Ті, хто стежив за 1era, 2da, 3era y 4ta частина цієї статті та консультації, проведені до їх BIND, дали задовільні результати, вони вже є експертами з цього питання. І без зайвих сумнівів давайте перейдемо до останньої частини:
- Створення файлу "Основна майстер-зона" типу "Зворотний" 10.168.192.in-addr.arpa
- пошук несправностей
- Резюме
Створення файлу "Основна майстер-зона" типу "Зворотний" 10.168.192.in-addr.arpa
Назва району приносить їх вам, так? І саме в тому, що зворотні зони є обов’язковими, щоб мати правильну роздільну здатність імен відповідно до Інтернет-стандартів. Нам нічого не залишається, як створити той, що відповідає нашому домену. Для цього ми використовуємо як шаблон файл /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Ми редагуємо файл /var/cache/bind/192.168.10.rev і ми залишаємо це так:
; /var/cache/bind/192.168.10.rev; ; Файл зворотних даних BIND для майстер-зони 10.168.192.in-addr.arpa; Файли даних BIND для Master Zone (Reverse) 10.168.192.in-addr.arpa; $ TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. (2; Серійний 604800; Оновити 86400; Повторити спробу 2419200; Термін дії 604800); TTL негативного кешу; @ IN NS ns. 10 В PTR ns.amigos.cu. 1 В PTR gandalf.amigos.cu. 9 В PTR mail.amigos.cu. 20 В PTR web.amigos.cu. 100 В PTR fedex.amigos.cu. ; ми також можемо написати повну IP-адресу. Приклад :; 192.168.10.1 В PTR gandalf.amigos.cu.
- Зверніть увагу, як у цьому випадку ми залишили час у секундах, оскільки він створюється за замовчуванням, коли прив’язати9. Це працює однаково. Вони збігаються з тим, що вказано у файлі друзі.cu.host. Якщо ви сумніваєтесь, перевірте.
- Також зауважте, що ми оголошуємо лише зворотні записи хостів, яким у нашій локальній мережі призначений або «реальний» IP, і це однозначно ідентифікує його.
- Не забудьте оновити файл Reverse Zone з усіма правильними IP-адресами, заявленими в Direct Zone.
- Не забудьте збільшити Серійний номер зони кожного разу, коли вони змінюють файл і перед перезапуском BIND.
Перевіримо новостворену зону:
named-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Перевіряємо конфігурацію:
named-checkconf -z named-checkconf -p
Якщо все пішло нормально, ми перезапускаємо послугу:
перезапуск служби bind9
Відтепер кожного разу, коли ми модифікуємо файли зон, нам просто потрібно виконати:
rndc перезавантажити
Для цього ми оголошуємо ключ в /etc/bind/named.conf.options, ні?
пошук несправностей
Дуже важливим є правильний зміст файлу / Etc / resolv.conf як ми бачили в попередньому розділі. Не забудьте вказати в ньому принаймні таке:
пошук сервера імен amigos.cu 192.168.10.20
Командування копати пакета dnsutil. На консолі введіть команди, яким передує #:
# dig -x 127.0.0.1 ..... ;; РОЗДІЛ ВІДПОВІДІ: 1.0.0.127.in-addr.arpa. 604800 В PTR локальний хост. .... # dig -x 192.168.10.9 .... ;; РОЗДІЛ ВІДПОВІДІ: 9.10.168.192.in-addr.arpa. 604800 В PTR mail.amigos.cu. .... # хост gandalf gandalf.amigos.cu має адресу 192.168.10.1 # хост gandalf.amigos.cu gandalf.amigos.cu має адресу 192.168.10.1 # dig gandalf; << >> DiG 9.7.2-P3 << >> gandalf ;; глобальні параметри: + cmd ;; тайм-аут підключення; немає доступу до серверів # dig gandalf.amigos.cu .... ;; РОЗДІЛ ВІДПОВІДІ: gandalf.amigos.cu. 604800 В 192.168.10.1 .... Якщо вони мають доступ до кубинського або глобального Інтернету, а експедитори правильно оголошені, спробуйте: # dig debian.org .... ;; РОЗДІЛ ПИТАНЬ :; debian.org. В ;; РОЗДІЛ ВІДПОВІДІ: debian.org. 3600 В 86.59.118.148 debian.org. 3600 В 128.31.0.51 .... # хост bohemia.cu bohemia.cu має адресу 190.6.81.130 # хост yahoo.es yahoo.es має адресу 77.238.178.122 yahoo.es має адресу 87.248.120.148 yahoo.es обробляється пошта на 10 mx-eu.mail.am0.yahoodns.net. # dig -x 77.238.178.122 ;; РОЗДІЛ ВІДПОВІДІ: 122.178.238.77.in-addr.arpa. 429 В PTR w2.rc.vip.ird.yahoo.com.
... І взагалі з іншими доменами поза нашою локальною мережею. Проконсультуйтеся та дізнайтеся про цікаві речі в Інтернеті.
Один з найкращих способів перевірити працездатність сервера прив’язати9, і взагалі будь-якої іншої встановленої служби, це зчитування результатів Повідомлення системного журналу за допомогою команди хвіст -f / var / log / syslog запустити від імені користувачакорінь.
Дуже цікаво побачити результати цієї команди, коли ми запитуємо наш локальний BIND про домен або зовнішній хост. У цьому випадку можна представити кілька сценаріїв:
- Якщо у нас немає доступу до Інтернету, наш запит не вдасться.
- Якщо ми маємо доступ до Інтернету, і ми НЕ задекларували експедиторів, ми, швидше за все, не отримаємо відповіді.
- Якщо ми маємо доступ до Інтернету і ми оголосили експедиторів, ми отримаємо відповідь, оскільки вони будуть відповідати за необхідні консультації DNS-серверів.
Якщо ми працюємо над ЛВС закрито в яких неможливо жодним чином виїхати за кордон і ми не маємо жодних експедиторів, ми можемо виключити пошукові повідомлення Кореневі сервери "Очищення" файлу /etc/bind/db.root. Для цього ми спочатку зберігаємо файл з іншим ім’ям, а потім видаляємо весь його вміст. Потім перевіряємо конфігурацію та перезапускаємо службу:
cp /etc/bind/db.root /etc/bind/db.root.original cp / dev / null /etc/bind/db.root named-checkconf -z named-checkconf -p service bind9 restart
Резюме
Поки що, люди, невеликий вступ до служби DNS. Те, що ми зробили до цього часу, може ідеально послужити нам для нашого малого бізнесу. Також для будинку, якщо ми створюємо віртуальні машини з різними операційними системами та різними IP-адресами, і ми не хочемо посилатися на них за IP, а за іменем. Я завжди встановлюю BIND на своєму домашньому хості для встановлення, налаштування та тестування служб, які сильно залежать від служби DNS. Я широко використовую робочі столи та віртуальні сервери, і я не люблю зберігати файл / Etc / хостів в кожній з машин. Я занадто помиляюся.
Якщо ви ніколи не встановлювали та не налаштовували BIND, будь ласка, не відкладайте, якщо з першої спроби щось піде не так, і вам доведеться починати все спочатку. У цих випадках ми завжди рекомендуємо починати з чистої установки. Варто спробувати!
Тим, хто потребує високої доступності служби розпізнавання імен, чого можна досягти, налаштувавши сервер Secondary Master, рекомендуємо продовжити з нами наступну пригоду: Вторинний головний DNS для локальної мережі.
Вітаємо тих, хто стежив за усіма статтями та отримав очікувані результати!
Нарешті! .. заключний пост: D!
Дякуємо, що поділилися моїм другом!
Привіт!
