Những người đã theo dõi Ngày 1, 2da, Ngày 3 y lần thứ 4 một phần của bài viết này và các truy vấn được gửi tới BIND của bạn đều trả về kết quả khả quan, họ đã là chuyên gia về chủ đề này. :-) Và không dài dòng nữa, hãy đi vào phần cuối cùng:
- Tạo tệp Vùng chính chính loại “Đảo ngược” 10.168.192.in-addr.arpa
- xử lý sự cố
- tóm lại
Tạo tệp Vùng chính chính loại “Đảo ngược” 10.168.192.in-addr.arpa
Tên của khu vực gợi lên điều đó, phải không? Và các Vùng đảo ngược bắt buộc phải có độ phân giải tên chính xác theo tiêu chuẩn Internet. Chúng tôi không có lựa chọn nào khác ngoài việc tạo một cái tương ứng với miền của chúng tôi. Đối với điều này, chúng tôi sử dụng tập tin làm mẫu /etc/bind/db.127:
cp /etc/bind/db.127 /var/cache/bind/192.168.10.rev
Chúng tôi chỉnh sửa tệp /var/cache/bind/192.168.10.rev và chúng tôi để nó như thế này:
; /var/cache/bind/192.168.10.rev ; ; Tệp dữ liệu đảo ngược BIND cho vùng chính 10.168.192.in-addr.arpa; Tệp dữ liệu BIND cho Master Zone (Reverse) 10.168.192.in-addr.arpa ; $TTL 604800 @ IN SOA ns.amigos.cu. root.amigos.cu. ( 2 ; Serial 604800 ; Làm mới 86400 ; Thử lại 2419200 ; Hết hạn 604800 ) ; TTL bộ nhớ đệm âm ; @IN NS ns. 10 IN PTR ns.amigos.cu. 1 TRONG PTR gandalf.amigos.cu. 9 IN PTR mail.amigos.cu. 20 IN PTR web.amigos.cu. 100 IN PTR fedex.amigos.cu. ; Chúng tôi cũng có thể viết địa chỉ IP đầy đủ. Bán tại: ; 192.168.10.1 TRONG PTR gandalf.amigos.cu.
- Lưu ý rằng trong trường hợp này chúng ta đã để thời gian tính bằng giây vì chúng được tạo theo mặc định khi ràng buộc9. Nó hoạt động tương tự. Chúng giống với thời gian được chỉ ra trong tệp bạn bè.cu.host. Khi nghi ngờ, hãy kiểm tra.
- Cũng xin lưu ý rằng chúng tôi chỉ khai báo các bản ghi ngược của các máy chủ có IP được chỉ định hoặc IP “thực” trên mạng LAN của chúng tôi và xác định duy nhất địa chỉ đó.
- Hãy nhớ cập nhật tệp Vùng đảo ngược với TẤT CẢ các địa chỉ IP chính xác được khai báo trong Vùng trực tiếp.
- Hãy nhớ tăng Số sê-ri vùng mỗi lần họ sửa đổi tệp và trước khi khởi động lại BIND.
Hãy kiểm tra vùng mới được tạo:
có tên-checkzone 10.168.192.in-addr.arpa /var/cache/bind/192.168.10.rev
Chúng tôi kiểm tra cấu hình:
có tên-checkconf -z có tên-checkconf -p
Nếu mọi thứ đều ổn, chúng tôi khởi động lại dịch vụ:
khởi động lại dịch vụ bind9
Từ giờ trở đi, mỗi khi sửa đổi tệp vùng, chúng tôi chỉ phải thực thi:
tải lại rndc
Vì vậy, chúng tôi khai báo chìa khóa trong /etc/bind/name.conf.options, không?
