Konfigurasi Rinci Tidak Terikat Freebsd 10.3. Ubah nama antarmuka em0 menjadi wan0

Ada jaringan dengan IP putih (111.222.333.0) dan domain (mydomain.ru). Diperlukan untuk meningkatkan DNS yang terlihat di Internet.
Boot image FreeBSD 10.0

Set, tetapkan alamat 111.222.333.2 ke antarmuka jaringan

Kami mengatur sinkronisasi waktu sekali sehari. tambahkan ke crontab:

1 6 * * * root ntpdate -s 0.freebsd.pool.ntp.org

Instal bind 9.9 dari repositori:

Pkg menginstal bind99

Mengedit konfigurasi
Di awal konfigurasi, kami menulis aturan untuk allow-recursion allow-transfer allow-query

Acl "rekursi-ip" (127.0.0.1; 111.222.333.0/24;); acl "terpercaya-dns" (111.111.111.111; 222.222.222.222;); acl "query-ip" (127.0.0.1; 111.222.333.0/24;);

Di bagian opsi, tulis:

// allow recursive request allow-recursion (recursion-ip;); // memungkinkan transfer zona ke server DNS tepercaya // (menentukan server ns dari registrar domain) allow-transfer (trusted-dns;); // memungkinkan kami untuk mengirimkan permintaan ke server kami allow-query (query-ip;); // sembunyikan versi versi server kami "MyDNS";

Kami menunjukkan antarmuka mana yang akan dikerjakan.

Dengarkan (127.0.0.1; 111.222.333.2;);

Di akhir file, kami menulis zona maju dan mundur:

Zona "mydomain.ru" (ketik master; file "/usr/local/etc/namedb/master/mydomain.ru-forward.db";); zona "333.222.111.in-addr.arpa" (jenis master; file "/usr/local/etc/namedb/master/mydomain.ru-333.222.111-reverse.db";);

Sekarang kami membuat file zona. Kami mendaftar di file mydomain.ru-forward.db

$ TTL 3600 @ DI SOA ns1.mydomain.ru. root.ns1.mydomain.ru. (2014040101; Serial 3600; Refresh 900; Coba lagi 360000; Kedaluwarsa 3600; Neg. Cache TTL) DI A 111.222.333.1; domain kami mydomain.ru DI NS ns1.mydomain.ru akan diselesaikan ke alamat ini. DI NS ns1-your_registrator.ru. ; ns server registrar Anda DI NS ns2-your_registrator.ru. DI MX 10 mail.mydomain.ru. ; jika ada email di domain ns1 IN A 111.222.333.2; Alamat IP DNS kami yang pertama DI A 111.222.333.10; maka domain kedua IN A 111.222.333.11 akan masuk; tingkat ketiga jaringan kami

Kemudian kami menulis ke file zona terbalik mydomain.ru-333.222.111-reverse.db berikut:

$ TTL 3600 @ DI SOA ns1.mydomain.ru. root.ns1.mydomain.ru. (2014032801; Serial 3600; Segarkan 900; Coba lagi 360000; Kedaluwarsa 3600; Neg. Cache TTL) DI NS ns1.mydomain.ru. DI NS ns1-your_registrator.ru. DI NS ns2-your_registrator.ru. 2 DI PTR ns1.mydomain.ru. 10 DI PTR first.mydomain.ru. 11 DI PTR second.mydomain.ru.

Nilai Serial harus bertambah setiap kali zona diubah.
Dari nilai ini, server sekunder mendeteksi bahwa informasi perlu diperbarui.

Sekarang mari kita periksa file zona:

Named-checkzone mydomain.ru mydomain.ru-forward.db bernama-checkzone 333.222.111.in-addr.arpa mydomain.ru-333.222.111-reverse.db

Output perintah akan terlihat seperti ini:

Zone mydomain.ru/IN: memuat serial 2014040101 OK

Mari kita siapkan logging.
Kami mendaftarkan bind ( /usr/local/etc/namedb/named.conf)

Pencatatan (saluran default_ch (file "/var/log/named/named.log" versi 3 ukuran 500k; info tingkat keparahan; waktu cetak ya; kategori cetak ya;); saluran keamanan_ch (file "/ var / log / bernama / name-security.log "versi 3 ukuran 500k; info tingkat keparahan; waktu cetak ya; kategori cetak ya;); saluran transfer_ch (file" /var/log/named/named-transfer.log "versi 3 ukuran 500k; tingkat keparahan info; waktu cetak ya; kategori cetak ya;); saluran lame_ch (file "/var/log/named/named-lamers.log" versi 3 ukuran 500k; info tingkat keparahan; waktu cetak ya; kategori cetak ya; ); kategori default (default_ch;); // segala sesuatu yang tidak ada kategori saluran sendiri keamanan (security_ch;); // kategori peristiwa keamanan xfer-in (transfer_ch;); // kategori zona pengiriman xfer-out (transfer_ch;) ; // kategori zona penerima beri tahu (transfer_ch;); // kategori pemberitahuan dan fakta pendaftaran lame-server (lame_ch;); // peristiwa dari server DNS "bengkok");

Tetapkan pemilik ke direktori / var / log / bernama

Chown bind: bind / var / log / bernama

Kami memeriksa kebenaran dari konfigurasi bernama.conf dengan perintah

Named-checkconf

Jika hasil dari perintah ini adalah "tidak ada" maka semuanya OK.
Sekarang muat file zona root yang sebenarnya (bernama.root).

Ambil ftp://ftp.internic.net/domain/named.root

Mari kita letakkan di direktori / usr / local / etc / namesb dan ganti yang sudah ada.
Dianjurkan untuk mengulangi prosedur ini secara berkala, atau konfigurasikan operasi ini menggunakan cron.
Ini hampir selesai! Mari kita konfigurasikan utilitas manajemen - rndc
Masuk ke direktori / usr / local / etc / namab
Hapus file rndc.conf
Kami melakukan:

Rndc-confgen -a

Ubah pemilik:

Chown bind: bind rndc.key

Kami mengaktifkan mulai otomatis server nama.
Di file /etc/rc.conf, tambahkan:

Named_enable \u003d "YES" # jika hanya dibutuhkan IPv4, maka named_flags \u003d "- 4"

Mari konfigurasikan DNSSEC.
Buat direktori kunci untuk file kunci.
Buat kunci master - Key Signing Key (KSK) dan kunci untuk zona - Zone Signing Key (ZSK).

Perintah pembuatan kunci KSK:

Dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONA mydomain.ru

Perintah untuk membuat kunci ZSK:

Dnssec-keygen -a RSASHA256 -b 2048 -n ZONE mydomain.ru

pastikan registrar domain Anda mendukung algoritme RSASHA256

kami mengatur hak atas file kunci:

Chown mengikat: mengikat Kmydomain.ru *

Mari aktifkan logging. Untuk mengonfigurasi /usr/local/etc/namedb/named.conf tambahkan ke bagian logging:

Saluran dnssec_ch (file "/var/log/named/named-dnssec.log" versi 3 ukuran 500k; info tingkat keparahan; waktu cetak ya; kategori cetak ya;); kategori dnssec (dnssec_ch;);

dan tambahkan ke deskripsi zona:

Direktori kunci "/ usr / local / etc / namab / keys"; penandatanganan sebaris ya; pemeliharaan auto-dnssec;

sekarang zona mydomain.ru terlihat seperti ini:

Zona "mydomain.ru" (ketik master; file "/usr/local/etc/namedb/master/mydomain.ru-forward.db"; key-directory "/ usr / local / etc / Namedb / keys"; inline- penandatanganan ya; pemeliharaan dnssec otomatis;);

Untuk mendukung validasi DNSSEC di sisi resolver, tambahkan ke bagian opsi:

Aktifkan dnssec ya; dnssec-validation ya;

Setelah meraster daemon, file dengan ekstensi berikut akan muncul di direktori zona: .jbk, .jnl dan.signed

Jika Anda menggunakan DNSSEC Look-side Validation (dnssec-lookaside auto; option), Anda dapat melihat beberapa pesan di log seperti: mendapat respons tidak aman; orang tua menunjukkan itu harus aman. Untuk mencegah hal ini, setel nilai validasi dnssec ke auto; dan menggunakan server DNS dengan dukungan DNSSEC sebagai penerusan, misalnya dari Google - 8.8.8.8

Agar proses verifikasi berfungsi, registrar domain Anda perlu mengesahkan kunci KSK yang dihasilkan dan mengonfirmasi kepercayaan Anda.
untuk ini, Anda perlu mendaftarkan data DS di panel kontrol domain.
Record DS dibuat berdasarkan kunci KSK dengan perintah:

Dnssec-dsfromkey ksk_file_name

catatan yang dikeluarkan oleh perintah ini terdaftar di panel kontrol dari pencatatan domain.

Mydomain.ru. DI DS 54808 5 1 0FC489EFD28C2 ... 28EA985CAFBBC1 mydomain.ru. DI DS 54808 5 2 03B685D8003834B492F6 ... B134ABF9D41A28193171352F0280

Beberapa registrar juga perlu mendaftarkan DSKEY dari file kunci KSK.

Mydomain.ru. DI DNSKEY 257 3 5 YthgRbNKP5P8e5cDJhYsCwFr7AK17m + SeV5pgW ... bLVa2A0 / dWXkPwi1TZ3lNfkjhhYFGR

Dan terakhir, mari kita siapkan firewall.
Mari buat file /etc/ipfw.my_rules dengan konten berikut:

#! / bin / sh cmd \u003d "/ sbin / ipfw -q add" # perintah untuk menambahkan aturan oint \u003d "vmx0" # antarmuka yang bernama ipo \u003d "111.222.333.2" # Alamat IP antarmuka ini # Setel ulang semua aturan: / sbin / ipfw -f flush # Periksa kepatuhan paket dengan aturan dinamis: $ (cmd) check-state # Izinkan semua lalu lintas di antarmuka internal lo0 $ (cmd) izinkan ip dari mana saja ke mana saja melalui lo0 # hentikan upaya untuk naik dari lo0 dan ke sana $ (cmd) tolak ip dari apa saja hingga 127.0.0.0/8 $ (cmd) tolak ip dari 127.0.0.0/8 ke # blokir jaringan pribadi dan konfigurasi otomatis sejak antarmuka terlihat di internet. $ (cmd) tolak ip dari sembarang ke 10.0.0.0/8 masuk melalui $ (oint) $ (cmd) tolak ip dari sembarang ke 172.16.0.0/12 masuk melalui $ (oint) $ (cmd) tolak ip dari sembarang ke 192.168 .0.0 / 16 in melalui $ (oint) $ (cmd) deny ip dari sembarang ke 0.0.0.0/8 in melalui $ (oint) $ (cmd) deny ip dari sembarang ke 169.254.0.0/16 in melalui $ (oint) # blokir paket multicast $ (cmd) tolak ip dari sembarang ke 240.0.0.0/4 masuk melalui $ (oint) # blokir siaran dan terfragmentasi icmp $ (cmd) tolak icmp dari sembarang ke frag $ (cmd) tolak log icmp dari mana pun ke 255.255.255.255 masuk melalui $ (oint) $ (cmd) tolak log icmp dari sembarang ke 255.255.255.255 keluar melalui $ (oint) # lalu lintas ke jaringan pribadi $ (cmd) tolak ip dari 10.0.0.0/8 ke sembarang melalui $ (oint) $ (cmd) tolak ip dari 172.16.0.0/12 ke mana saja melalui $ (oint) $ (cmd) deny ip dari 192.168.0.0/16 ke salah satu dari $ (oint) $ (cmd) deny ip dari 0.0.0.0/8 ke sembarang keluar melalui $ (oint) # jaringan pribadi yang dikonfigurasi otomatis $ (cmd) tolak ip dari 169.254.0.0/16 ke sembarang keluar melalui $ (oint) # surat multicast $ (cmd) deny ip dari 224.0. 0,0 / 4 ke setiap keluar melalui $ (oi nt) $ (cmd) deny ip dari 240.0.0.0/4 ke sembarang keluar melalui $ (oint) # izinkan koneksi yang mapan $ (cmd) izinkan tcp dari sembarang ke yang mapan # izinkan lalu lintas keluar dari server $ (cmd) izinkan ip dari $ (ipo) ke mana saja xmit $ (oint) # memungkinkan sinkronisasi waktu melalui ntpdate $ (cmd) izinkan udp dari 123 ke mana pun melalui $ (oint) # izinkan DNS $ (cmd) izinkan udp dari 53 mana pun ke mana pun melalui $ (oint) # memungkinkan DNS masuk (protokol tcp diperlukan untuk transfer zona) $ (cmd) izinkan udp dari mana saja ke 53 melalui $ (oint) $ (cmd) izinkan tcp dari mana saja ke 53 melalui $ (oint) # izinkan ICMP - permintaan gema, balasan gema, masa pakai paket kadaluarsa $ (cmd) izinkan icmp dari semua jenis icmptypes 0,8,11 # izinkan port 22 untuk alamat tertentu dan catat upaya untuk menyambung dari alamat yang berbeda $ (cmd) allow tcp dari 111.222.333.3 ke $ (ipo) 22 melalui $ (oint) $ (cmd) tolak log tcp dari siapa pun kepada saya 22 in melalui $ (oint)

Untuk memulai otomatis firewall, tambahkan baris berikut ke file /etc/rc.conf:

Firewall_enable \u003d "YES" firewall_script \u003d "/ etc / ipfw.my_rules" firewall_logging \u003d "YES"

Log akan ditulis ke file / var / log / security

Pada artikel ini, kami akan membahas antarmuka jaringan di FreeBSD 11.1, mari tunjukkan pengaturan jaringan melalui file konfigurasi / etc / rc.conf, yaitu tujuannya statispengaturan dan mendapatkannya DHCP.Ayo tulis alamatnya DNS-server, siapkan tuan rumahdan pertimbangkan indikasinya pengaturan jaringan sementara.

Lihat antarmuka jaringan.

Pertama, mari kita perjelas: Ada dua status kartu jaringan NAIK(terlibat) dan TURUN(tidak digunakan).

Langkah pertama adalah melihat antarmuka jaringan kami, kami akan melihat dengan perintah ifconfig(Gbr. 1) Output perintah menunjukkan semua antarmuka NAIKdan TURUN.

Ifconfig

ifconfig -a akan menunjukkan hal yang sama.

Ifconfig -a

Ada beberapa perbedaan dari ifconfig di Server Ubuntu.(di Server Ubuntu "ifconfig" hanya menunjukkan antarmuka NAIK, "ifconfig -a"menunjukkan semua antarmuka dan NAIKdan TURUN)

Gambar 1 - Hasil dari memasukkan perintah ifconfig.

Jadi apa yang kita lihat:

• em0- kartu jaringan kami, dengan alamat IP 192.168.3.11 .
• em1 - kartu jaringan kedua tidak dikonfigurasi.
• lo - loop lokal, ini hadir untuk semua secara default.

Untuk melihat antarmuka saja NAIK, perintah digunakan ifconfig -u(Gbr. 2):

Ifconfig -u

dan untuk melihat antarmuka saja TURUN, perintah digunakan ifconfig -d(Gambar 3):

Ifconfig -d
Gambar 2 - Hasil dari memasukkan perintah ifconfig -u.
Gambar 3 - Hasil dari memasukkan perintah ifconfig -d.

Nantinya, saya akan menunjukkan contoh pengaturan pada antarmuka "em0".

Untuk mengaktifkan antarmuka, gunakan perintah ifconfig"NAMA-ANTARMUKA" naik.

Ifconfig em0 up

Untuk mematikan antarmuka, gunakan perintah ifconfig "NAMA-ANTARMUKA" turun.

Ifconfig em0 down

"Bermain-main" dengan antarmuka, kecuali tentu saja Anda terhubung dengan sshdan biarkan dalam keadaan NAIK.

Menyiapkan jaringan melalui file konfigurasi.

Untuk mengkonfigurasi alamat IP statis atau dinamis, kita perlu mengedit file konfigurasi untuk antarmuka jaringan - / etc / rc.confkami akan mengeditnya dengan editor teks vi. (Gbr. 4) Saya akan segera memberi tahu Anda, untuk mengeditnya vi perlu menekan surat "saya", dan untuk menyimpan dan menutup dokumen, tekan "ESC"untuk memperkenalkan ": wq!"dan tekan "Memasukkan".

Gambar 4 - vi /etc/rc.conf.

Mendapatkan pengaturan jaringan melalui DHCP.

Untuk menetapkan penerimaan pengaturan melalui DHCP, Anda harus memasukkan (atau mengubah baris yang ada) di / etc / rc.conf(Gambar 5)

ifconfig_NAMA-ANTARMUKA\u003d "DHCP"

Ifconfig_em0 \u003d "DHCP"
Gbr. 5 - Mendapatkan pengaturan jaringan melalui DHCP.

Mulai ulang layanan jaringan netif(Gambar 6)

/etc/rc.d/netif restart Gbr. 6 - Memulai ulang layanan jaringan FreeBSD.

Kami melihat antarmuka jaringan aktif, kami melihat, diterima melalui DHCP, alamat IP antarmuka em0- 192.168.3.6 (Gambar 7)

Ifconfig -u

Ping 8.8.8.8
Gbr. 7 - Memeriksa antarmuka aktif dan akses jaringan.

Ping datang. Semuanya baik-baik saja!

Menentukan pengaturan jaringan secara manual.

Untuk menetapkan alamat statis ke file Freebsd perlu mengajukan / etc / rc.conf masukkan dua baris (Gbr. 8)

ifconfig_NAMA-ANTARMUKA\u003d "inetIP-ADDRESS-FREEBSD netmaskJARINGAN MASK "

defaultrouter \u003d "ALAMAT IP GATEWAY "

Ifconfig_em0 \u003d "inet 192.168.3.11 netmask 255.255.255.0" defaultrouter \u003d "192.168.3.1"
Gambar 8 - Pengaturan statis dari antarmuka jaringan.

Kami memulai ulang layanan jaringan.

/etc/rc.d/netif restart

Memeriksa antarmuka aktif

Ifconfig -u

Kami memeriksa akses Internet dengan melakukan ping ke Google Delapan.

Ping 8.8.8.8

Pengaturan DNS.

Alamat IP server DNS disimpan di / etc / file resolv.conf(Gambar 9)

Kita buka resolv.confdi editor vi.

Vi /etc/resolv.conf

Kami masuk AKU P alamat DNS server. (Anda dapat memasukkan alamat sebanyak yang Anda suka.)

Nameserver 192.168.3.1 nameserver 8.8.8.8 nameserver 8.8.4.4

Jika Anda tidak memiliki file resolv.conf lalu buat di direktori / etc

Sentuh /etc/resolv.conf
Gambar 9 - Isi dari file resolv.conf.

File / etc / hosts.

File / etc / tuan rumah berisi tabel untuk memetakan nama DNS ke alamat IP. Pertama-tama, server Anda akan mengakses file tersebut tuan rumah, lalu ke server DNS.

Bagi saya sendiri, saya mencatatnya berguna untuk dibuat tuan rumah merekam ini freebsd (Alamat IP LAN - nama server). Sekarang kita dapat menentukan nama DNS, dan bukan alamat IP di semua file konfigurasi, dan jika perlu, ubah alamat IP kita dalam waktu singkat dengan mengoreksi tuan rumah dan pengaturan antarmuka di / etc / rc.conf.

Ini hanyalah contoh bagi Anda untuk melakukan ini tidak perlu.

Mari mulai mengedit (Gbr. 10):

Vi / etc / hosts

Saya masuk:

192.168.3.11 freebsd.itdeer.loc Gambar 10 - Isi dari file host.

Saya akan memeriksa dengan melakukan ping ke nama dari tuan rumah(Gbr.11)

Ping localhost ping freebsd.itdeer.loc
Gambar 11 - Mem-ping nama dari host.

Penetapan alamat ip sementara.

Sejujurnya, saya tidak tahu untuk apa penugasan sementara dari pengaturan jaringan dapat berguna. Kecuali jika Anda memiliki beberapa jenis server yang dirancang hanya untuk jaringan lokal Anda dan Anda tiba-tiba memutuskan untuk segera memperbarui perangkat lunak melalui Internet di server ini, agar tidak masuk ke gateway, tidak mendistribusikan Internet ke alamat IP yang diinginkan, dll. Anda bisa bertahan dengan beberapa perintah.

Misalnya, kita tahu itu 192.168.3.109 seolah-olah ada akses Internet, kami menetapkan alamat IP ini ke antarmuka kami, Anda juga perlu menentukan mask jaringan (Gbr. 12):

Ifconfig em0 192.168.3.109 netmask 255.255.255.0

atau perintah dengan entri netmask pendek.

Ifconfig em0 192.168.3.109/24
Gambar 12 - Menentukan pengaturan sementara untuk antarmuka jaringan em0.

Internet mungkin tidak muncul karena tidak ada gateway default yang ditentukan. Kami mendaftarkannya dan melakukan ping ke Google Eights. (Gbr. 13)

Route menambahkan default 192.168.3.1 ping 8.8.8.8
Gambar 13 - Menentukan gateway default. Memeriksa ping.

Apakah kita telah mendaftarkan gateway default kita dengan benar dapat dilihat di tabel routing. Itu ditampilkan menggunakan perintah "netstat -rn"Gerbang default akan ditandai UG(Gambar 14)

Netstat -rn
Gambar 14 - Output dari tabel routing.

Jika Anda salah mengeja ejaan di suatu tempat atau Anda telah menentukan gateway yang berbeda, maka Anda bisa hapus gateway default.

Route del default

Ini menyelesaikan konfigurasi sementara, ingat bahwa setelah memulai ulang server atau secara terpisah layanan jaringan, semua pengaturan sementara akan hilang.

Tambahkan rute ke jaringan 192.168.0.0/16 (Mask 255.255.0.0) melalui gateway default 192.168.3.1/24

Tambahkan rute 192.168.0.0/16 192.168.3.1

Opsi untuk menambahkan rute dengan topeng penuh.

Rute add -net 192.168.0.0 -netmask 255.255.0.0 192.168.3.1

Ubah nama antarmuka em0 menjadi wan0.

Demi kenyamanan, beberapa admin mengganti nama antarmuka sehingga mereka dapat langsung melihat untuk apa antarmuka itu. Katakanlah kita memiliki gateway dengan dua antarmuka jaringan em0(internet) dan em1(jaringan lokal) dan bekerja dengan nama seperti itu tidak nyaman, karena memiliki banyak antarmuka bisa membuat bingung. Jauh lebih nyaman bekerja dengan antarmuka wan0dan lan1.

Kami akan menunjukkan contoh mengganti nama antarmuka em0 di wan0di / etc / file rc.conf(Gbr. 15)

Ifconfig_em0 \u003d "inet 192.168.3.11 netmask 255.255.255.0"

Gantikan dengan dua baris:

Ifconfig_ em0_name \u003d " wan0"ifconfig_ wan0\u003d "inet 192.168.3.11 netmask 255.255.255.0"
Gambar 15 - Mengganti nama antarmuka di file /etc/rc.conf.

Jangan lupa untuk memulai ulang layanan jaringan:

/etc/rc.d/netif restart

Periksa, masukkan perintah ifconfig -u... Kami melihat kami wan0 dengan hak alamat IP. (Gbr.16)

Ifconfig -u
Gambar 16 - Memeriksa nama baru antarmuka. ifconfig -u.

Saatnya untuk meningkatkan beberapa server yang menjalankan FreeBSD 9.3. Di FreeBSD 10, server BIND telah dihapus dari sistem dasar, dan jika Anda terus menggunakannya, maka Anda perlu menginstalnya dari port.

Setelah pembaruan sistem, saya dengan cepat mengubah beberapa baris konfigurasi, tidak mungkin untuk memulai BIND di chroot di FreeBSD 10, jadi saya memutuskan untuk menjelaskan proses ini secara rinci. Mungkin itu akan menghemat waktu.

Instal BIND dari port.

cd / usr / ports / dns / bind99 && membuat instalasi bersih

Konfigurasi yang tersisa dari 9.X terletak di / var / names / etc / namesb. Dan jika kita bertindak sesuai dengan standar, maka kita pindahkan konfigurasi ke / usr / local / var / names / etc / namab, karena bahkan sistem itu sendiri memberi tahu kita bahwa kita tidak boleh memiliki apa pun di / var / names /.

[email dilindungi]: / usr / src # buat centang-lama
\u003e\u003e\u003e Memeriksa file lama
/var/named/etc/namedb/named.root
\u003e\u003e\u003e Memeriksa perpustakaan lama
\u003e\u003e\u003e Memeriksa direktori lama
/ var / bernama / dev
/ var / bernama / etc
/ var / bernama / etc / namab
/ var / bernama / etc / namab / dynamic
/ var / bernama / etc / namesb / master
/ var / bernama / etc / namab / working
/ var / bernama / etc / namab / slave
/ var / bernama / var
/ var / bernama / var / dump
/ var / bernama / var / log
/ var / bernama / var / run
/ var / bernama / var / run / bernama
/ var / bernama / var / stats
/ var / run / bernama
Untuk menghapus file dan direktori lama jalankan "/usr/obj/usr/src/make.amd64/bmake delete-old".
Untuk menghapus pustaka lama, jalankan "/usr/obj/usr/src/make.amd64/bmake delete-old-libs".

Buat direktori kerja untuk BIND.

mv / var / bernama / usr / local / var

File konfigurasi yang dibuat oleh penginstal akan ditempatkan di / usr / local / etc / namesb. Kami memesannya untuk berjaga-jaga.

mv / usr / local / etc / namesb /usr/local/etc/namedb.orig

ln -s / usr / local / var / bernama / etc / namaib / usr / local / etc / namaib

mkdir -p / usr / local / var / bernama / usr / local
cd / usr / local / var / bernama / usr / local ln -s ../../etc
cp /usr/local/etc/namedb.orig/named.root / usr / local / var / bernama / etc / namab

Buat aturan untuk devfs. Kami mengedit /etc/devfs.conf.

# Aturan khusus untuk chroot dev bernama
tambahkan sembunyikan
tambahkan jalur jalankan unhide
tambahkan jalur acak, tampilkan

Tambahkan ke / etc / fstab.

devfs / usr / local / var / bernama / dev devfs rw, ruleset \u003d 4 0 0

Kami naik.

mount / usr / local / var / bernama / dev

Kami mengedit /etc/rc.conf dengan konten berikut.

name_enable \u003d "YES" # Jalankan bernama, server DNS (atau NO).
name_program \u003d "/ usr / local / sbin / bernama" # jalur untuk diberi nama, jika Anda ingin yang berbeda.
name_chrootdir \u003d "/ usr / local / var / bernama" # direktori Chroot (atau "" bukan untuk melakukan chroot otomatis)
name_conf \u003d "/ usr / local / etc / Namedb / Named.conf" # Path ke file konfigurasi
name_flags \u003d "- 4" # Bendera untuk dinamai
name_uid \u003d "bind" # Pengguna yang akan dijalankan bernama sebagai
name_chroot_autoupdate \u003d "YES" # Instal / perbarui chroot secara otomatis
# komponen bernama. Lihat /etc/rc.d/named.
name_symlink_enable \u003d "YES" # Symlink file pid chroot
# name_wait \u003d "NO" # Tunggu layanan nama yang berfungsi sebelum keluar
# name_wait_host \u003d "localhost" # Hostname untuk memeriksa apakah bernama_wait diaktifkan
# name_auto_forward \u003d "NO" # Siapkan penerusan dari /etc/resolv.conf
# name_auto_forward_only \u003d "TIDAK" # Lakukan "teruskan saja" alih-alih "teruskan dulu"

Mengedit file konfigurasi /usr/local/etc/namedb/named.conf

direktori "/ usr / local / etc / namab";

Kami menetapkan hak akses yang benar ke file konfigurasi.

chown -R mengikat: roda / usr / lokal / var / bernama / etc / namesb

Saat ini, Anda masih perlu memperbaiki /usr/local/etc/rc.d/named, jika tidak, kesalahan akan muncul ketika layanan berhenti.

Berhenti bernama.
umount: / var / namesb / usr / local / lib / engine: statfs: Tidak ada file atau direktori seperti itu
umount: / var / bernamab / usr / local / lib / engine: sistem file tidak dikenal

Melakukan perubahan berikut

name_poststop ()
{
- jika [-n "$ (bernama_chrootdir)" -a -c $ (bernama_chrootdir) / dev / null]; kemudian
+ jika [-d \u200b\u200b$ (_ openssl_engines) -a -n "$ (Named_chrootdir)" -a -c $ (Named_chrootdir) / dev / null]; kemudian

Meluncurkan BIND

/usr/local/etc/rc.d/named start

Artikel itu menggunakan bahan.

Dalam publikasi ini, saya ingin mengungkapkan konfigurasi server DNS pada mesin yang menjalankan sistem operasi FreeBSD, yang dengannya dimungkinkan untuk mendukung beberapa (dalam teori, tidak terbatas) jumlah zona domain: primer (utama), sekunder (sekunder), serta mundur atau mundur (balik)... Tetapi sebagai permulaan, saya akan menyajikan sedikit teori, untuk menjelaskan apa yang dibutuhkan, untuk apa dan bagaimana zona domain yang sama ini berbeda satu sama lain.

Primer, atau, juga disebut, zona DNS Primer adalah sekumpulan catatan nama domain, serta subnama, yang didaftarkan oleh administrator zona ini. Zona DNS utama dari nama domain adalah otoritatif atau otoritatif untuk sekunder. Artinya, ini berisi informasi paling relevan tentang zona tersebut dan dibagikan dengannya dengan semua zona sekunder. Zona utama biasanya didukung oleh server DNS utama dari zona yang diberikan. Administrator server ini bertanggung jawab untuk mendaftarkan catatan zona di file konfigurasi server DNS.

Zona DNS sekunder adalah zona primer duplikat dan bawahan. Hal ini diperlukan untuk memelihara dan mendistribusikan catatan untuk nama domain jika karena alasan tertentu server DNS utama zona menjadi tidak tersedia di Internet. Server tempat zona DNS sekunder untuk nama domain apa pun terdaftar disebut server zona DNS sekunder atau alternatif atau sekunder. Mungkin ada jumlah server DNS sekunder yang tidak terbatas untuk suatu zona. Satu-satunya persyaratan adalah bahwa mereka semua harus dikonfigurasi untuk menerima informasi tentang zona ini dari server DNS utama. Oleh karena itu, DNS primer harus dikonfigurasi untuk memberikan informasi ini ke semua server DNS sekunder di zona tersebut. Biasanya satu server DNS dan satu atau dua server sekunder digunakan untuk mendukung zona domain. Dalam kasus yang jarang terjadi, skema dimungkinkan ketika saya menggunakan dua server DNS utama untuk mendukung zona, sambil mengonfigurasikannya sedemikian rupa sehingga informasi di dalamnya selalu disinkronkan.

DNS primer dan sekunder untuk sebuah zona harus berada di jaringan yang berbeda (sistem otonom). Dan semakin jauh mereka secara geografis terpisah satu sama lain, semakin baik. Jarang, tetapi masih ada bencana alam di Internet, di mana seluruh negara menjadi "terputus dari dunia". Dalam kasus ini, setelah mendaftarkan zona di server DNS primer di Ukraina, dan menggunakan DNS sebagai yang sekunder di Amerika Serikat, Anda tidak perlu khawatir bahwa jika terjadi masalah dengan saluran tulang punggung, zona domain akan "mati".

Zona terbalik digunakan untuk menentukan apa yang disebut catatan DNS terbalik. Mereka digunakan untuk menunjukkan korespondensi alamat IP dengan nama tertentu. Sulit dimengerti? Izinkan saya memberi Anda sebuah contoh.

Ada alamat IP 213.180.204.8. Ini adalah alamat IP dari server yang menjalankan http://ya.ru/ yang terkenal. Saat mencari kecocokan nama ya.ru dengan alamat IP mesin yang "terikat" dengan nama ini, Anda dapat menjalankan perintah:

$ host ya.ru ya.ru memiliki alamat 213.180.204.8 ...

atau di Windows

C:\u003e nslookup ya.ru ... Nama: ya.ru Alamat: 213.180.204.8

Kami memiliki pemetaan nama ke alamat IP, atau "terjemahan langsung dari nama ke alamat IP" (menggunakan data A). Namun, seiring waktu, di Internet, alamat IP dari nama tersebut juga perlu dicocokkan (mungkin, ini terjadi di tengah panasnya perang melawan volume lalu lintas spam yang terus meningkat). Dan kemudian mereka muncul dengan apa yang disebut zona “IN-ADDR.ARPA”, tempat semua alamat di Internet terikat, dibalik. Seperti apa bentuknya?

$ host 213.180.204.8 8.204.180.213.in-addr.arpa penunjuk nama domain ya.ru.

atau di Windows

C:\u003e nslookup -q \u003d PTR 8.204.180.213.in-addr.arpa ... 8.204.180.213.in-addr.arpa name \u003d ya.ru ...

Semua alamat IP di Internet dapat dikonversi ke format XXX.XXX.XXX.XXX.in-addr.arpa Untuk melakukan ini, Anda hanya perlu menulis alamat itu sendiri "mundur" dan menambahkan ".in-addr.arpa" di akhir ... Jadi, zona yang ditentukan untuk terjemahan kebalikan dari alamat IP disebut zona mundur atau mundur. Seperti yang Anda lihat dari contoh terakhir, untuk 8.204.180.213.in-addr.arpa nama ya.ru terdaftar

Untuk waktu yang lama, kebetulan program yang berfungsi sebagai layanan jaringan dasar disertakan secara default dalam kode sistem operasi FreeBSD. DNS tidak terkecuali. Di FreeBSD, program bind (atau dinamai) bertindak sebagai server DNS. Seiring waktu, banyak perangkat lunak berbeda telah ditulis yang dapat dengan mudah menggantikan bind, namun, karena bind adalah bawaan dari FreeBSD dan kami akan menggunakannya. Terlepas dari jumlah kerentanan kritis yang telah ditemukan dalam bind sepanjang sejarahnya, ini tetap menjadi salah satu server DNS paling populer di Internet. Ngomong-ngomong, pengembang FreeBSD memperbaiki bug terbaru, bukan kritis yang mengikat pada malam rilis 6.3.

Jadi, kami bekerja dengan sistem operasi FreeBSD 6.3 RELEASE. Versi terbaru mengikat hingga saat ini:

# bernama -versi BIND 9.3.4-P1

Semua file konfigurasi untuk DNS kita terletak di direktori / etc / namesb /, yang merupakan link ke direktori / var / names / etc / namedb. Direktori / var / names / adalah lingkungan chroot tempat bind dimulai. File-file berikut dapat ditemukan di direktori ini:

# ls /etc/namedb / dump -\u003e / var / bernama / var / dump master / bernama.conf bernama.root reverse / rndc.key slave / statistik -\u003e / var / bernama / var / statistik zona.master zona.slave zona. terbalik

• name.conf - file konfigurasi bind utama
• zona.master, zona.slave, zona.reverse - file konfigurasi yang berisi zona DNS yang didukung
• slave /, master /, reverse / - direktori tempat file konfigurasi zona DNS berada
• names.root - file konfigurasi sistem yang berisi informasi tentang semua server DNS root di Internet
• rndc.key - file dengan kunci, yang diperlukan untuk mengontrol pekerjaan mengikat menggunakan utilitas rndc

Server DNS masa depan kami membutuhkan:

• Distribusikan informasi terbaru tentang zona zone1.com kami, yang merupakan DNS utama untuk itu.
• Pertahankan zona friends.com dan jadilah DNS sekunder untuk itu.
• Karena kami memiliki sejumlah mesin di jaringan lokal, diperlukan untuk mendaftarkan catatan DNS terbalik untuk setiap mesin. Kami membutuhkan ini sehingga, misalnya, Apache (yang akan berjalan di server yang sama) tidak mencatat alamat IP, tetapi nama komputer di jaringan lokal kami.
• Menjalankan pencarian rekursif di sistem DNS untuk zona (nama) yang saat ini tidak ada di cache dan yang tidak terdaftar di server DNS kami.

Mari kita mulai dengan mengedit file konfigurasi /etc/namedb/named.conf... Ngomong-ngomong, pria bernama.conf Merupakan tutorial bagus untuk mengonfigurasi bind.

Contoh kerja yang ditulis setelah tutorial ini ditunjukkan di bawah ini. Baris yang dimulai dengan // adalah komentar.

//////////////////////////////////// // Ikat file konfigurasi dengan Daemony ///// ///////////////////////////////// // 1. Setelan global // // Buat daftar akses. Sebut saja IN_NET. Di bawah ini akan berguna. acl "IN_NET" (127.0.0.1; 172.17.17.0/24;); // // Berikut ini adalah opsi opsi server utama (// - nama host, pada prinsipnya tidak diperlukan nama host "ns.mydns.net"; // - direktori dengan direktori file konfigurasi "/ etc / namesb"; // BE PERHATIAN! Selanjutnya, path ke file dan direktori // ditentukan di chroot "environment / var / names // - di mana file pid dari daemon pid-file" / var / run / names / pid "akan ditempatkan; // - di sini kita bisa ( meskipun ini opsional) tentukan file // di mana cache DNS akan berada setelah menjalankan perintah // rndc dumbdb dump-file "/var/dump/named_dump.db"; // - dan file ini (juga opsional) akan dihapus // statistik server jika Anda menjalankan rndc stats statistics-file "/var/stats/named.stats"; // // Pada antarmuka mana untuk mendengarkan port 53. // Jika parameter tidak ditentukan, maka semuanya mendengarkan. Listen-on (127.0.0.1 ; 192.168.0.1; XXX.XXX.XXX.XXX;); // Opsi yang menarik. Saya akan memberi tahu Anda di akhir konfigurasi, // di mana ini dapat membantu. Interval-antarmuka 10; // Izinkan kueri rekursif? Ya. Rekursi ya; // Kami mendefinisikan, dari hingga Untuk memproses jaringan tersebut // permintaan rekursif. Kami menggunakan di sini, // Access Control // Daftar yang dibuat sebelumnya bernama IN_NET allow-recursion ("IN_NET";); // Jika tidak ada entri di cache tentang zona yang kita butuhkan, // apa yang harus dilakukan? Apakah Anda ingin mulai mencari nama langsung dari // root DNS server, atau mencoba // untuk "memeriksa" informasi ini dari DNS terdekat (biasanya // provider Anda) dengan mengarahkan permintaan? // Ya, alihkan. maju dulu; // Untuk mengalihkan, Anda harus tahu // ke siapa dialihkan. Di sini kami menunjukkan DNS // dari penyedia kami (beberapa mungkin). Forwarder (XXX.XXX.XXX.XXX; YYY.YYY.YYY.YYY;); // Tentang zona yang kami dukung // (baik primer maupun sekunder ) siapa yang akan // memberikan informasi kepada? Semua orang. Parameter ini // dapat diganti untuk setiap // zona tertentu dalam file konfigurasi zona. allow-query (any;); // Parameter untuk menentukan versi server. // Mengapa tidak jelas. versi "SuperPuper DNS";); // Pengaturan global telah berakhir. // Kemudian ada parameter opsional // untuk logging. Anda dapat menulis, tetapi // tidak dapat menulis. logging (saluran syslog (syslog daemon; info keparahan; kategori cetak ya ; print-severity yes;); category xfer-in (syslog;); category xfer-out (syslog;); category config (syslog;); category default (null;);); // // Dan di sini kita menulis pengaturan "remote" // Manajemen server DNS dengan utilitas rndc. // Saya mengambil remote dengan tanda kutip, karena // kita akan mengatur DNS kita hanya dari localhost. // Meskipun Anda dapat membuat bind open // "command chanel" di antarmuka // depan dan menerima perintah dari node jarak jauh. // Tapi menurutku ini adalah "lubang", dan karena itu bukan ara. // Biarkan hanya mendengarkan localhost dan menerima // perintah hanya darinya. Di bagian ini, kita // hanya perlu mendaftarkan kunci yang // akan digunakan saat bekerja dengan rndc. kunci "Daemony" (algoritme hmac-md5; rahasia "pPSvUGU4mRoD0vTuwpzvUg \u003d\u003d";); // // Sebenarnya, dengan konfigurasi server ini // semuanya. Berikutnya adalah pengaturan untuk zona DNS saja. // ////////////////////////////////////////// // Saya secara kondisional menyebut bagian ini sebagai zona "SISTEM" ///////////////////////////////////// ///// // ///// Zona root. Atau zona "titik". // MULAI! // Jika tidak, DNS Anda tidak akan berfungsi. // zona "." (// - tipe zona dijelaskan di sini tipe hint; // - file konfigurasi zona ditentukan di sini. file "bernama.root";); // ///// Zona maju untuk zona localhost "localhost" (// - parameter selanjutnya menunjukkan bahwa DNS // server untuk zona ini adalah master tipe otoritatif; // - siapa yang dapat diberi tahu tentang zona ini - // dapat dimengerti masalahnya adalah itu hanya untuk dirinya sendiri allow-query (127.0.0.1;); // - file dengan file konfigurasi zona "master / localhost";); // ///// Zona terbalik untuk zona localhost "0.0.127.IN-ADDR.ARPA" (tipe master; allow-query (127.0.0.1;); file "reverse / localhost.rev";); // Semuanya sama seperti pada kasus sebelumnya. // // Di akhir names.conf, kami menggunakan konstruksi include // untuk menyertakan membaca sisa // konfigurasi DNS, yaitu informasi tentang zona yang didukung, // yang terdapat di file berikut. // sertakan "/etc/namedb/zones.master"; sertakan "/etc/namedb/zones.slave"; sertakan "/etc/namedb/zones.reverse"; /// Akhir dari konfigurasi bind

Adapun opsi " interval antarmukaIni dapat berguna pada server di mana frontendnya dinamis, misalnya tun0 ... Jika Anda terhubung ke penyedia layanan Internet menggunakan PPP atau PPPoE saat sistem dimulai, pengikatan mungkin dimulai lebih cepat daripada saat dimunculkan PPP / PPPoE senyawa. Ditambah dengan " dengarkanIni akan penuh dengan fakta bahwa bind tidak akan dapat mendengarkan antarmuka yang muncul setelah dimulai. Saya tidak tahu bagaimana mengobatinya. Jika seseorang memberi tahu saya, saya akan berterima kasih. Tapi saya tahu itu dengan bantuan " interval antarmuka N; "Anda dapat membuat bind menunggu N detik setelah memulainya sebelum" berputar "pada antarmuka. Ketika sistem dimulai dalam 10 detik, antarmuka PPPoE, misalnya, biasanya muncul tanpa masalah dan bind terus bekerja secara normal.

Mengajukan zona. terbalik terhubung dalam konfigurasi bernama.conf dan berisi informasi tentang zona pembalikan. Kami punya satu. Kami membutuhkan catatan PTR untuk mesin di jaringan lokal, dan di jaringan lokal kami hanya memiliki satu subnet 192.168.0.0/24

// - zona nama zona "0.168.192.IN-ADDR.ARPA" (// - tipe zona - kami memilikinya "primer" tetapi terdaftar untuk master tipe terbalik; // - siapa yang dapat bertanggung jawab atas permintaan untuk menerima // informasi tentang nama di zona ini? Hanya jaringan lokal kami .allow-query (127.0.0.1; 192.168.0.0/24;); // - path ke file konfigurasi zona "reverse / in.0.168.192.rev";);

File zone.master juga disertakan dalam konfigurasi bernama.conf dan berisi informasi tentang pemilihan pendahuluan ( utama) zona yang akan kami dukung. Misalnya, kita hanya punya satu. Daerah zone1.com

// - nama zona zona "zone1.com" (// - jenis zona - kami memilikinya "master" - master tipe utama; // - jalur ke file konfigurasi zona "master / zone1.com"; // - kepada siapa dapatkah saya bertanggung jawab atas permintaan untuk mendapatkan // informasi tentang nama-nama di zona ini? Semua orang. allow-query (any;); // - siapa yang dapat memberikan seluruh konfigurasi zona // (untuk melakukan transfer). Di sini kami hanya menunjukkan alamat IP // dari DNS sekunder kami server untuk zona memungkinkan transfer zona1.com (100.200.0.1; 200.100.0.2;););

File zone.slave terhubung lagi di config bernama.conf dan berisi informasi tentang sekunder mana ( sekunder) zona harus didukung oleh server DNS kami. Dalam contoh ini, kami mendukung satu zona friends.com

// - tentukan nama zona zona "friends.com" (// - tunjukkan bahwa zona ini adalah slave tipe sekunder (slave); // - di mana file untuk menyimpan informasi tentang file zona ini "slave / friends.com"; // - tentukan alamat IP dari server DNS primer // Izinkan saya mengingatkan Anda bahwa mungkin ada lebih dari satu master server utama (210.220.230.240;););

Konfigurasi zona selesai. Jika Anda perlu menambahkan zona lain, edit file yang sesuai dan instruksikan mengikat untuk membaca ulang pengaturan. Sekarang mari kita gambarkan zona itu sendiri di file yang sesuai. Mari kita mulai dengan localhost.

# cat / etc / namesb / master / localhost $ TTL 1D localhost. DI SOA ns.mydns.net. root.ns.mydns.net. (2007042001; nomor seri 86400; segarkan 3600; coba lagi 3888000; kedaluwarsa 3600; minimum) localhost. DI NS ns.mydns.net. localhost. DI A 127.0.0.1

Dalam contoh ini, baris kedua berisi parameter berikut: " nama zona"- localhost," tipe rekaman"- IN SOA - Mulai Otoritas -" Awal dari zona otoritatif“, Yang menjadi tanggung jawab server DNS otoritatif ns.mydns.net, dan administrator server ini dapat dihubungi melalui email [email dilindungi] (titik diganti dengan "anjing"). Ini diikuti dengan nomor seri zona ( nomor seri), yang selalu harus diubah saat membuat perubahan pada zona, periode pembaruan zona ( menyegarkan) oleh server DNS sekunder (dalam detik), periode antara upaya untuk memperbarui zona oleh server DNS sekunder ( mencoba kembali), jika upaya sebelumnya tidak berhasil, masa pakai zona ( berakhir) di server DNS sekunder jika yang utama tidak tersedia. Apa parameter " minimum“Sejujurnya saya tidak ingat.

Ini diikuti dengan deskripsi catatan DNS zona. Contoh tersebut menunjukkan bahwa satu record A terdaftar untuk nama localhost dan menunjuk ke alamat IP 127.0.0.1 Server ns.mydns.net bertanggung jawab untuk menjaga zona, yaitu pengikatan lokal kami.

Contoh konfigurasi zona DNS terbalik untuk localhost

# cat /etc/namedb/reverse/localhost.rev $ TTL 3600 @ DI SOA ns.mydns.net. root.ns.mydns.net. (2007042001; Serial 3600; Segarkan 900; Coba lagi 3600000; Kedaluwarsa 3600); Minimum DI NS ns.mydns.net. 1 DI localhost PTR.

Sekarang bind kita akan mengetahui bahwa record PTR berikut ditulis untuk 127.0.0.1:

# host 127.0.0.1 1.0.0.127.in-addr.arpa penunjuk nama domain localhost.

Sekarang kita perlu membuat file zona DNS terbalik /etc/namedb/reverse/in.0.168.192.rev di mana kita akan menentukan catatan PTR untuk mesin di jaringan lokal kita. Contohnya seperti ini:

$ TTL 3600 @ DI SOA ns.mydns.net. root.ns.mydns.net. (2007042001; Serial 3600; Segarkan 900; Coba lagi 3600000; Kedaluwarsa 3600); Minimum DI NS ns.mydns.net. 1 DI router PTR. 2 DI server email PTR. 3 DI server web PTR. 4 DI bos PTR. 5 DI PTR buhgalter. // dll ...