Дуже цікаво, ваші статті, у мене є авторитетний DNS, створений у freeBSD для домену .edu.mx, дотепер він у мене спрацював ідеально, але за останній місяць я виявив кілька атак на сервер, що було б методи захисту від викритого майстра DNS
У пакета squeeze bind9 є проблема з роботою samba, версія 9.8.4 вже доступна у гілці backports зціскання, у версії wheeze ця проблема відсутня, для пакета lenny venenux.net backport.
Дуже хороша стаття.
Це єдина стаття, яка робить все добре пояснене ..
Слід зазначити, що acl для спуфінгу не працює, оскільки таким же чином він буде вводитися з внутрішньої мережі, рішенням буде заборона переадресації для клієнтів і створення складного acl, що запобігає перепризначенню імен (щось схожі на статичні dns)
СПЕЦІАЛЬНА ПОРАДА:
Було б непогано додатково налаштувати, як зробити вміст фільтра dns замість брандмауера
Дякуємо за коментар @PICCORO !!!.
На початку всіх своїх статей я заявляю, що не вважаю себе фахівцем. Набагато менше щодо проблеми DNS. Тут ми всі вчимось. Я прийму до уваги ваші рекомендації при встановленні DNS, який стоїть перед Інтернетом, а не для звичайної та простої локальної мережі.
ВИДАВНИЙ підручник !!! Це мені дуже допомогло, оскільки я тільки почав працювати в цьому повороті сервера, все працювало нормально Дякую і продовжуйте публікувати такі чудові підручники !!!
Фіко, ще раз вітаю вас із цим чудовим матеріалом.
Я не фахівець у BIND9, вибачте мене, якщо я помиляюся щодо коментаря, але я думаю, вам не вистачило визначення зони для зворотного пошуку у файлі named.conf.local
Прикро, що Фіко не може відповісти вам зараз.
Вітаю та дякую, Елаве, і ось я відповідаю. Як завжди, рекомендую читати повільно ... 🙂
У дописі: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Я пишу наступне:
Зміни до файлу /etc/bind/named.conf.local
У цьому файлі ми оголошуємо локальні зони нашого домену. Ми повинні включати зони вперед та назад як мінімум. Пам'ятайте, що у файлі конфігурації /etc/bind/named.conf.options ми оголошуємо, в якому каталозі ми розміщуватимемо файли Зони, використовуючи директиву каталогу. Зрештою, файл повинен бути таким:
// /etc/bind/named.conf.local
//
// Виконайте тут будь-яку локальну конфігурацію
//
// Розгляньте можливість додати сюди 1918 зон, якщо вони не використовуються у вашому
// організація
// включаємо "/etc/bind/zones.rfc1918";
// Імена файлів у кожній зоні є a
// споживчий смак. Ми вибрали friends.cu.hosts
// та 192.168.10.rev, тому що вони дають нам ясність своїх
// вміст. Більше немає таємниць 😉
//
// Назви зон НЕ БАРТІБАРНІ
// і відповідатиме імені нашого домену
// та до підмережі локальної мережі
// Основна головна зона: тип «Прямий»
зона «amigos.cu» {
тип майстра;
файл "amigos.cu.hosts";
};
// Основна головна зона: тип «зворотний»
зона "10.168.192.in-addr.arpa" {
тип майстра;
файл "192.168.10.rev";
};
// Кінець файлу named.conf.local
Добре, дуже цікавий ваш допис про dns, вони допомогли мені розпочати цю тему, дякую. Я уточнюю, що я новачок у цьому плані. Але, читаючи вашу опубліковану інформацію, я помітив, що вона працює з фіксованими адресами на хостах внутрішньої мережі. Моє питання полягає в тому, як би ви зробили з внутрішньою мережею з динамічними IP-адресами, призначеною сервером dhcp, для створення файлів основної майстер-зони типу "прямий" та "зворотний"?
Я буду вдячний за світло, яке ви можете дати з піднятого питання. Дякую. Fv
Дякуємо за коментар, @fabian. Ви можете ознайомитися з наступними статтями, які, сподіваюся, допоможуть вам реалізувати мережу з динамічними адресами:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
привіт