xử lý sự cố
Nội dung chính xác của tập tin là rất quan trọng. / Etc / resolv.conf như chúng ta đã thấy ở chương trước. Hãy nhớ ghi rõ trong đó ít nhất những điều sau:
tìm kiếm máy chủ định danh amigos.cu 192.168.10.20
Lệnh đào của gói dnsutil. Tại bảng điều khiển, nhập các lệnh đứng trước #:
# đào -x 127.0.0.1..... ;; PHẦN TRẢ LỜI: 1.0.0.127.in-addr.arpa. 604800 TRONG PTR localhost. .... # dig -x 192.168.10.9 .... ;; PHẦN TRẢ LỜI: 9.10.168.192.in-addr.arpa. 604800 TRONG PTR mail.amigos.cu. .... # máy chủ gandalf gandalf.amigos.cu có địa chỉ 192.168.10.1 # máy chủ gandalf.amigos.cu gandalf.amigos.cu có địa chỉ 192.168.10.1 # dig gandalf ; <<>> DiG 9.7.2-P3 <<>> gandalf ;; tùy chọn chung: +cmd ;; kết nối quá hạn; không thể truy cập được máy chủ # dig gandalf.amigos.cu .... ;; PHẦN TRẢ LỜI: gandalf.amigos.cu. 604800 IN A 192.168.10.1 .... Nếu bạn có quyền truy cập vào Internet Cuba hoặc Toàn cầu và các Forwarder được khai báo chính xác, hãy thử: # dig debian.org .... ;; PHẦN CÂU HỎI: ;debian.org. TRONG MỘT ;; PHẦN TRẢ LỜI: debian.org. 3600 IN A 86.59.118.148 debian.org. 3600 IN A 128.31.0.51 ....#host bohemia.cu bohemia.cu có địa chỉ 190.6.81.130#host yahoo.es yahoo.es có địa chỉ 77.238.178.122 yahoo.es có địa chỉ 87.248.120.148 thư yahoo.es được xử lý bởi 10 mx-eu.mail.am0.yahoodns.net. # đào -x 77.238.178.122 ;; PHẦN TRẢ LỜI: 122.178.238.77.in-addr.arpa. 429 TRONG PTR w2.rc.vip.ird.yahoo.com.
…và nói chung với các miền khác bên ngoài mạng LAN của chúng tôi. Tham khảo và tìm hiểu những điều thú vị trên Internet.
Một trong những cách tốt nhất để kiểm tra hoạt động của máy chủ ràng buộc9và nói chung của bất kỳ dịch vụ được cài đặt nào khác là bằng cách đọc đầu ra của Thông báo nhật ký hệ thống sử dụng lệnh đuôi -f / var / log / syslog được thực thi với tư cách người dùngnguồn gốc.
Thật thú vị khi thấy đầu ra của lệnh đó khi chúng tôi hỏi BIND cục bộ của mình một câu hỏi về miền hoặc máy chủ lưu trữ bên ngoài. Trong trường hợp đó, chúng ta có thể đưa ra một số tình huống:
- Nếu chúng tôi không có quyền truy cập Internet, truy vấn của chúng tôi sẽ không thành công.
- Nếu chúng tôi có quyền truy cập Internet và chúng tôi KHÔNG khai báo Người chuyển tiếp, rất có thể chúng tôi sẽ không nhận được phản hồi.
- Nếu chúng tôi có quyền truy cập Internet và chúng tôi đã khai báo Người chuyển tiếp, chúng tôi sẽ nhận được phản hồi vì họ sẽ chịu trách nhiệm tư vấn các máy chủ DNS cần thiết.