Setelah DNS kami membaca ulang konfigurasi ini, di jaringan lokal, alamat IP akan mulai diselesaikan dengan sesuatu seperti ini:

$ host 192.168.100.1 1.0.168.192.in-addr.arpa router penunjuk nama domain. $ host 192.168.100.2 2.0.168.192.in-addr.arpa penunjuk nama domain server email. $ host 192.168.100.3 3.0.168.192.in-addr.arpa penunjuk nama domain server web. $ host 192.168.100.4 4.0.168.192.in-addr.arpa bos penunjuk nama domain. $ host 192.168.100.5 5.0.168.192.in-addr.arpa penunjuk nama domain buhgalter.

Sejujurnya, saat mengurai log (dan tidak hanya di FreeBSD), nama jauh lebih nyaman daripada alamat IP.

Terakhir, tetap bagi kami untuk membuat file untuk zona DNS utama yang kami dukung. zone1.com Untuk ini di katalog / etc / namab / master buat file, misalnya dengan konfigurasi berikut:

$ TTL 7200 @ DI SOA ns.mydns.net. hostmaster.ns.mydns.net. (2008020601; Serial 28800; Segarkan 7200; Coba lagi 2419200; Kedaluwarsa 86400); TTL Cache Negatif; @ IN NS ns.dns.net. @ IN NS n1.omedns.net. @ IN NS n2.omedns.net. @ IN A 212.212.212.212 @ IN MX 1 ASPMX.L.GOOGLE.COM. @ IN MX 5 ALT1.ASPMX.L.GOOGLE.COM. @ IN MX 5 ALT2.ASPMX.L.GOOGLE.COM. @ IN MX 10 ASPMX2.GOOGLEMAIL.COM. @ IN MX 10 ASPMX3.GOOGLEMAIL.COM. @ IN MX 10 ASPMX4.GOOGLEMAIL.COM. @ IN MX 10 ASPMX5.GOOGLEMAIL.COM. www DI CNAME zone1.com. ftp DI A 213.213.213.213

Contoh ini menunjukkan entri (fiktif, tentu saja) untuk zona tersebut zone1.com: email untuk zona ini diterima oleh server Google (tujuh data MX - tujuh server untuk menerima email untuk domain ini); nama itu sendiri zone1.com terikat oleh rekam A ke host dengan alamat IP 212.212.212.212, dan www.zone1.com identik dengan nama zone1.com; pada saat yang sama, server DNS bertanggung jawab atas zona tersebut ns.mydns.net, ns1.somedns.net dan ns2.somedns.net... Dan di alamat 213.213.213.213 mungkin ada server FTP ftp.zone1.com... Setidaknya ada rekam A yang sesuai untuk nama ini.

Harap dicatat bahwa server ns1.somedns.net dan ns2.somedns.net, atau lebih tepatnya, alamat IP mereka harus ditentukan dalam file /etc/namedb/zones.master di " memungkinkan-transferUntuk zona ini.

Perhatikan baik-baik penempatan titik. Secara umum, cukup membuat kesalahan dalam satu tanda baca di file konfigurasi atau file zona dan DNS tidak akan mulai sama sekali, atau zona tidak akan berfungsi dengan benar.

Konfigurasi server DNS selesai. Untuk membuatnya bekerja, tambahkan ke /etc/rc.conf:

Named_enable \u003d "YES"

Segala sesuatu yang kita butuhkan ditulis secara default di file /etc/defaults/rc.conf

# cat /etc/defaults/rc.conf | grep bernama_uid bernama_uid \u003d "bind" # Pengguna untuk menjalankan bernama sebagai

Persis. Dinamakan harus dimulai hanya sebagai ikatan pengguna dan tidak berarti dari root. Jika tidak, Anda berisiko menjadi korban kebodohan.

Bind dapat dimulai dengan skrip startup asli:

# /etc/rc.d/named start Mulai dinamai.

Jadi di / var / log / messages itu akan menulis:

Dinamakan: memulai BIND 9.3.4-P1 -t / var / bernama -u bind bernama: saluran perintah mendengarkan pada 127.0.0.1 # 953

Untuk memastikan semuanya berfungsi:

# sockstat | grep bernama bind bernama 33696 3 dgram -\u003e / var / run / logpriv bind bernama 33696 20 udp4 192.168.0.1:53 *: * bind bernama 33696 21 tcp4 192.168.0.1:53 *: * bind bernama 33696 22 udp4 127.0.0.1: 53 *: * bind bernama 33696 23 tcp4 127.0.0.1:53 *: * bind bernama 33696 24 udp4 XXX.XXX.XXX.XXX:53 *: * bind bernama 33696 25 tcp4 XXX.XXX.XXX.XXX:53 *: * bind bernama 33696 26 udp4 *: 53 *: * bind bernama 33696 27 tcp4 127.0.0.1:953 *: * root syslogd 462 7 dgram / var / bernama / var / run / log

Bind sedang berjalan dan siap menerima permintaan di semua antarmuka. Jika tidak memprosesnya untuk Anda, periksa apakah Anda telah mengizinkan akses ke DNS Anda di firewall. Pada port 53 dan darinya, paket harus diterbangkan dengan bebas melalui TCP dan UDP.

Dan terakhir, sedikit tentang bagaimana Anda dapat mengontrol bind dengan rndc.

• rndc memuat ulang - akan memuat ulang konfigurasi (jika tidak ada kesalahan dalam konfigurasi bernama.conf)
• rndc berhenti - akan menghentikan server DNS
• statistik rndc - akan menampilkan statistik tentang apa yang telah di-cache DNS Anda
• rndc dump - membuang cache-nya ke file dump yang ditentukan dalam konfigurasi bernama.conf
• rndc siram - akan mengatur ulang cache ke nol
• rndc flushname zona.com - akan menghapus informasi tentang zona.com dari cache-nya
• rndc berhenti - Pembunuhan bernama tanpa menyimpan semua yang dia ingin selamatkan pada saat itu
• rndc konfigurasi ulang - akan memuat ulang konfigurasi utama file, serta konfigurasi zona baru dan banyak hal bagus dan nyaman.

Seperti yang Anda lihat, tidak ada yang rumit dalam mengonfigurasi server DNS. Meskipun, pada awalnya tampaknya banyak yang sebaliknya.

Seberapa membantu posting ini?

Klik bintang untuk menilai!

Belum ada peringkat! Jadilah yang pertama menilai posting ini.

Kami mohon maaf karena postingan ini tidak membantu Anda!

Mari perbaiki postingan ini!

Posting ulasan

Terima kasih atas tanggapan Anda!