Основний головний DNS для локальної мережі на Debian 6.0 (III)

Це величезна спроба зменшити в 5 невеликих статтях попередні знання, встановлення, конфігурацію та створення зон та перевірок BIND, щоб це було зрозуміло найбільшій кількості читачів, що є нашою основною метою .

Ті, хто мав терпіння уважно прочитати 1era y 2da Частину цієї статті вони готові продовжити конфігурацію та налаштування сервера доменних імен для локальної мережі.

Для Нового та тих, хто не дуже чітко розуміє дуже узагальнені поняття, наведені в попередніх частинах, ми рекомендуємо прочитати та вивчити їх, перш ніж продовжувати. Звичайні підозрювані відчаю! назад, якщо ви не читали уважно.

Ми побачимо нижче:

• Основні дані локальної мережі
• Мінімальні конфігурації хоста
• Зміни у файлі /etc/resolv.conf
• Зміни у файлі /etc/bind/named.conf
• Зміни у файлі /etc/bind/named.conf.option
• Зміни до файлу /etc/bind/named.conf.local

 Основні дані локальної мережі

Доменне ім’я локальної мережі: amigos.cu Підмережа локальної мережі: 192.168.10.0/255.255.255.0 Ідентифікатор сервера BIND: 192.168.10.10 Ім'я сервера NetBIOS: ns

Хоча це очевидно, не забудьте змінити попередні дані на власні.

Мінімальні конфігурації хоста

Дуже важливо правильно налаштувати файли / etc / network / interfaces y/ Etc / хостів щоб отримати хорошу продуктивність DNS. Якщо всі дані були заявлені під час встановлення, ніяких змін не буде потрібно. Зміст кожного з них повинен бути таким:

# вміст файлу / etc / network / interfaces # Цей файл описує мережеві інтерфейси, доступні у вашій системі # та способи їх активації. Для отримання додаткової інформації див. Інтерфейси (5). # Мережевий інтерфейс зворотного зв'язку автоматично, якщо iface lo inet loopback # Первинний мережевий інтерфейс allow-hotplug eth0 iface eth0 inet статична адреса 192.168.10.10 netmask 255.255.255.0 network 192.168.10.0 Broadcast 192.168.10.255 шлюз 192.168.10.2 # dns- * є опції реалізовано пакетом Resovconf, якщо встановлено dns-nameservers 192.168.10.10 dns-search amigos.cu # вміст / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Наступні рядки бажані для хостів, що підтримують IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Зміни у файлі /etc/resolv.conf

Щоб наші запити та перевірки працювали коректно, необхідно вказати в локальній конфігурації хоста, який буде нашим пошуковим доменом, а який буде нашим локальним DNS. Без зазначених мінімум параметрів будь-який запит DNS не вдасться. І це помилка, яку допускають багато новачків. Тож давайте відредагуємо файл / Etc / resolv.conf і ми залишаємо його з таким змістом:

# вміст /etc/resolv.conf пошук friends.cu сервер імен 192.168.10.10

На комп’ютері, де встановлений DNS-сервер, ми можемо написати:

пошук сервера імен amigos.cu 127.0.0.1

У вищевказаному змісті висловлювання сервер імен 127.0.0.1, вказує на те, що запити будуть зроблені локальний.

Після того, як ми правильно налаштували BIND, ми можемо робити будь-які запити DNS від нашого хосту, будь то сам сервер прив’язати9 або інший, підключений до мережі, який належить до тієї самої підмережі та має однакову мережеву маску. Щоб дізнатись більше про файл, запустіть людина резол.конф.

Зміни у файлі /etc/bind/named.conf

Обмежити запити до нашого BIND, щоб вони відповідали лише нашій підмережі та запобігали атаці Спуфінг, заявляємо у файлі named.conf Список контролю доступу або ACL (Список контролю доступу), і ми називаємо його набридло. Файлnamed.conf Він повинен бути таким:

// /etc/bind/named.conf // Це основний файл конфігурації для іменованого BIND DNS-сервера. // // Будь ласка, прочитайте /usr/share/doc/bind9/README.Debian.gz для отримання інформації про // структуру файлів конфігурації BIND в Debian, * ДО * ви налаштуєте // цей файл конфігурації. // // Якщо ви просто додаєте зони, зробіть це в /etc/bind/named.conf.local // // Коментарі на іспанській мові наші // Ми залишаємо оригінали англійською мовою // ОСТОРОЖНО копіювати та вставляти // НЕ ОСТАВЛЯЙТЕ ПУСТИХ ПРОСТОРІВ В КІНЦІ КОЖНОГО РЯДКУ // // Список контролю доступу: // Це дозволить запити з локального домену та з нашої підмережі // У файлі, що входить named.conf.options, ми будемо посилатися на це. acl mired {127.0.0.0/8; 192.168.10.0/24; }; включити "/etc/bind/named.conf.options"; включити "/etc/bind/named.conf.local"; включити "/etc/bind/named.conf.default-zones"; // кінець файлу /etc/bind/named.conf