Nếu chúng ta đang làm việc trên một Mạng LAN kín trong đó không thể đi ra ngoài bằng bất kỳ cách nào và chúng tôi không có Người chuyển tiếp dưới bất kỳ hình thức nào, chúng tôi có thể loại bỏ các thông báo tìm kiếm khỏi Máy chủ gốc “làm trống” tập tin /etc/bind/db.root. Để thực hiện việc này, trước tiên chúng tôi lưu tệp bằng tên khác và sau đó xóa tất cả nội dung của nó. Sau đó chúng tôi kiểm tra cấu hình và khởi động lại dịch vụ:
cp /etc/bind/db.root /etc/bind/db.root.origen cp /dev/null /etc/bind/db.root tên-checkconf -z tên-checkconf -p service bind9 khởi động lại
tóm lại
Vậy là xong, các đồng nghiệp đã giới thiệu ngắn gọn về dịch vụ DNS. Những gì chúng tôi đã làm cho đến nay có thể phục vụ chúng tôi một cách hoàn hảo cho doanh nghiệp nhỏ của chúng tôi. Ngoài ra đối với cả nhà nếu chúng ta tạo các máy ảo với các hệ điều hành khác nhau và các địa chỉ IP khác nhau và chúng ta không muốn gọi chúng bằng IP mà gọi bằng tên của chúng. Tôi luôn cài đặt BIND trên máy chủ tại nhà của mình để cài đặt, định cấu hình và kiểm tra các dịch vụ phụ thuộc nhiều vào dịch vụ DNS. Tôi sử dụng rộng rãi Máy tính để bàn và Máy chủ ảo và tôi không muốn giữ một tệp / Etc / hosts trên mỗi máy. Tôi sai quá nhiều.
Nếu bạn chưa bao giờ cài đặt và định cấu hình BIND, xin đừng nản lòng nếu có sự cố xảy ra trong lần thử đầu tiên và bạn phải bắt đầu lại từ đầu. Chúng tôi luôn khuyến nghị trong những trường hợp này nên bắt đầu bằng việc cài đặt sạch. Nó đáng để thử!
Đối với những người cần tính sẵn sàng cao trong dịch vụ phân giải tên, điều này có thể đạt được bằng cách định cấu hình máy chủ Chính phụ, chúng tôi khuyên bạn nên tiếp tục cùng chúng tôi trong chuyến phiêu lưu tiếp theo: DNS chính thứ cấp cho mạng LAN.
Xin chúc mừng những ai đã theo dõi hết bài viết và thu được kết quả như mong đợi!
Cuối cùng!.. bài cuối cùng :D!
Cảm ơn đã chia sẻ nó bạn bè!
Chúc mừng!
Rất thú vị, các bài viết của bạn, tôi có một DNS có thẩm quyền được gắn trên freeBSD cho miền .edu.mx, cho đến nay nó đã hoạt động hoàn hảo đối với tôi, nhưng trong tháng trước tôi đã phát hiện một số cuộc tấn công nhắm vào máy chủ, điều gì sẽ xảy ra phương pháp bảo vệ cho một DNS bị lộ? và tôi không biết liệu có thể để máy chủ tiếp xúc với Internet và một máy chủ phụ phục vụ một mạng LAN nhỏ gồm khoảng 60 máy tính, cả hai DNS được kết nối với nhau hoặc có thể xác định hai vùng, một bên trong và một bên ngoài, cảm ơn chủ nhân
Gói bóp bind9 có vấn đề khi làm việc với Samba, phiên bản 9.8.4 đã có sẵn trong nhánh bóp backports, phiên bản khò khè không gặp vấn đề này, vì lenny venenux.net sẽ backport gói.
Bài viết rất hay.
Đây là bài viết duy nhất giải thích rõ ràng mọi thứ.
Cần lưu ý rằng acl để giả mạo là vô ích vì nó cũng sẽ được đưa vào từ mạng nội bộ, giải pháp sẽ là từ chối chuyển hướng cho khách hàng và tạo một acl phức tạp để ngăn việc gán lại tên (tương tự như DNS tĩnh).
MẸO ĐẶC BIỆT:
Sẽ tốt hơn nếu có một cấu hình bổ sung về cách tạo nội dung bộ lọc DNS thay vì tường lửa
Cảm ơn bạn đã bình luận @PICCORO!!!.
Tôi tuyên bố ở đầu tất cả các bài viết của mình rằng tôi không coi mình là một chuyên gia. Ít hơn nhiều về vấn đề DNS. Ở đây tất cả chúng ta đều học hỏi. Tôi sẽ tính đến các đề xuất của bạn khi cài đặt DNS cho Internet chứ không phải cho mạng LAN thông thường và đơn giản.
