Langkah 1: Pemasangan pakej yang diperlukan
Sebelum anda mula mempertimbangkan arahan berikut, kami ingin menyedari bahawa di laman web kami, sudah ada panduan konfigurasi umum kepada DNS standard di Linux. Kami mengesyorkan menggunakan betul bahan jika anda perlu menetapkan tetapan untuk lawatan biasa ke laman internet. Seterusnya, kami akan menunjukkan bagaimana pelayan DNS tempatan utama dengan bahagian pelanggan dipasang.Pada akhir proses ini, anda akan dimaklumkan bahawa semua pakej telah berjaya ditambah kepada sistem. Selepas itu, pergi ke langkah seterusnya.
Langkah 2: Persediaan Pelayan DNS Global
Sekarang kita mahu menunjukkan bagaimana fail konfigurasi utama diedit, serta baris yang ditambahkan di sana. Kami tidak akan memikirkan setiap baris secara berasingan, kerana ia akan mengambil banyak masa, lebih-lebih lagi, semua maklumat yang diperlukan tersedia dalam dokumentasi rasmi.
- Anda boleh menggunakan mana-mana editor teks untuk mengedit objek konfigurasi. Kami menawarkan untuk memasang Nano yang mudah dengan memasuki sudo yum memasang nano di konsol.
- Semua pakej yang diperlukan akan dimuat turun, dan jika mereka sudah hadir dalam pengedaran, anda akan menerima pemberitahuan "melakukan apa-apa."
- Kami akan meneruskan untuk mengedit fail itu sendiri. Buka melalui sudo nano /etc/named.conf. Jika perlu, gantikan editor teks yang dikehendaki, maka rentetan akan seperti berikut: sudo vi /etc/named.conf.
- Di bawah ini kita membentangkan kandungan yang anda perlukan untuk memasukkan ke dalam fail yang dibuka atau mengesahkannya dengan sudah sedia ada dengan menambah garisan yang hilang.
- Selepas itu, tekan Ctrl + O untuk merakam perubahan.
- Anda tidak perlu menukar nama fail, hanya klik pada ENTER.
- Tinggalkan editor teks melalui Ctrl + X.
Memandangkan ia telah dikatakan sebelum ini, fail konfigurasi akan memerlukan memasukkan baris tertentu yang menentukan peraturan umum untuk tingkah laku pelayan DNS.
//
// named.conf.
//
// yang disediakan oleh Pakej Red Hat Bind untuk mengkonfigurasi ISC Bind yang dinamakan (8) DNS
// pelayan sebagai caching hanya pelayan nama (sebagai resolver DNS localhost sahaja).
//
// lihat / usr / kongsi / doc / bind * / sampel / contohnya dinamakan fail konfigurasi.
//
Pilihan {
Dengar-on Port 53 {127.0.0.1; 192.168.1.101;}; ### Master DNS IP ###
# Dengar-on-V6 Port 53 {:: 1; };
Direktori "/ var / dinamakan";
Dump-file "/var/named/data/cache_dump.db";
statistik-fail "/var/named/data/named_stats.txt";
Memtatistics-file "/var/named/data/named_mem_stats.txt";
Benarkan pertanyaan {localhost; 192.168.1.0/24;}; ### IP Range ###
Benarkan pemindahan {localhost; 192.168.1.102; }; ### hamba DNS IP ###
/*
- Jika anda sedang membina pelayan DNS yang berwibawa, jangan aktifkan rekursi.
- Jika anda sedang membina pelayan DNS Recursif (caching), anda perlu untuk mendayakan
Rekursi.
- Jika pelayan DNS Recursif anda mempunyai alamat IP awam, anda mesti mengaktifkan akses
Kawalan untuk menghadkan pertanyaan kepada pengguna yang sah anda. Gagal berbuat demikian
Menyebabkan pelayan anda menjadi sebahagian daripada penguatan DNS skala besar
Serangan. Melaksanakan BCP38 dalam rangkaian anda akan sangat
Mengurangkan permukaan serangan sedemikian
*/
Rekursi Ya;
dnssec-dayakan ya;
DNSSEC-Validation Ya;
Dnssec-lookaside auto;
/ * Laluan ke ISC DLV Key * /
Bindkeys-file "/etc/named.iscdlv.key";
Direktori Key-Keys "/ Var / Dinamakan / Dinamik";
PID-fail "/named/named.pid";
Sesi-Keyfile "/nnnamed/Session.Key";
};
Pembalakan {
Default_debug saluran {
Fail "data / named.run";
Keterukan dinamik;
};
};
Kawasan "." Dalam {
Taip petunjuk;
Fail "bernama.CA";
};
Zon "Unixmen.Local" dalam {
Taipkan tuan;
Fail "Forward.unixmen";
Benarkan-kemas kini {tiada; };
};
Zon "1.168.192.in-addr.arpa" dalam {
Taipkan tuan;
Fail "Reverse.unixmen";
Benarkan-kemas kini {tiada; };
};
termasuk "/etc/named.rfc1912.zones";
termasuk "/etc/named.root.key";
Pastikan segala-galanya terdedah seperti yang ditunjukkan di atas, dan kemudian pergi ke langkah seterusnya.