Давайте перевіримо конфігурацію BIND і перезапустимо службу:

named-checkconf -z перезапуск служби bind9

Зміни у файлі /etc/bind/named.conf.options

У першому розділі “опції"Ми лише оголосимо Транспортери, і хто саме буде тим, хто зможе проконсультуватися з нашим BIND. Потім ми оголошуємо Ключ або ключ за допомогою якого ми можемо контролювати прив’язати9і, нарешті, з якого хосту ми можемо ним керувати. Щоб знати, що є ключем чи ключем, ми повинні це зробити cat /etc/bind/rndc.key. Ми копіюємо вихідні дані та вставляємо їх у файл named.conf.options. Зрештою, наш файл повинен виглядати так:

// /etc/bind/named.conf.options options {// ОСТОРОЖНО КОПІЮВАННЯ І ВСТАВЛЕННЯ, БУДЬ ЛАСКА ... // Каталог за замовчуванням, щоб знайти наш каталог файлів зон "/ var / cache / bind"; // Якщо між вами та серверами імен, з якими ви хочете // розмовляти, є брандмауер, можливо, вам доведеться виправити брандмауер, щоб дозволити кільком // портам розмовляти. Див. Http://www.kb.cert.org/vuls/id/800113 // Якщо ваш провайдер надав одну або кілька IP-адрес для стабільних // серверів імен, ви, ймовірно, хочете використовувати їх як пересилачі. // Розкоментуйте наступний блок та вставте адреси, що замінюють // заповнювач all-0. // експедитори {// 0.0.0.0; // 0.0.0.0; //} // Експедитори. У мене немає кращого перекладу // Адреси з серверів ceniai.net.cu // Якщо він НЕ має доступу до Інтернету, НЕ потрібно // заявляти про них, якщо у вас немає більш складної локальної мережі // з DNS-серверами, які виконують роль пересилачів за межами // діапазону IP-адрес вашої підмережі. У цьому випадку // ви повинні оголосити IP-адреси цих серверів. // Запити експедиторів є каскадними. експедитори {169.158.128.136; 169.158.128.88 1035 6; }; // У добре налаштованій локальній мережі ВСІ запити DNS // повинні надходити до локального DNS-сервера в цій локальній мережі, // НЕ до серверів поза локальною мережею. // Особливо, коли у вас є доступ до Інтернету, // будь то національний чи міжнародний. Для цього // ми оголошуємо Форвардерів auth-nxdomain ні; # відповідати RFC5 Listen-on-v2 {будь-який; }; // Захист від підробки дозволу-запиту {mired; }; }; // Зміст файлу / etc / bind / rndc-key // отриманий через cat / etc / bind / rndc-key // Не забудьте змінити його, якщо ми регенеруємо ключ "rndc-key" {алгоритм hmac-md86; секрет "dlOFESXTp6wYLa127.0.0.1vQNUXNUMXw =="; }; // З якого хосту ми будемо керувати і через який керуючий ключ {inet XNUMX дозволяти {localhost; } клавіші {rndc-key; }; }; // кінцевий файл /etc/bind/named.conf.options

Давайте перевіримо конфігурацію BIND і перезапустимо службу:

named-checkconf -z перезапуск служби bind9

Ми вирішили включити як // Коментарі фундаментальні аспекти, які можуть слугувати орієнтиром для майбутніх консультацій.

Факт оголошення Експедиторів перетворює наш локальний сервер BIND на сервер кеш-пам’яті, зберігаючи його функціональність як Основного Майстра. Коли ми запитуємо хост або зовнішній домен, відповідь - якщо він позитивний - буде зберігатися в його кеш-пам'яті, так що коли ми знову запитуємо його про той самий хост або про той самий зовнішній домен, ми отримаємо швидку відповідь, не консультуючись повернутися до зовнішніх DNS.

Зміни до файлу /etc/bind/named.conf.local

У цьому файлі ми оголошуємо локальні зони нашого домену. Ми повинні включати зони вперед та назад як мінімум. Пам'ятайте про це у файлі конфігурації/etc/bind/named.conf.options Ми заявляємо, в якому каталозі ми будемо розміщувати файли Зони за допомогою директиви каталогу. Зрештою, файл повинен бути таким:

// /etc/bind/named.conf.local // // Виконайте тут будь-яку локальну конфігурацію // // Подумайте про додавання сюди 1918 зон, якщо вони не використовуються у вашій // організації // включають "/ etc / bind /zones.rfc1918 "; // Назви файлів у кожній зоні відповідають // смаку споживача. Ми вибрали amigos.cu.hosts // та 192.168.10.rev, оскільки вони дають нам ясність щодо їх // вмісту. Більше немає ніякої таємниці // // Назви зон НЕ АРБІТАРНІ // і відповідатимуть імені нашого домену // та підмережі локальної мережі // Основна головна зона: тип "Пряма" зона "amigos.cu "{майстер типу; файл "amigos.cu.hosts"; }; // Основна головна зона: тип "Інверсна" зона "10.168.192.in-addr.arpa" {тип майстра; файл "192.168.10.rev"; }; // Кінець файлу named.conf.local

Щоб перевірити конфігурацію BIND на даний момент:

named -checkconf -z

Попередня команда поверне помилку, доки файли зон не існують. Головне, це попереджає нас про те, що зони, оголошені в named.conf.local, не завантажуватимуться, оскільки файли записів DNS просто не існують, що наразі справедливо. Ми можемо рухатися далі.

Давайте перезапустимо службу, щоб зміни були враховані:

перезапуск служби bind9

Оскільки ми не хочемо робити кожен допис дуже довгим, ми розглянемо питання створення файлів локальних зон у наступній 4-й частині. До того часу друзі!