Pasul 1: Instalarea pachetelor necesare
Înainte de a începe să luați în considerare următoarele instrucțiuni, vrem să rețineți că pe site-ul nostru există deja un ghid de configurare generală pentru DNS standard în Linux. Vă recomandăm să utilizați exact materialul dacă ar trebui să setați setările pentru vizita obișnuită la site-urile Internet. Apoi, vom arăta modul în care este instalat principalul server DNS local cu partea clientului.La sfârșitul acestui proces, veți fi anunțat că toate pachetele au fost adăugate cu succes la sistem. După aceea, mergeți la următorul pas.
Pasul 2: Setarea serverului Global DNS
Acum vrem să demonstrăm modul în care fișierul principal de configurare este editat, precum și ce rânduri sunt adăugate acolo. Nu vom locui pe fiecare linie separat, deoarece va dura mult timp, toate informațiile necesare sunt disponibile în documentația oficială.
- Puteți utiliza orice editor de text pentru a edita obiecte de configurare. Oferim să instalăm un nano convenabil introducând Sudo Yum instalați nano în consola.
- Toate pachetele necesare vor fi descărcate și, dacă acestea sunt deja prezente în distribuție, veți primi o notificare "Nu efectuați nimic".
- Vom continua să editați fișierul în sine. Deschideți-l prin sudo nano /etc/named.conf. Dacă este necesar, înlocuiți editorul de text dorit, atunci șirul va fi după cum urmează: sudo vi /etc/named.conf.
- Mai jos prezentăm conținutul pe care trebuie să-l introduceți în fișierul deschis sau să îl verificați deja prin adăugarea de linii lipsă.
- După aceea, apăsați Ctrl + O pentru a înregistra modificările.
- Nu este nevoie să schimbați numele fișierului, faceți clic pe ENTER.
- Lăsați un editor de text prin Ctrl + X.
Așa cum sa spus deja mai devreme, fișierul de configurare va necesita introducerea anumitor linii care să specifice regulile generale pentru comportamentul serverului DNS.
//
// numed.conf.
//
// furnizat de Red Hat Bind Pachet pentru a configura BIND-ul ISC numit (8) DNS
// server ca un caching numai nume de nume (ca un local de rezolvare DNS local).
//
// vezi / usr / partajare / doc / bind * / eșantion / de exemplu numit fișiere de configurare.
//
Opțiuni {
Ascultați portul 53 {127.0.0.1; 192.168.1.101;}; ### Master DNS IP ###
# Ascultă-on-V6 portul 53 {:: 1; };
Director "/ var / numit";
Dump-fișier "/var/named/data/cache_dump.db";
Statistici-Fișier "/var/named/data/named_stats.txt";
MemStatistics-File "/var/named/data/named_mem_stats.txt";
Permiteți-interogarea {localhost; 192.168.1.0 / 24;}; ### RANGE IP ###
PERMITE-TRANSFER {localhost; 192.168.1.102; }; ### Slave DNS IP ###
/*
- dacă sunteți construirea unui server DNS cu autoritate, nu Activați Recursivitate.
- Dacă construiți un recursive (Caching) DNS Server, trebuie să activați
Recursivitatea.
- dacă dumneavoastră recursive DNS Server are o adresă IP publică adresă, trebuie să permiteți accesul
Control pentru a limita interogări în utilizatori legitimi. Nerespectarea acestor WILL
Cauză server pentru a deveni parte a mari Scale DNS Amplification
Atacuri. BCP38 de implementare în cadrul rețelei dvs. Profund ati
Reducerea asemenea suprafață de atac
*/
Recursivitatea DA;
DNSSEC-activați da;
DNSSEC-VALIDARE DA;
DNSSEC-lookaside AUTO;
/ * PATH ISC DLV KEY * /
bindkeys-fișier "/etc/named.iscdlv.key";
Gestionate de chei-directorul "/ var / named / dinamic";
pid-fișier "/urn/named/named.pid";
sesiune de-keyfile "/urn/named/Session.Key";
};
Logare {
Canalul Default_debug {
Fișier "Date / Named.Run";
Severitatea dinamică;
};
};
zona "." in {
Tip Sugestie;
Fișier "Named.ca";
};
zonă „unixmen.local“ în {
Tip master;
Fișier "Forward.unixmen";
PERMITE-UPDATE {NONE; };
};
zonă „1.168.192.in-addr.arpa“ în {
Tip master;
Fișier "Reverse.unixmen";
PERMITE-UPDATE {NONE; };
};
includ "/etc/named.rfc1912.zones";
includ "/etc/named.root.key";
Asigurați-vă că totul este expus exact așa cum este arătat mai sus, și apoi du-te la pasul următor.
Pasul 3: Crearea unei zone directă și inversă
Pentru informații cu privire la sursa, serverul DNS folosește zone directe și inverse. Directă vă permite să primiți o adresă IP de nume de gazdă, precum și returnarea prin intermediul adresei IP oferă un nume de domeniu. Funcționarea corectă a fiecărei zone trebuie să fie prevăzute cu reguli speciale, crearea pe care le oferim să facem în continuare.
- Pentru o zonă directă, vom crea un fișier separat prin același editor de text. Apoi șirul va arata astfel: sudo nano /var/named/forward.unixmen.
- Vei fi notificat că acesta este un obiect gol. Inserați următorul cuprins acolo:
$ TTL 86400.
@ In masterdns.unixmen.local SOA. root.unixmen.local. (
2011071001; Serial
3600; Refresh.
1800; Retry.
604800; EXPIRE
86400; TTL minim
)
@ IN NS MASTERDNS.UNIXMEN.LOCAL.
@ În ns secondarydns.unixmen.local.
@ IN A 192.168.1.101
@ IN A 192.168.1.102
@ IN A 192.168.1.103
MasterDNS ÎNTR-O 192.168.1.101
SECONDARYDNS ÎNTR-O 192.168.1.102
Client într-o 192.168.1.103
- Salvați modificările și închideți editorul de text.
- Ne întoarcem acum la zona inversă. Este nevoie de un fișier /Var/Named/reverse.unixmen.
- Acest lucru va fi, de asemenea, un nou fișier gol. Introduceți acolo:
$ TTL 86400.
@ In masterdns.unixmen.local SOA. root.unixmen.local. (
2011071001; Serial
3600; Refresh.
1800; Retry.
604800; EXPIRE
86400; TTL minim
)
@ IN NS MASTERDNS.UNIXMEN.LOCAL.
@ În ns secondarydns.unixmen.local.
@ In unixmen.local ptr.
MasterDNS ÎNTR-O 192.168.1.101
SECONDARYDNS ÎNTR-O 192.168.1.102
Client într-o 192.168.1.103
101 în PTR masterdns.unixmen.local.
102 în Ptr SecondaryDns.unixmen.local.
103 în client.unixmen.local ptr.
- La salvarea, nu se schimba numele obiectului, ci pur și simplu apăsați tasta ENTER.
Acum fișierele specificate vor fi utilizate pentru zona directă și inversă. Dacă este necesar, ar trebui să le modificați pentru a modifica unii parametri. Puteți citi despre aceasta în documentația oficială.
Pasul 4: Start DNS Server
După finalizarea tuturor instrucțiunilor anterioare, puteți porni deja serverul DNS, astfel încât, în viitor, este ușor să verificați performanța acestuia și să continuați să setați parametri importanți. Sarcina se efectuează după cum urmează:
- În consola, introduceți Sudo Systemctl Activat numit pentru a adăuga un server DNS la Autoload pentru pornirea automată la pornirea sistemului de operare.
- Confirmați această acțiune introducând parola superuser.
- Veți fi informat despre crearea unei referințe simbolice, ceea ce înseamnă că acțiunea a avut succes.
- Rulați utilitarul prin SystemctL Start numit. Puteți să o opriți în același mod, înlocuind doar opțiunea de pornire la oprire.
- Când este afișată fereastra pop-up de autentificare, introduceți parola de la rădăcină.
După cum puteți vedea, conducerea serviciului specificat se efectuează în conformitate cu același principiu ca toate celelalte utilități standard, prin urmare, nu ar trebui să existe probleme cu acest lucru chiar și la utilizatorii novici.
Pasul 5: Schimbarea parametrilor firewall-ului
Pentru funcționarea corectă a serverului DNS, va trebui să deschideți portul 53, care este realizat prin Firewall standard de firewalld. În terminal, va trebui să introduceți doar trei comenzi simple:
- Primele caracteristici o vedere a firewall-cmd --PERMANENT --DD-PORT = 53 / TCP și este responsabil pentru deschiderea portului protocol TCP. Introduceți-l în consola și faceți clic pe Enter.
- Trebuie să primiți notificarea "succes", ceea ce indică aplicarea reușită a regulii. După aceea, introduceți șirul de firewall-cmd --PERMANENT --PER = 53 / UDD pentru a deschide portul protocol UDP.
- Toate modificările vor fi aplicate numai după repornirea firewall-ului, care este efectuată prin comanda Firewall-CMD.
Nu mai există schimbări cu firewall-ul pentru a produce. Păstrați-o în mod constant în stat, astfel încât să nu existe probleme de acces.
Pasul 6: Reglați drepturile de acces
Acum va fi necesar să setați principalele permisiuni și drepturi de acces pentru a proteja funcția serverului DNS și pentru a proteja utilizatorii obișnuiți de capacitatea de a schimba parametrii. O vom face într-un mod standard prin SELinux.
- Toate comenzile ulterioare trebuie să fie activate în numele superuserului. Pentru a intra în mod constant, vă sfătuim să activați accesul permanent al rădăcinii pentru sesiunea de terminale curente. Pentru a face acest lucru, introduceți Su în consola.
- Specificați parola de acces.
- După aceea, introduceți alternativ următoarele comenzi pentru a crea o configurație optimă de acces:
ChGRP Numed -R / VAR / Numed
Chown -v rădăcină: numită /etc/named.conf
Restorecon -rv / var / numit
Restaurecon /etc/named.conf.
În acest sens, este finalizată configurația generală a serverului DNS principal. Rămâne doar pentru a edita mai multe fișiere de configurare și erori de testare. Oferim toate astea pentru a afla următorul pas.
Pasul 7: Testarea erorilor și completarea setării
Vă recomandăm să începeți verificările de eroare, astfel încât, în viitor, nu trebuie să modifice fișierele de configurare rămase. Acesta este motivul pentru care vom considera totul într-un singur pas, precum și noi oferim eșantioane de ieșire adecvată a comenzilor pentru testare.
- Introduceți numit-checkConf /etc/named.conf în terminal. Acest lucru vă va permite să verificați parametrii globali. Dacă, ca rezultat, nu a urmat nicio ieșire, înseamnă că totul este configurat corect. În caz contrar, învățați mesajul și, împingeți-l, rezolvați problema.
- În continuare, trebuie să verificați zona directă introducând șirul numit-CheckZone Unixmen.Local /var/named/forward.unixmen.
- Eșantionul de ieșire este după cum urmează: zona Unixmen.Local / In: Serial încărcat 2011071001 OK.
- Aproximativ aceeași și cu zona inversă prin numele numit-checkzone Unixmen.Local /var/named/reverse.unixmen.
- Ieșirea corectă ar trebui să fie: Zona Unixmen.Local / In: Serial încărcat 2011071001 OK.
- