: 29: dc: d7: 1b brd ff: ff: ff: ff: ff: ff inet 172.16.10.30/24 brd 172.16.10.255 ขอบเขต global eth0 valid_lft ตลอดไปที่ต้องการ _lft ตลอดไป inet6 fe80 :: 20c: 29ff: fedc: d71b / 64 ขอบเขตลิงค์ valid_lft ตลอดไปที่ต้องการ _lft ตลอดไป

ชอร์วอลล์

ก่อนที่จะออกไปให้บริการ WWW Village เป็นเรื่องดีมากที่จะปกป้องเซิร์ฟเวอร์และบริการที่ให้ผ่าน Firewall - Router ที่มีประสิทธิภาพ Shorewall ค่อนข้างง่ายในการกำหนดค่าและเป็นตัวเลือกที่ปลอดภัยสำหรับการป้องกัน

• การกำหนดค่าไฟร์วอลล์ที่ถูกต้องและสมบูรณ์เป็นหน้าที่ของผู้ที่ชื่นชอบหรือผู้เชี่ยวชาญซึ่งเราไม่ใช่ เรานำเสนอเพียงคำแนะนำสำหรับการกำหนดค่าขั้นต่ำและใช้งานได้.

เราติดตั้งแพ็คเกจ shorewall และเอกสารประกอบ

root @ ns: ~ # ความถนัดโชว์ shorewall
Package: shorewall ใหม่: ใช่เงื่อนไข: ไม่ได้ติดตั้ง
เวอร์ชัน: 4.6.4.3-2

root @ ns: ~ # aptitude ติดตั้ง shorewall shorewall-doc

เอกสาร

คุณจะพบเอกสารมากมายในโฟลเดอร์:

• / usr / share / doc / shorewall
• / usr / share / doc / shorewall / ตัวอย่าง
• / usr / share / doc / shorewall-doc / html

เรากำหนดค่าสำหรับอินเทอร์เฟซเครือข่าย

รูท @ ns: ~ # cp / usr / share / doc / shorewall / samples / one-interface / interface \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / อินเทอร์เฟซ
#ZONE INTERFACE OPTIONS net eth0 tcpflags, logmartians, nosmurfs, sourceroute = 0

เราประกาศโซนไฟร์วอลล์

รูท @ ns: ~ # cp / usr / share / doc / shorewall / example / one-interface / zones \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / โซน
#ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4

นโยบายเริ่มต้นในการเข้าถึงไฟร์วอลล์

รูท @ ns: ~ # cp / usr / share / doc / shorewall / samples / one-interface / policy \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / policy
#SOURCE DEST POLICY LOG LEVEL LIMIT: BURST $ FW net ACCEPT
สุทธิข้อมูล DROP ทั้งหมด
# นโยบายต่อไปนี้ต้องเป็นข้อมูลที่ปฏิเสธทั้งหมด

กฎสำหรับการเข้าถึงไฟร์วอลล์

รูท @ ns: ~ # cp / usr / share / doc / shorewall / samples / one-interface / rules \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / กฎ
# ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER / MARK CON $ # PORT PORT (S) DEST LIMIT GROUP? SECTION ALL? SECTION ESTABLISHED? SECTION RELATED? SECTION INVALID? SECTION UNTRACKED? SECTION NEW # DROP packets in INVardED state แพ็กเก็ตในสถานะที่ไม่ถูกต้อง Invalid (DROP) net $ FW tcp # Drop Ping จาก "bad" สุทธิ zone .. และป้องกันไม่ให้ log ของคุณถูกน้ำท่วม .. # ทิ้ง Ping จากเน็ต "เสีย" # ป้องกันน้ำท่วมบันทึกระบบ (/ var / log / syslog) Ping (DROP) net $ FW # อนุญาตการรับส่งข้อมูล ICMP ทั้งหมดจากไฟร์วอลล์ไปยังโซนเน็ต # อนุญาตการรับส่งข้อมูล ICMP ทั้งหมดจากไฟร์วอลล์ไปยังโซน สุทธิ. ยอมรับ icmp สุทธิ $ FW

