DNS chính chính cho mạng LAN trên Debian 6.0 (III)

Đó là một nỗ lực to lớn để giảm bớt trong 5 bài báo nhỏ Kiến thức trước đây, Cài đặt, Cấu hình và Tạo các Vùng và Kiểm tra BIND, để số lượng độc giả lớn nhất có thể hiểu được, đó là mục đích cơ bản của chúng tôi. .

Những người đã có đủ kiên nhẫn để đọc cẩn thận Ngày 1 y 2da trong phần của bài viết này, họ chuẩn bị để tiếp tục với cấu hình và thiết lập Máy chủ tên miền cho mạng LAN.

Đối với Người mới và những người không hiểu rõ lắm về các khái niệm tóm tắt được đưa ra trong các phần trước, chúng tôi khuyên bạn nên đọc và nghiên cứu chúng trước khi tiếp tục. Những kẻ tình nghi tuyệt vọng thông thường! quay lại nếu bạn không đọc kỹ.

Chúng ta sẽ xem bên dưới:

• Dữ liệu chính của mạng LAN
• Cấu hình máy chủ lưu trữ tối thiểu
• Các sửa đổi đối với tệp /etc/resolv.conf
• Các sửa đổi đối với tệp /etc/bind/name.conf
• Các sửa đổi đối với tệp /etc/bind/name.conf.option
• Các sửa đổi đối với tệp /etc/bind/name.conf.local

 Dữ liệu chính của mạng LAN

Tên miền LAN: amigos.cu Mạng con LAN: 192.168.10.0/255.255.255.0 BIND Máy chủ IP: 192.168.10.10 Máy chủ Tên NetBIOS: ns

Mặc dù đó là điều hiển nhiên, hãy nhớ thay đổi dữ liệu trước đó cho riêng bạn.

Cấu hình máy chủ lưu trữ tối thiểu

Điều rất quan trọng là phải định cấu hình đúng các tệp / etc / network / interface y/ Etc / hosts để có được hiệu suất DNS tốt. Nếu tất cả dữ liệu đã được khai báo trong khi cài đặt, sẽ không cần sửa đổi. Nội dung của mỗi loại phải như sau:

# nội dung của tệp / etc / network / interface # Tệp này mô tả các giao diện mạng có sẵn trên hệ thống của bạn # và cách kích hoạt chúng. Để biết thêm thông tin, hãy xem giao diện (5). # Giao diện mạng loopback tự động lo iface lo inet loopback # Giao diện mạng chính allow-hotplug eth0 iface eth0 inet static address 192.168.10.10 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.2 # dns- * tùy chọn là được thực hiện bởi gói Resolutionvconf, nếu được cài đặt dns-nameserver 192.168.10.10 dns-search amigos.cu # content of / etc / hosts 127.0.0.1 localhost 192.168.10.10 ns.amigos.cu ns # Các dòng sau được mong muốn cho các máy có khả năng IPv6 :: 1 ip6-localhost ip6-loopback fe00 :: 0 ip6-localnet ff00 :: 0 ip6-mcastprefix ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allrouters

Các sửa đổi đối với tệp /etc/resolv.conf

Để các truy vấn và kiểm tra của chúng tôi hoạt động chính xác, cần phải khai báo trong cấu hình cục bộ của máy chủ lưu trữ, đó sẽ là miền tìm kiếm của chúng tôi và sẽ là DNS cục bộ của chúng tôi. Nếu không có các thông số trên ở mức tối thiểu, mọi truy vấn DNS sẽ không thành công. Và đây là một sai lầm mà nhiều người mới bắt đầu mắc phải. Vì vậy, hãy chỉnh sửa tệp / Etc / resolv.conf và chúng tôi để lại nó với nội dung sau:

# nội dung của /etc/resolv.conf search friends.cu nameserver 192.168.10.10

Trên máy tính đã cài đặt máy chủ DNS, chúng ta có thể viết:

tìm kiếm máy chủ định danh amigos.cu 127.0.0.1

Trong nội dung trên, câu máy chủ tên 127.0.0.1, cho biết rằng các yêu cầu sẽ được thực hiện cho localhost.

Sau khi chúng tôi đã định cấu hình chính xác BIND của mình, chúng tôi có thể thực hiện bất kỳ truy vấn DNS nào từ máy chủ của mình, có thể là chính máy chủ ràng buộc9 hoặc một mạng khác được kết nối với mạng và thuộc cùng một mạng con và có cùng một mặt nạ mạng. Để tìm hiểu thêm về tệp, hãy chạy man Resolutionv.conf.