Langkah 3: Mewujudkan zon langsung dan terbalik
Untuk maklumat mengenai sumber, pelayan DNS menggunakan zon langsung dan songsang. Direct membolehkan anda menerima alamat IP dengan nama hos, dan pulangan melalui IP memberikan nama domain. Operasi yang betul setiap zon mesti disediakan dengan peraturan khas, penciptaan yang kami tawarkan untuk melakukan lebih lanjut.
- Untuk zon langsung, kami akan membuat fail berasingan melalui editor teks yang sama. Kemudian rentetan akan kelihatan seperti ini: sudo nano /var/named/forward.unixmen.
- Anda akan dimaklumkan bahawa ia adalah objek kosong. Tampalkan kandungan berikut di sana:
$ TTL 86400.
@ Di Soa Masterdns.unixmen.Local. root.unixmen.local. (
2011071001; Serial.
3600; menyegarkan.
1800; cuba lagi.
604800; tamat tempoh
86400; TTL minimum
)
@ Dalam NS Masterdns.unixmen.Local.
@ Di NS secondarydns.unixmen.local.
@ Dalam 192.168.1.101
@ Dalam 192.168.1.102
@ Dalam 192.168.1.103
Masterdns dalam 192.168.1.101
SecondaryDNS dalam 192.168.1.102
Pelanggan dalam 192.168.1.103
- Simpan perubahan dan tutup editor teks.
- Kami kini berpaling ke zon terbalik. Ia memerlukan fail /var/named/reverse.unixmen.
- Ini juga akan menjadi fail kosong baru. Masukkan di sana:
$ TTL 86400.
@ Di Soa Masterdns.unixmen.local. root.unixmen.local. (
2011071001; Serial.
3600; menyegarkan.
1800; cuba lagi.
604800; tamat tempoh
86400; TTL minimum
)
@ Dalam NS Masterdns.unixmen.Local.
@ Di NS secondarydns.unixmen.local.
@ Di PTR Unixmen.Local.
Masterdns dalam 192.168.1.101
SecondaryDNS dalam 192.168.1.102
Pelanggan dalam 192.168.1.103
101 di PTR Masterdns.unixmen.Local.
102 di PTR SecondaryDns.unixmen.Local.
103 di PTR CLIENT.UNIXMEN.LOCAL.
- Apabila menyimpan, jangan ubah nama objek, tetapi hanya tekan kekunci Enter.
Sekarang fail yang ditentukan akan digunakan untuk zon langsung dan terbalik. Sekiranya perlu, anda perlu mengeditnya untuk mengubah beberapa parameter. Anda juga boleh membaca mengenainya dalam dokumentasi rasmi.
Langkah 4: Mula pelayan DNS
Selepas melengkapkan semua arahan terdahulu, anda sudah dapat memulakan pelayan DNS supaya pada masa akan datang, mudah untuk memeriksa prestasi dan terus menyediakan parameter penting. Tugas ini dijalankan seperti berikut:
- Di dalam konsol, masukkan Sudo SystemCtl Dayakan dinamakan untuk menambah pelayan DNS ke Autoload untuk permulaan automatik apabila memulakan sistem operasi.
- Sahkan tindakan ini dengan memasukkan kata laluan superuser.
- Anda akan dimaklumkan tentang penciptaan rujukan simbolik, yang bermaksud tindakan itu telah berjaya.
- Jalankan utiliti melalui SYSTEMSTL mula dinamakan. Anda boleh menghentikannya dengan cara yang sama, hanya menggantikan pilihan Mula di STOP.
- Apabila tetingkap Pengesahan Pop-up dipaparkan, masukkan kata laluan dari akar.
Seperti yang anda lihat, pengurusan perkhidmatan yang dinyatakan dijalankan mengikut prinsip yang sama kerana semua utiliti standard yang lain, oleh itu, tidak ada masalah dengan ini walaupun di pengguna baru.
Langkah 5: Menukar parameter firewall
Untuk operasi yang betul dari pelayan DNS, anda perlu membuka Port 53, yang dijalankan melalui Firewall Standard Firewalld. Di terminal, anda perlu memperkenalkan hanya tiga arahan mudah:
- Yang pertama mempunyai pandangan Firewall-CMD --Permanent --DD-Port = 53 / TCP dan bertanggungjawab untuk membuka Pelabuhan Protokol TCP. Masukkannya ke dalam konsol dan klik pada ENTER.
- Anda mesti menerima pemberitahuan "kejayaan", yang menunjukkan penerapan peraturan yang berjaya. Selepas itu, masukkan Firewall-CMD - String --DD-Port = 53 / UDP untuk membuka port protokol UDP.
- Semua perubahan akan digunakan hanya selepas reboot firewall, yang dilakukan melalui arahan Firewall-CMD --Reload.
Tidak ada perubahan dengan firewall untuk menghasilkan. Pastikan ia sentiasa di negeri ini, supaya tiada masalah akses.
Langkah 6: Laraskan hak akses
Kini diperlukan untuk menetapkan keizinan utama dan hak akses untuk melindungi fungsi pelayan DNS dan melindungi pengguna biasa dari kemampuan untuk menukar parameter. Kami akan membuatnya dengan cara yang standard melalui Selinux.
- Semua arahan berikutnya mesti diaktifkan bagi pihak superuser. Untuk sentiasa tidak memasukkan kata laluan, kami menasihati anda untuk membolehkan akses akar kekal untuk sesi terminal semasa. Untuk melakukan ini, masukkan su dalam konsol.
- Tentukan kata laluan akses.
- Selepas itu, secara bergantian masukkan arahan berikut untuk membuat konfigurasi akses yang optimum:
Chgrp bernama -r / var / dinamakan
Chown-root: bernama /etc/named.conf
Restorecon -rv / var / dinamakan
Restorecon /etc/named.conf.
Mengenai ini, konfigurasi umum pelayan DNS utama selesai. Ia tetap hanya untuk mengedit beberapa fail konfigurasi dan kesilapan ujian. Kami menawarkan semua ini untuk mengetahui langkah seterusnya.
Langkah 7: Ujian untuk kesilapan dan melengkapkan tetapan
Kami mengesyorkan bermula dengan cek ralat supaya pada masa akan datang ia tidak perlu mengubah fail konfigurasi yang tinggal. Itulah sebabnya kita akan menganggapnya dalam satu langkah, serta kita memberikan sampel output yang betul untuk ujian.
- Masukkan namakan-checkconf /etc/named.conf di terminal. Ini akan membolehkan anda menyemak parameter global. Jika, sebagai hasilnya, tiada output diikuti, ini bermakna semuanya dikonfigurasi dengan betul. Jika tidak, pelajari mesej dan, menolak daripadanya, selesaikan masalah.
- Seterusnya anda perlu menyemak zon langsung dengan memasukkan nama bernama-checkzone unixmen.local /var/named/forward.unixmen rentetan.
- Sampel output adalah seperti berikut: Zon Unixmen.Local / in: Serial Loaded 2011071001 OK.
- Kira-kira sama dan dengan zon terbalik melalui nama bernama-checkzone unixmen.local /var/named/reverse.unixmen.
- Output yang betul hendaklah: zon unixmen.local / in: siri dimuatkan 2011071001 OK.
- Kami kini beralih ke tetapan antara muka rangkaian utama. Ia memerlukan menambah data pelayan DNS semasa. Untuk melakukan ini, buka fail / etc / sysconfig / network-scripts / ifcfg-enp0s3 fail.
- Semak bahawa kandungannya seperti yang ditunjukkan di bawah. Sekiranya perlu, masukkan parameter DNS.
Type = "Ethernet"
Bootproto = "tiada"
Defrute = "ya"
Ipv4_failure_fatal = "Tidak"
Ipv6init = "ya"
Ipv6_autoconf = "ya"
Ipv6_defroute = "ya"
Ipv6_failure_fatal = "tidak"
Nama = "ENP0S3"
Uuid = "5d0428b3-6af2-4f6b-9fe3-4250cd839efa"
Onboot = "ya"
Hwaddr = "08: 00: 27: 19: 68: 73"
Ipaddr0 = "192.168.1.101"
Awalan0 = "24"
Gateway0 = "192.168.1.1"
Dns = "192.168.1.101"
Ipv6_peerdns = "ya"
Ipv6_peerroutes = "ya"
- Selepas menyimpan perubahan, pergi ke fail /etc/resolv.conf fail.
- Di sini anda perlu menambah hanya satu baris: Nameserver 192.168.1.101.
- Apabila siap, ia kekal hanya untuk memulakan semula rangkaian atau komputer untuk mengemaskini konfigurasi. rangkaian dihidupkan semula melalui perintah SystemCTL RESTART NETWORK.
Langkah 8: Semakan pelayan DNS yang dipasang
Pada akhir konfigurasi, ia kekal hanya untuk mengesahkan operasi pelayan DNS yang ada selepas ia ditambah kepada perkhidmatan rangkaian global. Operasi ini juga dilakukan dengan menggunakan arahan khas. Yang pertama daripada mereka mempunyai bentuk Dig Masterdns.Unixmen.local.
Hasilnya, output yang akan muncul pada skrin, yang mempunyai perwakilan yang sama dengan kandungan yang dinyatakan di bawah.
; Dig 9.9.4-Redhat-9.9.4-14.EL7 MasterDns.Unixmen.local
;; Pilihan Global: + CMD
;; Mendapat Jawapan:
;; - >> Header.
;; Bendera: QR AA RD RA; Pertanyaan: 1, Jawapan: 1, KUASA: 2, TAMBAHAN: 2
;; OPT Pseudosection:
; EDNS: Versi: 0, Flags :; UDP: 4096.
;; Soalan Seksyen:
; Masterdns.unixmen.local. Didalam.
;; JAWAPAN BAHAGIAN:
Masterdns.Unixmen.local. 86400 DALAM 192.168.1.101
;; Seksyen Pihak Berkuasa:
unixmen.local. 86400 dalam ns secondarydns.unixmen.local.
unixmen.local. 86400 dalam ns masterdns.unixmen.local.
;; BAHAGIAN TAMBAHAN:
Secondarydns.unixmen.local. 86400 DALAM 192.168.1.102
;; Pertanyaan Masa: 0 msec
;; Server: 192.168.1.101 # 53 (192.168.1.101)
;; BILA: WED Ogos 20 16:20:46 IST 2014
;; MSG Saiz RCVD: 125
Satu arahan tambahan akan membolehkan anda untuk belajar tentang status pelayan DNS tempatan. Untuk melakukan ini, masukkan nslookup unixmen.local ke konsol dan klik pada ENTER.
Akibatnya, tiga perwakilan yang berbeza daripada alamat IP dan nama domain harus dipaparkan.
Server: 192.168.1.101
Alamat: 192.168.1.101 # 53
Nama: unixmen.local
ALAMAT: 192.168.1.103
Nama: unixmen.local
Alamat: 192.168.1.101
Nama: unixmen.local
ALAMAT: 192.168.1.102
Jika output sepadan dengan salah satu yang kita dinyatakan, ia bermakna bahawa konfigurasi selesai dengan jayanya dan anda boleh pergi ke kerja dengan bahagian pelanggan pelayan DNS.
Menubuhkan bahagian pelanggan pelayan DNS
Kami tidak akan memisahkan prosedur ini pada langkah-langkah individu, kerana ia dilakukan dengan mengedit hanya satu fail konfigurasi. Ia adalah perlu untuk menambah maklumat mengenai semua pelanggan yang akan disambungkan ke pelayan, dan contoh itu kelihatan setup seperti ini:
- Buka dail /etc/resolv.conf melalui mana-mana editor teks yang mudah.
- Menambah rentetan untuk mencari unixmen.local nameserver 192.168.1.101 dan pelayan nama 192.168.1012, menggantikan alamat pelanggan perlu.
- Apabila menyimpan, jangan menukar nama fail, tetapi hanya tekan kekunci ENTER.
- Selepas meninggalkan editor teks, memulakan semula rangkaian global melalui perintah SystemCTL RESTART NETWORK.
Ini adalah perkara utama komponen pelanggan pelayan DNS, yang kami ingin beritahu. Semua nuansa lain ditawarkan untuk belajar dengan membaca dokumentasi rasmi jika diperlukan.
Ujian pelayan DNS.
Tahap terakhir bahan hari ini adalah ujian terakhir pelayan DNS. Di bawah ini anda melihat beberapa arahan, membolehkan anda mengatasi tugas itu. Gunakan salah seorang daripada mereka dengan mengaktifkan melalui "Terminal". Sekiranya tiada kesilapan yang diperhatikan dalam output, oleh itu, keseluruhan proses dilakukan dengan betul.
Menggali masterdns.unixmen.local.
Menggali secondarydns.unixmen.local.
Menggali client.unixmen.local.
nslookup unixmen.local.
Hari ini anda telah belajar semua tentang menubuhkan pelayan DNS utama dalam pengedaran CENTOS. Seperti yang anda lihat, keseluruhan operasi difokuskan untuk memasuki arahan terminal dan mengedit fail konfigurasi, yang boleh menyebabkan kesulitan tertentu dari pengguna baru. Walau bagaimanapun, anda hanya perlu mengikuti arahan ini dengan tepat dan membaca hasil cek supaya semuanya berjalan tanpa sebarang kesilapan.