# กฎของตัวเอง # เข้าถึงผ่าน SSH จากคอมพิวเตอร์สองเครื่อง
SSH / ACCEPT net: 172.16.10.1,172.16.10.10 $ FW tcp 22

# อนุญาตการรับส่งข้อมูลบนพอร์ต 53 / tcp และ 53 / udp
ACCEPT net $ FW tcp 53
ACCEPT net $ FW udp 53

เราตรวจสอบไวยากรณ์ของไฟล์กำหนดค่า

root @ ns: ~ # shorewall ตรวจสอบ
กำลังตรวจสอบ ... กำลังประมวลผล / etc / shorewall / params ... กำลังประมวลผล /etc/shorewall/shorewall.conf ... กำลังโหลดโมดูล ... กำลังตรวจสอบ / etc / shorewall / โซน ... กำลังตรวจสอบ / etc / shorewall / อินเทอร์เฟซ .. การกำหนดโฮสต์ในโซน ... การค้นหาไฟล์การดำเนินการ ... การตรวจสอบ / etc / shorewall / policy ... การเพิ่มกฎ Anti-smurf การตรวจสอบการกรองธง TCP ... การตรวจสอบการกรองเส้นทางเคอร์เนล ... การตรวจสอบการบันทึกบนดาวอังคาร ... การตรวจสอบ ยอมรับการกำหนดเส้นทางต้นทาง ... การตรวจสอบการกรอง MAC - ระยะที่ 1 ... การตรวจสอบ / etc / shorewall / กฎ ... การตรวจสอบ / etc / shorewall / conntrack ... การตรวจสอบการกรอง MAC - ระยะที่ 2 ... การใช้นโยบาย .. กำลังตรวจสอบ /usr/share/shorewall/action.Drop สำหรับ chain Drop ... กำลังตรวจสอบ /usr/share/shorewall/action การออกอากาศสำหรับการออกอากาศแบบ chain ...

root @ ns: ~ # nano / etc / default / shorewall
# ป้องกันการเริ่มต้นด้วยการกำหนดค่าเริ่มต้น # ตั้งค่าตัวแปรต่อไปนี้เป็น 1 เพื่อให้ Shorewall เริ่มทำงาน
เริ่มต้น =1
------

root @ ns: ~ # service shorewall start
root @ ns: ~ # service shorewall เริ่มต้นใหม่
root @ ns: ~ # service shorewall สถานะ
● shorewall.service - LSB: กำหนดค่าไฟร์วอลล์ในเวลาบูต Loaded: loaded (/etc/init.d/shorewall) Active: active (exited) ตั้งแต่อาทิตย์ 2017-04-30 16:02:24 EDT; 31 นาทีก่อนกระบวนการ: 2707 ExecStop = / etc / init.d / shorewall stop (code = exited, status = 0 / SUCCESS) Process: 2777 ExecStart = / etc / init.d / shorewall start (code = exited, status = 0 / ความสำเร็จ)

เป็นเรื่องที่น่าศึกษามากในการอ่านผลลัพธ์ของคำสั่งอย่างละเอียด iptables -L โดยเฉพาะอย่างยิ่งเกี่ยวกับนโยบายเริ่มต้นสำหรับ INPUT, FORWARD, OUTPUT และนโยบายที่ปฏิเสธ - ปฏิเสธ ไฟร์วอลล์เพื่อป้องกันการโจมตีจากภายนอก อย่างน้อยคุณก็เข้าสู่อินเทอร์เน็ตโดยมีการป้องกันเล็กน้อยใช่ไหม? 😉

รูท @ ns: ~ # iptables -L

NSD

root @ ns: ~ # แสดงความถนัด nsd
แพ็คเกจ: nsd ใหม่: ใช่สถานะ: ติดตั้งติดตั้งโดยอัตโนมัติ: ไม่
เวอร์ชัน: 4.1.0-3

root @ ns: ~ # aptitude ติดตั้ง nsd
รูท @ ns: ~ # ls / usr / share / doc / nsd /
สนับสนุน changelog.Debian.gz NSD-DIFFFILE REQUIREMENTS.gz ตัวอย่าง changelog.gz NSD-FOR-BIND-USERS.gz ความแตกต่างของลิขสิทธิ์ TODO.gz.pdf.gz README.gz การอัปเกรดเครดิต NSD-DATABASE RELNOTES.gz

รูท @ ns: ~ # nano /etc/nsd/nsd.conf
# ไฟล์กำหนดค่า NSD สำหรับ Debian # ดูหน้าคน nsd.conf (5)
# ดู /usr/share/doc/nsd/examples/nsd.conf สำหรับความคิดเห็น
# ไฟล์กำหนดค่าอ้างอิง
# บรรทัดต่อไปนี้มีไฟล์คอนฟิกูเรชันเพิ่มเติมจากไดเร็กทอรี # /etc/nsd/nsd.conf.d # คำเตือน: สไตล์ glob ยังใช้ไม่ได้ ... # include: "/etc/nsd/nsd.conf.d/*.conf" server: logfile: "/var/log/nsd.log" ip-address : 172.16.10.30 # ฟังบนการเชื่อมต่อ IPv4 do-ip4: ใช่ # ฟังบนการเชื่อมต่อ IPv6 do-ip6: ไม่มี # พอร์ตเพื่อตอบคำถามบน ค่าเริ่มต้นคือ 53 พอร์ต: 53 ชื่อผู้ใช้: nsd # ในโซนตัวเลือกให้ -xfr สำหรับ # axfr ตรวจสอบโซน: name: fan zonefile: /etc/nsd/fan.zone zone: name: desdelinux.พัดลม
    โซนไฟล์: /etc/nsd/desdelinux.fan.zone ให้-xfr: 172.16.10.250 โซน NOKEY: ชื่อ: 10.16.172.in-addr.harp
    zonefile: /etc/nsd/10.16.172.arpa.zone ให้-xfr: 172.16.10.250 โซน NOKEY: ชื่อ: swl.fan zonefile: /etc/nsd/swl.fan.zone zone: name: debian.fan zonefile: /etc/nsd/debian.fan.zone โซน: name: centos.fan zonefile: /etc/nsd/centos.fan.zone zone: name: freebsd.fan zonefile: /etc/nsd/freebsd.fan.zone


รูท @ ns: ~ # nsd-checkconf /etc/nsd/nsd.conf
รูท @ ns: ~ #

เราสร้างไฟล์ Zones

รูทโซน«แฟน»การกำหนดค่าด้านล่างมีไว้สำหรับการทดสอบเท่านั้นและไม่ควรนำมาเป็นตัวอย่าง เราไม่ใช่ผู้ดูแลระบบของเซิร์ฟเวอร์ชื่อโดเมนหลัก 😉

รูท @ ns: ~ # nano /etc/nsd/fan.zone
แฟน $ ORIGIN $ TTL 3H @ ใน SOA ns.fan root.fan. (1; อนุกรม 1D รีเฟรช 1H; ลองอีกครั้ง 1W หมดอายุ 3H); ขั้นต่ำหรือ; เวลาแคชเชิงลบในการใช้งาน @ ใน NS ns.fan. @ ใน 172.16.10.30; ns ใน 172.16.10.30 น

root@ns:~# นาโน /etc/nsd/desdelinux.fan.โซน
$กำเนิด desdelinux.พัดลม. $TTL 3H @ ใน SOA หมายเลขdesdelinux.พัดลม. ราก.desdelinux.พัดลม. (1 ; อนุกรม 1D ; รีเฟรช 1H ; ลองอีกครั้ง 1W ; หมดอายุ 3H ); ขั้นต่ำหรือ; เวลาแคชเชิงลบที่จะมีชีวิตอยู่ ; @ ใน NS น.desdelinux.พัดลม. @ ในอีเมล MX 10desdelinux.พัดลม. @ ใน TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; ลงทะเบียนเพื่อแก้ไขคำสั่งขุด desdelinux.fan @ ใน A 172.16.10.10 ; ns ในอีเมล 172.16.10.30 ใน CNAME   desdelinux.พัดลม. แชทใน CNAME   desdelinux.พัดลม. www ใน CNAME   desdelinux.พัดลม. - - บันทึก SRV ที่เกี่ยวข้องกับ XMPP
_xmpp-server._tcp ใน SRV 0 0 5269 desdelinux.พัดลม.
_xmpp-client._tcp ใน SRV 0 0 5222 desdelinux.พัดลม.
_jabber._tcp ใน SRV 0 0 5269 desdelinux.พัดลม.

รูท @ ns: ~ # nano /etc/nsd/10.16.172.arpa.zone
$ ORIGIN 10.16.172.in-addr.arpa
$TTL 3H @ ใน SOA หมายเลขdesdelinux.พัดลม. ราก.desdelinux.พัดลม. (1 ; อนุกรม 1D ; รีเฟรช 1H ; ลองอีกครั้ง 1W ; หมดอายุ 3H ); ขั้นต่ำหรือ; เวลาแคชเชิงลบที่จะมีชีวิตอยู่ ; @ ใน NS น.desdelinux.พัดลม. - 30 IN PTR หมายเลขdesdelinux.พัดลม. 10 ใน PTR     desdelinux.พัดลม.

root@ns:~# nsd-checkzone desdelinux.แฟน /etc/nsd/desdelinux.fan.โซน
โซน desdelinux.แฟนก็โอเค
รูท @ ns: ~ # nsd-checkzone 10.16.172.in-addr.arpa /etc/nsd/10.16.172.arpa.zone
โซน 10.16.172.in-addr.arpa ก็โอเค # บน Debian NSD จะยุติการติดตั้งที่เปิดใช้งานโดยค่าเริ่มต้น
root @ ns: ~ # systemctl รีสตาร์ท nsd
root @ ns: ~ # systemctl สถานะ nsd
● nsd.service - Name Server Daemon Loaded: loaded (/lib/systemd/system/nsd.service; enable) Active: active (running) ตั้งแต่อาทิตย์ 2017-04-30 09:42:19 EDT; 21 นาทีที่แล้ว PID หลัก: 1230 (nsd) CGroup: /system.slice/nsd.service ├─1230 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf ├─1235 / usr / sbin / nsd - ง -c /etc/nsd/nsd.conf └─1249 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf

ตรวจสอบจากเซิร์ฟเวอร์ ns.fan เอง

root@ns:~# โฮสต์ desdelinux.พัดลม
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

root@ns:~#hostmail.desdelinux.พัดลม
อีเมลdesdelinux.fan เป็นนามแฝงของ desdelinux.พัดลม.
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

root@ns:~#hostchat.desdelinux.พัดลม
พูดคุยdesdelinux.fan เป็นนามแฝงของ desdelinux.พัดลม.
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

root@ns:~#host www.desdelinux.พัดลม
wwwdesdelinux.fan เป็นนามแฝงของ desdelinux.พัดลม.
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

root@ns:~# โฮสต์ nsdesdelinux.พัดลม
กามีย์desdelinux.fan มีที่อยู่ 172.16.10.30

root @ ns: ~ # โฮสต์ 172.16.10.30
30.10.16.172.in-addr.arpa ตัวชี้ชื่อโดเมน nsdesdelinux.พัดลม.

root @ ns: ~ # โฮสต์ 172.16.10.10
10.10.16.172.in-addr.arpa ตัวชี้ชื่อโดเมน desdelinux.พัดลม.

root @ ns: ~ # โฮสต์ ns.fan
ns.fan มีที่อยู่ 172.16.10.30 น

การแก้ปัญหาชื่อตรวจสอบจากอินเทอร์เน็ต

• แบบสอบถาม DNS โดยละเอียดจะไม่มากเกินไปเนื่องจากการดำเนินการที่ถูกต้องของการแก้ไขชื่อโดเมนจะขึ้นอยู่กับการทำงานที่ถูกต้องของเครือข่าย.

ในการดำเนินการสอบถาม DNS ฉันเชื่อมต่อกับสวิตช์ของฉัน - สลับ ทดสอบแล็ปท็อปที่มี IP 172.16.10.250 และเกตเวย์ 172.16.10.1ที่อยู่ IP ที่ตรงกับเวิร์กสเตชันของฉัน ผู้ดูแลระบบdesdelinux.พัดลม ตามที่ทราบจากบทความก่อนหน้านี้

sandra @ laptop: ~ $ sudo ip addr show
1: อะไร: mtu 16436 qdisc noqueue state UNKNOWN link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 ขอบเขตโฮสต์ lo inet6 :: โฮสต์ขอบเขต 1/128 valid_lft recommended_lft forever ตลอดไป 2: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link / ether 00: 17: 42: 8e: 85: 54 brd ff: ff: ff: ff: ff: ff inet 172.16.10.250/24 brd 172.16.10.255 global ขอบเขต eth0 inet6 fe80: : 217: 42ff: fe8e: 8554/64 ลิงก์ขอบเขต valid_lft ตลอดไปที่ต้องการ_lftตลอดไป 3: wlan0: mtu 1500 qdisc noop state ลง qlen 1000 link / ether 00: 1d: e0: 88: 09: d5 brd ff: ff: ff: ff: ff: ff 4: pan0: mtu 1500 qdisc noop state ลิงค์ลง / ether de: 0b: 67: 52: 69: ad brd ff: ff: ff: ff: ff: ff


sandra @ laptop: ~ $ sudo route -n
ตารางเส้นทางเคอร์เนล IP เกตเวย์ปลายทาง Genmask แฟล็กเมตริกอ้างอิงใช้ Iface 0.0.0.0 172.16.10.1 0.0.0.0 UG 0 0 0 eth0 172.16.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

แซนดร้า @ แล็ปท็อป: ~ $ cat /etc/resolv.conf
nameserver ฮิต

แซนดร้า@แล็ปท็อป:~$host desdelinux.พัดลม
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป:~$hostmail.desdelinux.พัดลม
อีเมลdesdelinux.fan เป็นนามแฝงของ desdelinux.พัดลม.
desdelinux.fan มีที่อยู่ 172.16.10.10
desdelinux.fan mail ได้รับการจัดการโดย 10 เมลdesdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป:~$ โฮสต์ nsdesdelinux.พัดลม
กามีย์desdelinux.fan มีที่อยู่ 172.16.10.30

sandra @ laptop: ~ โฮสต์ $ 172.16.10.30
30.10.16.172.in-addr.arpa ตัวชี้ชื่อโดเมน nsdesdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป: ~ โฮสต์ $ 172.16.10.10
10.10.16.172.in-addr.arpa ตัวชี้ชื่อโดเมน desdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป: ~ $ โฮสต์ -t SRV _xmpp-server._tcpdesdelinux.พัดลม
_xmpp-เซิร์ฟเวอร์._tcpdesdelinux.fan มีบันทึก SRV 0 0 5269 desdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป:~$ โฮสต์ -t SRV _xmpp-client._tcpdesdelinux.พัดลม
_xmpp-ไคลเอนต์._tcpdesdelinux.fan มีบันทึก SRV 0 0 5222 desdelinux.พัดลม.

แซนดร้า @ แล็ปท็อป:~$ โฮสต์ -t SRV _jabber._tcpdesdelinux.พัดลม
_jabber._tcp.desdelinux.fan มีบันทึก SRV 0 0 5269 desdelinux.พัดลม.

sandra @ laptop: ~ $ host -a fan.
พยายาม "แฟน" ;; - >> HEADER << - opcode: QUERY สถานะ: NOERROR, id: 57542 ;; ธง: qr aa rd; คำถาม: 1, คำตอบ: 3, อำนาจ: 0, เพิ่มเติม: 1 ;; ส่วนคำถาม:; พัดลม ใด ๆ ;; ส่วนคำตอบ: พัดลม 10800 ใน SOA ns.fan root.fan. 1 86400 3600 604800 10800 พัดลม 10800 ใน NS ns.fan พัดลม. 10800 ใน 172.16.10.30 ;; ส่วนเพิ่มเติม: ns.fan 10800 IN A 172.16.10.30 รับ 111 ไบต์จาก 172.16.10.30 # 53 ใน 0 ms

• เราตั้งใจกำหนดที่อยู่ 172.16.10.250  บนแล็ปท็อปเพื่อตรวจสอบทุกอย่างโดยใช้แบบสอบถาม DNS AXFR เนื่องจากโซนได้รับการกำหนดค่าให้อนุญาต - ไม่มีรหัสผ่านใด ๆ - แบบสอบถามประเภทนี้จาก IP นั้น.