Các sửa đổi đối với tệp /etc/bind/name.conf

Để giới hạn các truy vấn đối với BIND của chúng tôi để chúng chỉ phản hồi với mạng con của chúng tôi và ngăn chặn một cuộc tấn công Giả mạo, chúng tôi khai báo trong tệp Name.conf Danh sách kiểm soát truy cập hoặc ACL (Danh sách kiểm soát truy cập) và chúng tôi gọi nó là chôn lấp. Tập tinName.conf phải như sau:

// /etc/bind/name.conf // Đây là tệp cấu hình chính cho máy chủ DNS BIND có tên. // // Vui lòng đọc /usr/share/doc/bind9/README.Debian.gz để biết thông tin về cấu trúc // của tệp cấu hình BIND trong Debian, * TRƯỚC HẠN * bạn tùy chỉnh // tệp cấu hình này. // // Nếu bạn chỉ thêm vùng, vui lòng thực hiện điều đó trong /etc/bind/name.conf.local // // Các nhận xét bằng tiếng Tây Ban Nha là của chúng tôi // Chúng tôi để lại bản gốc bằng tiếng Anh // CẨN THẬN việc sao chép và dán // KHÔNG ĐỂ LẠI KHOẢNG CÁCH Ở CUỐI MỖI DÒNG // // Danh sách điều khiển truy cập: // Nó sẽ cho phép các truy vấn từ miền cục bộ và từ mạng con của chúng tôi // Trong tệp có tên.conf.options, chúng tôi sẽ tham khảo nó. acl mired {127.0.0.0/8; 192.168.10.0/24; }; bao gồm "/etc/bind/name.conf.options"; bao gồm "/etc/bind/name.conf.local"; bao gồm "/etc/bind/name.conf.default-zones"; // cuối tệp /etc/bind/name.conf

Hãy kiểm tra cấu hình BIND cho đến nay và khởi động lại dịch vụ:

khởi động lại dịch vụ tên-checkconf -z bind9

Các sửa đổi đối với tệp /etc/bind/name.conf.options

Trong phần đầu tiên “lựa chọn"Chúng tôi sẽ chỉ tuyên bố Giao nhận, và ai sẽ là những người có thể tham khảo BIND của chúng tôi. Sau đó, chúng tôi khai báo Khóa hoặc chính qua đó chúng ta có thể kiểm soát ràng buộc9và cuối cùng chúng ta có thể kiểm soát nó từ máy chủ nào. Để biết đó là chìa khóa hay chìa khóa, chúng ta phải làm con mèo /etc/bind/rndc.key. Chúng tôi sao chép đầu ra và dán nó vào tệp name.conf.options. Cuối cùng, tệp của chúng ta sẽ trông như thế này:

// /etc/bind/name.conf.options tùy chọn {// CẨN THẬN VỀ VIỆC SAO CHÉP VÀ QUÁ TRÌNH, VUI LÒNG ... // Thư mục mặc định để định vị thư mục tệp Zones của chúng tôi "/ var / cache / bind"; // Nếu có tường lửa giữa bạn và máy chủ định danh mà bạn muốn // nói chuyện, bạn có thể cần sửa tường lửa để cho phép nhiều // cổng nói chuyện. Xem http://www.kb.cert.org/vuls/id/800113 // Nếu ISP của bạn cung cấp một hoặc nhiều địa chỉ IP cho máy chủ định danh // ổn định, bạn có thể muốn sử dụng chúng làm trình chuyển tiếp. // Bỏ ghi chú khối sau và chèn các địa chỉ thay thế // trình giữ chỗ của all-0. // người chuyển tiếp {// 0.0.0.0; // 0.0.0.0; //} // Người giao nhận. Tôi không có bản dịch tốt hơn // Địa chỉ từ máy chủ ceniai.net.cu // Nếu nó KHÔNG có quyền truy cập Internet, thì KHÔNG cần thiết // khai báo chúng, trừ khi bạn có mạng LAN phức tạp hơn / / với máy chủ DNS hoạt động như Người chuyển tiếp bên ngoài // phạm vi địa chỉ IP của mạng con của bạn. Trong trường hợp đó // bạn phải khai báo (các) IP của các máy chủ đó. // Các truy vấn của Forwarders là Cascade. người giao nhận {169.158.128.136; 169.158.128.88; }; // Trên một mạng LAN được định cấu hình tốt, TẤT CẢ các truy vấn DNS // phải được thực hiện tới máy chủ DNS cục bộ trên mạng LAN đó, // KHÔNG đến các máy chủ bên ngoài mạng LAN. // Đặc biệt khi bạn có quyền truy cập Internet, // có thể là Quốc gia hoặc Quốc tế. Đối với điều đó // chúng tôi khai báo Forwarders auth-nxdomain no; # tuân theo RFC1035 nghe-on-v6 {bất kỳ; }; // Bảo vệ chống giả mạo allow-query {mired; }; }; // Nội dung của tệp / etc / bind / rndc-key // có được thông qua cat / etc / bind / rndc-key // Hãy nhớ thay đổi nó nếu chúng ta tạo lại khóa "rndc-key" {giải thuật hmac-md5; bí mật "dlOFESXTp2wYLa86vQNU6w =="; }; // Từ máy chủ nào chúng ta sẽ kiểm soát và thông qua các phím điều khiển {inet 127.0.0.1 allow {localhost; } các phím {rndc-key; }; }; // kết thúc tệp /etc/bind/name.conf.options

Hãy kiểm tra cấu hình BIND cho đến nay và khởi động lại dịch vụ:

khởi động lại dịch vụ tên-checkconf -z bind9

Chúng tôi đã quyết định đưa vào // Bình luận các khía cạnh cơ bản có thể dùng làm tài liệu tham khảo cho các cuộc tham vấn trong tương lai.

Việc khai báo Forwarders, biến máy chủ BIND Local của chúng tôi thành máy chủ Caché, duy trì chức năng của nó như một Máy chủ chính. Khi chúng tôi yêu cầu một máy chủ lưu trữ hoặc tên miền bên ngoài, câu trả lời - nếu nó là tích cực- sẽ được lưu trữ trong bộ nhớ cache của nó, để khi chúng tôi hỏi lại nó cho cùng một máy chủ lưu trữ hoặc cho cùng một miền bên ngoài, chúng tôi sẽ nhận được phản hồi nhanh chóng bằng cách tham khảo lại các DNS bên ngoài.

Các sửa đổi đối với tệp /etc/bind/name.conf.local

Trong tệp này, chúng tôi khai báo các vùng cục bộ của miền của chúng tôi. Chúng ta phải bao gồm Vùng chuyển tiếp và Vùng đảo ngược là tối thiểu. Hãy nhớ rằng trong tệp cấu hình/etc/bind/name.conf.options Chúng tôi khai báo trong thư mục nào chúng tôi sẽ lưu trữ các tệp Zones bằng cách sử dụng chỉ thị thư mục. Cuối cùng, tệp sẽ như sau:

// /etc/bind/name.conf.local // // Thực hiện bất kỳ cấu hình cục bộ nào tại đây // // Xem xét thêm các vùng năm 1918 tại đây, nếu chúng không được sử dụng trong // tổ chức của bạn // include "/ etc / bind /zones.rfc1918 "; // Tên của các tệp trong mỗi vùng là // sở thích của người tiêu dùng. Chúng tôi chọn amigos.cu.hosts // và 192.168.10.rev vì chúng cho chúng ta biết rõ về nội dung // của chúng. Không còn điều gì bí ẩn nữa // // Tên của các vùng KHÔNG ĐƯỢC SẮP XẾP // và sẽ tương ứng với tên miền của chúng ta // và với mạng con LAN // Vùng Master chính: gõ "Direct" zone "amigos.cu "{loại chủ; tập tin "amigos.cu.hosts"; }; // Vùng chính Master: gõ "Inverse" zone "10.168.192.in-addr.arpa" {type master; tập tin "192.168.10.rev"; }; // Kết thúc tệp tên.conf.local

Để kiểm tra cấu hình BIND cho đến nay:

tên-checkconf -z

Lệnh trước đó sẽ trả về một lỗi cho đến khi các tệp vùng không tồn tại. Điều chính là nó cảnh báo chúng ta rằng các Vùng được khai báo trong tên.conf.local sẽ không được tải, vì các tệp bản ghi DNS đơn giản là không tồn tại, điều này đúng cho hiện tại. Chúng ta có thể tiếp tục.

Hãy khởi động lại dịch vụ để các thay đổi được tính đến:

khởi động lại dịch vụ bind9

Vì chúng tôi không muốn mỗi bài đăng quá dài, chúng tôi sẽ giải quyết vấn đề tạo tệp Local Zones trong phần 4 tiếp theo. Cho đến khi đó bạn bè!