Debian 6.0 (III) üzerinde bir LAN için Birincil Ana DNS

Temel amacımız olan en fazla sayıda okuyucu tarafından anlaşılabilmesi için Önceki Bilgiyi, Kurulumu, Yapılandırmayı ve Bir BIND Bölgelerinin ve Kontrollerinin Oluşturulmasını 5 küçük makalede azaltmak muazzam bir çabadır. .

Dikkatlice okumak için sabrı olanlar 1 inci y 2da Bu makalenin bir parçası olarak, bir LAN için Etki Alanı Adı Sunucusunun yapılandırılması ve kurulumuna devam etmek için hazırlanmıştır.

Yeni'ye ve önceki bölümlerde verilen çok özetlenmiş kavramlar hakkında çok net olmayanlara, devam etmeden önce bunları okumanızı ve incelemenizi öneririz. Olağan Umutsuzluk Şüphelileri! dikkatlice okumadıysanız geri dönün.

Aşağıda göreceğiz:

• LAN'ın ana verileri
• Minimum ana bilgisayar yapılandırmaları
• /Etc/resolv.conf dosyasında yapılan değişiklikler
• /Etc/bind/named.conf dosyasında yapılan değişiklikler
• /Etc/bind/named.conf.option dosyasında yapılan değişiklikler
• /Etc/bind/named.conf.local dosyasında yapılan değişiklikler

 LAN'ın ana verileri

LAN Etki Alanı Adı: amigos.cu LAN Alt ağ: 192.168.10.0/255.255.255.0 BIND Sunucu IP: 192.168.10.10 Sunucu NetBIOS Adı: ns

Açık olmasına rağmen, önceki verileri kendiniz için değiştirmeyi unutmayın.

Minimum ana bilgisayar yapılandırmaları

Dosyaların doğru şekilde yapılandırılması çok önemlidir / Etc / network / interfaces y/ Etc / hosts iyi DNS performansı elde etmek için. Tüm veriler kurulum sırasında bildirilmişse, herhangi bir değişiklik gerekmeyecektir. Her birinin içeriği aşağıdaki gibi olmalıdır:

# / etc / network / interfaces dosyasının içeriği # Bu dosya, sisteminizde bulunan ağ arayüzlerini # ve bunların nasıl etkinleştirileceğini açıklar. Daha fazla bilgi için arayüzlere (5) bakın. # Geridöngü ağ arabirimi otomatik lo iface lo inet geridöngüsü # Birincil ağ arabirimi allow-hotplug eth0 iface eth0 inet statik adresi 192.168.10.10 netmask 255.255.255.0 ağ 192.168.10.0 yayın 192.168.10.255 ağ geçidi 192.168.10.2 # dns- * seçenekleri resolvconf paketi tarafından uygulanır, dns-ad sunucuları kuruluysa 192.168.10.10 dns-search amigos.cu # / etc / hosts içeriği 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Aşağıdaki satırlar IPv6 özellikli ana bilgisayarlar için tercih edilir :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

/Etc/resolv.conf dosyasında yapılan değişiklikler

Sorgularımızın ve kontrollerimizin doğru çalışabilmesi için, arama etki alanımız ve yerel DNS'imiz olacak ana bilgisayarın yerel yapılandırmasında bildirimde bulunmak gerekir. En azından yukarıdaki parametreler olmadan, herhangi bir DNS sorgusu başarısız olacaktır. Ve bu, birçok yeni başlayanın yaptığı bir hatadır. Öyleyse dosyayı düzenleyelim / Etc / resolv.conf ve aşağıdaki içerikle bırakıyoruz:

# içeriği /etc/resolv.conf search friends.cu isim sunucusu 192.168.10.10

DNS sunucumuzun kurulu olduğu bilgisayarda şunları yazabiliriz:

friends.cu ad sunucusu ara 127.0.0.1

Yukarıdaki içerikte ifade nameserver 127.0.0.1, soruşturma yapılacağını belirtir localhost.

BIND'ımızı doğru bir şekilde yapılandırdıktan sonra, sunucumuzdan herhangi bir DNS sorgusu yapabiliriz, sunucunun kendisi bağlama9 veya ağa bağlı ve aynı alt ağa ait olan ve aynı ağ maskesine sahip başka bir. Dosya hakkında daha fazla bilgi edinmek için adam resolv.conf.

/Etc/bind/named.conf dosyasında yapılan değişiklikler

Sorguları yalnızca alt ağımıza yanıt vermeleri ve bir saldırıyı önlemeleri için BIND'imizle sınırlandırmak için Sızdırmadosyada beyan ederiz adlandırılmış.conf Erişim Kontrol Listesi veya ACL (Erişim Kontrol Listesi) diyoruz ve biz buna saplanıp. Dosyaadlandırılmış.conf Aşağıdaki gibi olmalıdır:

// /etc/bind/named.conf // Bu, adlı BIND DNS sunucusu için birincil yapılandırma dosyasıdır. // // Debian'daki BIND yapılandırma dosyalarının // yapısı hakkında bilgi için lütfen /usr/share/doc/bind9/README.Debian.gz'yi okuyun, * ÖNCE * bu yapılandırma dosyasını özelleştirmeden // ÖNCE. // // Yalnızca bölge ekliyorsanız, lütfen bunu /etc/bind/named.conf.local adresinde yapın // // İspanyolca yorumlar bizim // Orijinalleri İngilizce bırakıyoruz // Kopyalayıp yapıştırmanın DİKKATLİĞİ // HER SATIRIN SONUNDA BOŞ BOŞ BOŞLUK BIRAKMAYIN // // Erişim Kontrol Listesi: // Yerel etki alanından ve alt ağımızdan gelen sorgulara izin verir // named.conf.options içeren dosyada atıfta bulunacağız o. acl mired {127.0.0.0/8; 192.168.10.0/24; }; dahil "/etc/bind/named.conf.options"; "/etc/bind/named.conf.local" dahil; "/etc/bind/named.conf.default-zones" dahil; // dosyanın sonu /etc/bind/named.conf

Şimdiye kadar BIND yapılandırmasını kontrol edelim ve hizmeti yeniden başlatalım:

adlandırılmış-checkconf -z hizmeti bind9 yeniden başlat

/Etc/bind/named.conf.options dosyasında yapılan değişiklikler

İlk bölümde "seçenekleri"Biz sadece Taşıma araçlarıve BIND'imize danışabilecek olanlar kim olacak. Sonra Anahtarı veya anahtar aracılığıyla kontrol edebiliriz bağlama9ve son olarak onu hangi ana bilgisayardan kontrol edebileceğimizi. Hangisinin anahtar veya anahtar olduğunu bilmek için yapmalıyız cat /etc/bind/rndc.key. Çıktıyı kopyalayıp dosyaya yapıştırıyoruz adlandırılmış.conf.seçenekler. Sonunda dosyamız şöyle görünmeli:

// /etc/bind/named.conf.options options {// KOPYALAMA VE YAPIŞTIRMA DİKKATLİĞİ, LÜTFEN ... // Bölge dosyaları dizinimizi bulmak için varsayılan dizin "/ var / cache / bind"; // Sizinle konuşmak istediğiniz ad sunucuları arasında bir güvenlik duvarı varsa // birden fazla bağlantı noktasının konuşmasına izin vermek için güvenlik duvarını düzeltmeniz gerekebilir. Bkz. Http://www.kb.cert.org/vuls/id/800113 // ISS'niz kararlı // ad sunucuları için bir veya daha fazla IP adresi sağladıysa, muhtemelen bunları iletici olarak kullanmak istersiniz. // Aşağıdaki bloğun açıklamasını kaldırın ve all-0'ın yer tutucusunu // değiştirerek adresleri ekleyin. // ileticiler {// 0.0.0.0; // 0.0.0.0; //} // İleticiler. Daha iyi bir çevirim yok // Adresler ceniai.net.cu sunucularından // İnternete çıkış YOKSA, daha karmaşık bir LAN'a sahip olmadıkça // bunları bildirmek gerekli DEĞİLDİR // Alt ağınızın IP adresi aralığının dışında // Yönlendiriciler olarak görev yapan DNS sunucuları ile. Bu durumda // bu sunucuların IP'lerini bildirmelisiniz. // Forwarder sorguları Cascade'dir. ileticiler {169.158.128.136; 169.158.128.88; }; // İyi yapılandırılmış bir LAN'da, TÜM DNS sorguları // o LAN'daki yerel DNS sunucusuna yapılmalıdır, // LAN dışındaki sunuculara DEĞİL. // Özellikle İnternet erişiminiz olduğunda, // Ulusal veya Uluslararası. Bunun için // Forwarders auth-nxdomain no; # uyumlu RFC1035 listen-on-v6 {any; }; // Adres sahteciliğine karşı koruma allow-query {mired; }; }; // / etc / bind / rndc-key dosyasının içeriği // cat / etc / bind / rndc-key ile elde edildi // "rndc-key" anahtarını yeniden oluşturursak değiştirmeyi unutmayın {algoritma hmac-md5; gizli "dlOFESXTp2wYLa86vQNU6w =="; }; // Hangi ana bilgisayardan kontrol edeceğimizi ve hangi anahtar kontroller aracılığıyla {inet 127.0.0.1 {localhost; } anahtarlar {rndc-key; }; }; // dosyayı sonlandır /etc/bind/named.conf.options

Şimdiye kadar BIND yapılandırmasını kontrol edelim ve hizmeti yeniden başlatalım:

adlandırılmış-checkconf -z hizmeti bind9 yeniden başlat

Olarak dahil etmeye karar verdik // Yorumlar gelecekteki istişareler için referans oluşturabilecek temel hususlar.

İleticileri bildirme gerçeği, BIND Yerel sunucumuzu bir Caché sunucusuna dönüştürür ve Birincil Ana Bilgisayar olarak işlevselliğini korur. Bir ana bilgisayar veya harici etki alanı istediğimizde, yanıt olumluysa önbelleğinde saklanacak, böylece aynı ana bilgisayar veya aynı harici etki alanı için tekrar sorduğumuzda, hızlı bir yanıt alamayız. harici DNS'lere geri danışmak.

/Etc/bind/named.conf.local dosyasında yapılan değişiklikler

Bu dosyada, etki alanımızın yerel bölgelerini bildiriyoruz. Minimum olarak İleri ve Geri Bölgeleri dahil etmeliyiz. Yapılandırma dosyasında unutmayın/etc/bind/named.conf.options Zones dosyalarını hangi dizinde barındıracağımızı dizin yönergesi aracılığıyla açıklıyoruz. Sonunda dosya aşağıdaki gibi olmalıdır:

// /etc/bind/named.conf.local // // Herhangi bir yerel yapılandırmayı burada yapın // // Kuruluşunuzda // kullanılmıyorlarsa buraya 1918 bölgeleri eklemeyi düşünün // dahil edin "/ etc / bind /zones.rfc1918 "; // Her bölgedeki dosyaların isimleri tüketicinin beğenisine //. Amigos.cu.hosts // ve 192.168.10.rev'i // içerikleri konusunda bize netlik kazandırdıkları için seçtik. Artık gizem yok // // Bölgelerin İsimleri RASGELE DEĞİL // ve etki alanımızın adına // ve LAN alt ağına // Ana Ana Bölge: "Doğrudan" bölge "yazın amigos.cu "{tür yöneticisi; "amigos.cu.hosts" dosyası; }; // Ana Ana Bölge: "Ters" bölge "10.168.192.in-addr.arpa" yazın {master yazın; "192.168.10.rev" dosyası; }; // named.conf.local dosyasının sonu

Şimdiye kadar BIND yapılandırmasını kontrol etmek için:

adlandırılmış-checkconf -z

Önceki komut, bölge dosyaları yok olana kadar bir hata döndürür. Asıl mesele, DNS kayıt dosyaları mevcut olmadığından, şimdilik doğru olan, named.conf.local içinde bildirilen Bölgelerin yüklenmeyeceği konusunda bizi uyarmasıdır. Devam edebiliriz.

Değişikliklerin dikkate alınması için servisi yeniden başlatalım:

service bind9 yeniden başlatma

Her gönderiyi çok uzun yapmak istemediğimiz için, sonraki 4. bölümde Yerel Bölgeler dosyalarını oluşturma konusuna değineceğiz. O zamana kadar arkadaşlar!