Стъпка 1: Монтаж на необходимите пакети
Преди да започнете да обмисляте следните инструкции, ние искаме да отбележим, че на нашия сайт вече има общо ръководство за конфигуриране на стандартния DNS в Linux. Препоръчваме ви да използвате точно материала, ако трябва да зададете настройките за обичайното посещение в интернет сайтове. След това ще покажем как е инсталиран основният местен DNS сървър с клиентската част.В края на този процес ще бъдете уведомени, че всички опаковки са успешно добавени към системата. След това преминете към следващата стъпка.
Стъпка 2: Глобална настройка на DNS сървъра
Сега искаме да покажем как се редактира основният конфигурационен файл, както и кои редове се добавят там. Освен това няма да останем много време, тъй като ще отнеме много време, цялата необходима информация е налична в официалната документация.
- Можете да използвате всеки текстов редактор за редактиране на конфигурационни обекти. Ние предлагаме да инсталираме удобен нано, като влезете в Sudo Yum, инсталирайте нано в конзолата.
- Всички необходими пакети ще бъдат изтеглени и ако вече присъстват в разпространението, ще получите уведомление "Извършете нищо".
- Ще продължим да редактираме самия файл. Отворете го през Sudo Nano /etc/nmned.conf. Ако е необходимо, сменете желания текстов редактор, след това низът ще бъде както следва: sudo vi /etc/named.conf.
- По-долу представяме съдържанието, което трябва да влезете в отворения файл или да го проверите с вече съществуващи чрез добавяне на липсващи линии.
- След това натиснете Ctrl + O, за да записвате промените.
- Не е необходимо да променяте името на файла, просто кликнете върху Enter.
- Оставете текстов редактор чрез Ctrl + X.
Както вече беше казано по-рано, конфигурационният файл ще изисква вмъкване на определени линии, които определят общите правила за поведението на DNS сървъра.
//
// named.conf.
//
//, предоставени от Red Hat Bind пакет, за да конфигурирате ISC свързването на име (8) DNS
// Server като кеширане само на сървър (като самостоятелен DNS резолвер само).
//
// вижте / usr / share / doc / bind * / проба / например имена на конфигурационни файлове.
//
Настроики {
Слушане на пристанище 53 {127.0.0.1; 192.168.1.101;}; ### Master DNS IP ###
# Слушам-на-v6 порт 53 {:: 1; };
Директория "/ var / named";
Файл за сметища "/var/named/data/cache_dump.db";
Статистика-файл "/var/named/data/named_stats.txt";
Memstatistics-file "/var/named/data/named_mem_stats.txt";
Query Query {localhost; 192.168.1.0/24;}; ### IP диапазон ###
Разрешаване на трансфер {localhost; 192.168.1.102; }; ### Slave DNS IP ###
/*
- Ако изграждате авторитетен DNS сървър, не позволявайте рекурсия.
- Ако изграждате рекурсивен (кеширащ) DNS сървър, трябва да активирате
Рекурсия.
- Ако вашият рекурсивен DNS сървър има публичен IP адрес, трябва да разрешите достъп
Контрол, за да ограничите заявките към вашите законни потребители. Не успява да го направи
Накарайте вашия сървър да стане част от широкомащабно усилване на DNS
Атаки. Прилагането на BCP38 в рамките на вашата мрежа ще бъде значително
Намалете тази повърхност на атаката
*/
Рекурсия да;
DNSSEC - разрешаване на да;
DNSSEC-валидиране Да;
DNSSEC-Lookaside Auto;
/ * Път към ISC DLV ключ * /
BindKeys-File "/etc/mnamed.iscdlv.key";
Управлявани ключове-директория "/ var / amed / dynamic";
PID-файл "/urn/mnumed/named.pid";
сесия-ключове "/urn/named/session.key";
};
Logging {
LANNE Default_DeBug {
Файл "Data / named.run";
Динамика на тежестта;
};
};
зона "." В {
Тип намек;
Файл "named.ca";
};
зона "Unixmen.local" в {
Тип майстор;
Файл "Forward.Unixmen";
Разрешаване на актуализация {няма; };
};
зона "1.168.192.in-addr.arpa" в {
Тип майстор;
Файл "REVAND.UNIXMEN";
Разрешаване на актуализация {няма; };
};
включват "/etc/named.rfc1912.zones";
включват "/etc/named.root.key";
Уверете се, че всичко е изложено точно както е показано по-горе, след което отидете на следващата стъпка.