แซนดร้า@แล็ปท็อป:~$ ขุด desdelinux.แฟน axfr
- <<>> DiG 9.9.5-9+deb8u6-เดเบียน <<>> desdelinux.fan axfr ;; ตัวเลือกส่วนกลาง: +cmd
desdelinux.พัดลม. 10800 ใน SOA เลขที่desdelinux.พัดลม. ราก.desdelinux.พัดลม. 1 86400 3600 604800 10800
desdelinux.พัดลม. 10800 ใน NS หมายเลขdesdelinux.พัดลม.
desdelinux.พัดลม. 10800 IN อีเมล MX 10desdelinux.พัดลม.
desdelinux.พัดลม. 10800 ใน TXT "v=spf1 a:mail.desdelinux.แฟน -ทั้งหมด"
desdelinux.พัดลม. 10800 ใน 172.16.10.10 _jabber._tcpdesdelinux.พัดลม. 10800 ใน SRV 0 0 5269 desdelinux.พัดลม. _xmpp-ไคลเอนต์._tcpdesdelinux.พัดลม. 10800 ใน SRV 0 0 5222 desdelinux.พัดลม. _xmpp-เซิร์ฟเวอร์._tcpdesdelinux.พัดลม. 10800 ใน SRV 0 0 5269 desdelinux.พัดลม. แชท.desdelinux.พัดลม. 10800 ใน CNAME   desdelinux.พัดลม. อีเมล.desdelinux.พัดลม. 10800 ใน CNAME   desdelinux.พัดลม. ns.desdelinux.พัดลม. 10800 IN 172.16.10.30 www.desdelinux.พัดลม. 10800 ใน CNAME   desdelinux.พัดลม.
desdelinux.พัดลม. 10800 ใน SOA เลขที่desdelinux.พัดลม. ราก.desdelinux.พัดลม. 1 86400 3600 604800 10800 ;; เวลาสืบค้น: 0 มิลลิวินาที ;; เซิร์ฟเวอร์: 172.16.10.30#53(172.16.10.30) ;; เมื่อ: อาทิตย์ 30 เมษายน 10:37:10 EDT 2017 ;; ขนาด XFR: 13 บันทึก (ข้อความ 1, ไบต์ 428)

sandra @ laptop: ~ $ dig 10.16.172.in-addr.arpa axfr
- <<>> DiG 9.9.5-9+deb8u6-Debian <<>> 10.16.172.in-addr.arpa axfr ;; ตัวเลือกส่วนกลาง: +cmd 10.16.172.in-addr.arpa 10800 ใน SOA เลขที่desdelinux.พัดลม. ราก.desdelinux.พัดลม. 1 86400 3600 604800 10800 10.16.172.in-addr.arpa. 10800 ใน NS หมายเลขdesdelinux.พัดลม. 10.10.16.172.in-addr.arpa. 10800 ใน ปตท desdelinux.พัดลม. 30.10.16.172.in-addr.arpa. 10800 ใน PTR หมายเลขdesdelinux.พัดลม. 10.16.172.in-addr.arpa. 10800 ใน SOA เลขที่desdelinux.พัดลม. ราก.desdelinux.พัดลม. 1 86400 3600 604800 10800 ;; เวลาสืบค้น: 0 มิลลิวินาที ;; เซิร์ฟเวอร์: 172.16.10.30#53(172.16.10.30) ;; เมื่อ: อาทิตย์ 30 เมษายน 10:37:27 EDT 2017 ;; ขนาด XFR: 5 บันทึก (ข้อความ 1, ไบต์ 193)

แซนดร้า @ แล็ปท็อป:~$ ปิง ns.desdelinux.พัดลม
เลขที่ปิงdesdelinux.fan (172.16.10.30) ข้อมูล 56(84) ไบต์

คำถาม DNS ที่จำเป็นได้รับคำตอบอย่างถูกต้อง นอกจากนี้เรายังตรวจสอบว่า Shorewall ทำงานอย่างถูกต้องและไม่ยอมรับ ปิง จากคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

ข้อมูลอย่างย่อ

• เราได้เห็นวิธีการติดตั้งและกำหนดค่า - ด้วยตัวเลือกพื้นฐานและขั้นต่ำ - เซิร์ฟเวอร์ DNS ที่เชื่อถือได้ตาม NSD เราตรวจสอบว่าไวยากรณ์ของไฟล์โซนนั้นคล้ายกับ BIND มาก บนอินเทอร์เน็ตมีวรรณกรรมที่ดีและสมบูรณ์เกี่ยวกับ NSD
• เราบรรลุเป้าหมายในการแสดงการประกาศบันทึก SRV ที่เกี่ยวข้องกับ XMPP
• เราช่วยในการติดตั้งและกำหนดค่าขั้นต่ำของไฟร์วอลล์ที่ใช้ Shorewall

จัดส่งครั้งต่อไป

IM ของฉันและผู้ใช้ในท้องถิ่น.