HƯỚNG DẪN TUYỆT VỜI!!! Nó giúp ích rất nhiều cho tôi vì tôi mới bắt đầu làm việc trong lĩnh vực máy chủ này, mọi thứ đều hoạt động tốt với tôi. Cảm ơn bạn và tiếp tục xuất bản những hướng dẫn tuyệt vời như vậy!!!
Fico, một lần nữa tôi xin chúc mừng bạn vì tài liệu tuyệt vời này.
Tôi không phải là chuyên gia về BIND9, hãy tha thứ cho tôi nếu tôi nhận xét sai, nhưng tôi nghĩ bạn đã bỏ lỡ việc xác định khu vực cho tìm kiếm ngược trong tệp có tên.conf.local
Thật đáng tiếc khi Fico không thể trả lời bạn ngay bây giờ.
Xin chào và cảm ơn, Elav, và tôi đang phản hồi đây. Như mọi khi, tôi khuyên bạn nên đọc chậm… 🙂
Trong bài viết: https://blog.desdelinux.net/dns-maestro-primario-para-una-lan-en-debian-6-0-iii/
Tôi viết như sau:
Các sửa đổi đối với tệp /etc/bind/name.conf.local
Trong tệp này, chúng tôi khai báo các vùng cục bộ của miền của chúng tôi. Tối thiểu chúng ta phải bao gồm Vùng trực tiếp và Vùng đảo ngược. Hãy nhớ rằng trong tệp cấu hình /etc/bind/named.conf.options, chúng tôi khai báo thư mục nào chúng tôi sẽ lưu trữ các tệp Vùng bằng cách sử dụng lệnh thư mục. Cuối cùng, tập tin sẽ trông như thế này:
// /etc/bind/named.conf.local
//
// Thực hiện bất kỳ cấu hình cục bộ nào ở đây
//
// Hãy cân nhắc việc thêm các vùng 1918 vào đây, nếu chúng không được sử dụng trong
// tổ chức
//bao gồm «/etc/bind/zones.rfc1918»;
// Tên file của từng vùng là
// sở thích của người tiêu dùng. Chúng tôi đã chọn Friends.cu.hosts
// và 192.168.10.rev vì chúng cho chúng ta biết rõ ràng về
// nội dung. Không còn gì bí ẩn nữa 😉
//
// Tên vùng KHÔNG PHẢI TUYỆT VỜI
// và sẽ tương ứng với tên miền của chúng tôi
// đã vào mạng con LAN
// Vùng chính chính: loại «Trực tiếp»
khu vực «friends.cu» {
loại chủ;
tập tin “friends.cu.hosts”;
};
// Main Master Zone: kiểu “Đảo ngược”
vùng "10.168.192.in-addr.arpa" {
loại chủ;
tập tin «192.168.10.rev»;
};
// Kết thúc file có tên.conf.local
Xin chào, các bài viết của bạn về DNS rất thú vị, chúng đã giúp tôi bắt đầu với chủ đề này, cảm ơn bạn. Tôi làm rõ rằng tôi là người mới về điều này. Nhưng khi đọc thông tin được công bố của bạn, tôi nhận thấy rằng bạn làm việc với các địa chỉ cố định trên máy chủ của mạng nội bộ. Mối quan tâm của tôi là, người ta sẽ làm như thế nào với một mạng nội bộ có địa chỉ IP động, được máy chủ dhcp chỉ định, để tạo các tệp vùng chính "trực tiếp" và "đảo ngược"?
Tôi sẽ đánh giá cao sự sáng tỏ mà bạn có thể làm sáng tỏ mối quan ngại được nêu ra. Cảm ơn. F.V.
Cảm ơn bạn đã bình luận, @fabian. Bạn có thể tham khảo các bài viết sau, hy vọng sẽ giúp bạn triển khai mạng có địa chỉ động:
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-2-ntp-y-dnsmasq/
https://blog.desdelinux.net/servicio-de-directorio-con-ldap-3-isc-dhcp-server-y-bind9/
Liên quan