Стъпка 3: Създаване на пряка и обратна зона
За информация относно източника, DNS сървърът използва директни и обратни зони. Директното ви позволява да получавате IP адрес по име на хост и връщането чрез IP дава име на домейн. Правилната експлоатация на всяка зона трябва да бъде снабдена със специални правила, създаването, което ние предлагаме да направим по-нататък.
- За директна зона ще създадем отделен файл чрез същия текстов редактор. Тогава низът ще изглежда така: sudo nano /var/moned/forward.unixmen.
- Ще бъдете уведомени, че това е празен обект. Поставете следното съдържание там:
$ Ttl 86400.
@ In soa masterdns.unixmen.local. root.unixmen.local. (
2011071001; сериен
3600; опресняване.
1800; повторен опит.
604800; изтича
86400; Минимален TTL
)
@ In ns masterdns.unixmen.local.
@ In ns storydndns.unixmen.local.
@ В 192.168.1.101
@ В 192.168.1.102
@ В 192.168.1.103
Masterdns в 192.168.1.101
Средно в продължение на 192.168.1.102
Клиент в 192.168.1.103
- Запазете промените и затворете текстовия редактор.
- Сега се обръщаме към обратната зона. Той изисква /VAR/mnamed/reverse.Unixmen файл.
- Това също ще бъде нов празен файл. Вмъкнете там:
$ Ttl 86400.
@ In soa masterdns.unixmen.local. root.unixmen.local. (
2011071001; сериен
3600; опресняване.
1800; повторен опит.
604800; изтича
86400; Минимален TTL
)
@ In ns masterdns.unixmen.local.
@ In ns storydndns.unixmen.local.
@ В PTR Unixmen.Local.
Masterdns в 192.168.1.101
Средно в продължение на 192.168.1.102
Клиент в 192.168.1.103
101 в ptr masterdns.unixmen.local.
102 в PTR STORICTNDN.UNIXMEN.LOCAL.
103 в ptr client.unixmen.local.
- Когато спестявате, не променяйте името на обекта, но просто натиснете клавиша Enter.
Сега посочените файлове ще се използват за директна и обратна зона. Ако е необходимо, трябва да ги редактирате, за да промените някои параметри. Можете също да прочетете за него в официалната документация.
Стъпка 4: Стартирайте DNS сървъра
След като завършите всички предишни инструкции, вече можете да стартирате DNS сървъра, така че в бъдеще лесно да се провери нейното изпълнение и да продължи да създава важни параметри. Задачата се извършва, както следва:
- В конзолата въведете Sudo SysterCTL Enable Enable, наречено да добавите DNS сървър към AutoLoad за автоматично стартиране при стартиране на операционната система.
- Потвърдете това действие, като въведете паролата на суперпотребителя.
- Ще бъдете уведомени за създаването на символична справка, което означава, че действието е било успешно.
- Стартирайте полезността чрез SystemCTL старт на име. Можете да го спрете по същия начин, като подменяте само опцията за стартиране.
- Когато се покаже изскачащ прозорец за удостоверяване, въведете паролата от корена.
Както можете да видите, управлението на посочената услуга се извършва по същия принцип, тъй като всички други стандартни комунални услуги, следователно не трябва да има проблеми с това дори и при начинаещи потребители.
Стъпка 5: Промяна на параметрите на защитната стена
За правилната работа на DNS сървъра ще трябва да отворите порт 53, който се извършва чрез стандартната защитна стена на Firewalld. В терминала ще трябва да въведете само три прости команди:
- Първият се характеризира с оглед на защитната стена - CMD -Permanent -DD-Port = 53 / TCP и отговаря за отварянето на TCP протоколния порт. Поставете го в конзолата и кликнете върху Въведете.
- Трябва да получите уведомлението за успех, което показва успешното прилагане на правилото. След това поставете firewall-cmd --permanent -DD-port = 53 / UDP низ, за да отворите Protocol порта на UDP.
- Всички промени ще се прилагат само след рестартиране на защитната стена, която се извършва чрез командата на Firewall-cmd.
Няма повече промени с защитната стена за производство. Дръжте го постоянно в състоянието, така че няма проблеми с достъпа.
Стъпка 6: Регулирайте правата за достъп
Сега ще е необходимо да се задават основните разрешения и права за достъп, за да защитите функцията на DNS сървъра и да защитите обичайните потребители от възможността да промените параметрите. Ще го направим по стандартен път чрез selinux.
- Всички следващи команди трябва да бъдат активирани от името на суперпотребителя. За постоянно да не влизате в паролата, ние Ви съветваме да активирате постоянния корен достъп за текущата терминална сесия. За да направите това, въведете SU в конзолата.
- Посочете паролата за достъп.
- След това последователно въведете следните команди, за да създадете оптимален конфигурация за достъп:
Chgrp на име -r / var / име
Chown - root: named /etc/moned.conf
Restorecon -RV / var / named
Restorecon /etc/named.conf.
По този начин общата конфигурация на главния DNS сървър е завършена. Той остава само за редактиране на няколко конфигурационни файла и тестови грешки. Ние предлагаме всичко това, за да разберем следващата стъпка.
Стъпка 7: Тестване за грешки и попълване на настройката
Препоръчваме ви да започнете с проверки за грешки, така че в бъдеще да не се налага да променяте останалите конфигурационни файлове. Ето защо ние ще разгледаме всичко в рамките на една стъпка, както и ние даваме проби от правилна продукция на команди за тестване.
- Въведете amered-checkconf /etc/named.conf в терминала. Това ще ви позволи да проверите глобалните параметри. Ако в резултат на това не е последвал извеждане, това означава, че всичко е конфигурирано правилно. В противен случай научете съобщението и, избутвате от него, решете проблема.
- След това трябва да проверите директната зона, като поставите unixmen unixmen.local /var/moned/forward.unixmen.
- Изходната проба е както следва: Zone Unixmen.local / IN: Loaded Serial 2011071001 OK.
- Приблизително същото и с обратната зона чрез имена на unixmen.local /var/mnamed/reverse.Unixmen.
- Правилният изход трябва да бъде: Zone Unixmen.local / IN: Loaded Serial 2011071001 OK.
- Сега преминете към настройките на основния мрежов интерфейс. Това ще изисква добавяне на данни за текущия DNS сървър. За да направите това, отворете файла / etc / sysconfig / network-scripts / ifcfg-ENP0S3.
- Проверете дали съдържанието е както е показано по-долу. Ако е необходимо, поставете DNS параметрите.
Тип = "Ethernet"
Bootproto = "none"
Defroute = "Да"
Ipv4_failure_fatal = "Не"
Ipv6init = "Да"
IPv6_Autoconf = "Да"
Ipv6_defroute = "Да"
Ipv6_failure_fatal = "не"
Име = "ENP0S3"
Uuid = "5D0428B3-6AF2-4F6B-9FE3-4250CD839EFA"
Onboot = "Да"
Hwaddr = "08: 00: 27: 19: 68: 73"
Ipaddr0 = "192.168.1.101"
Prefix0 = "24"
Gateway0 = "192.168.1.1"
DNS = "192.168.1.101"
Ipv6_peerdns = "Да"
IPv6_peerroutes = "Да"
- След като запазите промените, отидете на файла /etc/resolv.conf.
- Тук трябва да добавите само една линия: име на сървъра 192.168.1.101.
- След завършване тя остава само за да рестартирате мрежата или компютъра, за да актуализирате конфигурацията. Мрежата се рестартира чрез командата SysterCTL Restart Network.
Стъпка 8: Проверка на инсталирания DNS сървър
В края на конфигурацията остава само за да се провери работата на наличния DNS сървър, след като бъде добавен към услугата Global Network. Тази операция се извършва и с помощта на специални команди. Първият от тях има формата на dig masterdns.unixmen.local.
В резултат на това на екрана трябва да се появи изход, който има подобно представяне със съдържанието, посочено по-долу.
Шпакловка DIG 9.9.4-REDHAT-9.9.4-14.EL7 MASTERDNS.UNIXMEN.LOCAL
; Глобални опции: + cmd
; Имам отговор:
; - >> заглавие.
; Флагове: QR AA RD RA; Запитване: 1, отговор: 1, орган: 2, допълнителен: 2
; ОПТ псевдоза:
Шпакловка EDNS: версия: 0, флагове:; UDP: 4096.
; Въпрос Раздел:
masterdns.unixmen.local. В.
; Отговор Раздел:
Masterdns.unixmen.local. 86400 в 192.168.1.101
; Раздел за органа:
unixmen.local. 86400 в ns storydndns.unixmen.local.
unixmen.local. 86400 в ns masterdns.unixmen.local.
; Допълнителен раздел:
Storialdns.unixmen.local. 86400 в 192.168.1.102
; Време за заявка: 0 msec
; Сървър: 192.168.1.101 # 53 (192.168.1.101)
; Кога: сряд 20 16:20:46 IST 2014
; Msg размер RCVD: 125
Допълнителна команда ще ви позволи да научите за състоянието на местния DNS сървър. За да направите това, поставете nslookup Unixmen.local до конзолата и кликнете върху Въведете.
В резултат на това трябва да се покажат три различни изображения на IP адреси и имена на домейни.
Сървър: 192.168.1.101.
Адрес: 192.168.1.101 # 53
Име: unixmen.local.
Адрес: 192.168.1.103.
Име: unixmen.local.
Адрес: 192.168.1.101.
Име: unixmen.local.
Адрес: 192.168.1.102.
Ако изходът съвпада с този, който посочим, това означава, че конфигурацията е завършена успешно и можете да отидете на работа с клиентската част на DNS сървъра.
Настройка на клиентската част на DNS сървъра
Няма да отделим тази процедура на отделни стъпки, тъй като се извършва чрез редактиране само на един конфигурационен файл. Необходимо е да се добави информация за всички клиенти, които ще бъдат свързани със сървъра, и примерът на такава настройка изглежда така:
- Отворете файла /etc/resolv.conf чрез всеки удобен текстов редактор.
- Добавете низ за търсене на Unixmen.Local DamageServer 192.168.1.101 и имената на имената 192.168.1012, замествайки необходимите клиентски адреси.
- Когато спестявате, не променяйте името на файла, но просто натиснете клавиша Enter.
- След като напуснете текстовия редактор, рестартирайте Global Network чрез командата SysterCTL Restart Network.
Това бяха основните точки на клиентския компонент на DNS сървъра, който искахме да кажем. Всички останали нюанси се предлагат да проучат, като прочетете официалната документация, ако е необходимо.
DNS сървър тестване
Последният етап от днешния ни материал е окончателното тестване на DNS сървъра. По-долу виждате няколко команди, което ви позволява да се справите с задачата. Използвайте един от тях, като активирате през "терминала". Ако в изхода не се наблюдават грешки, целият процес се извършва правилно.
Dig masterdns.unixmen.local.
Dig storydnds.unixmen.local.
Dig client.unixmen.local.
nslookup Unixmen.local.
Днес сте научили всичко за настройката на главния DNS сървър в разпределението на Centos. Както можете да видите, цялата операция е фокусирана върху въвеждането на терминални команди и редактиране на конфигурационни файлове, които могат да доведат до определени трудности от начинаещите потребители. Въпреки това, трябва само да следвате тези инструкции и да прочетете резултатите от проверките, така че всичко да върви без грешки.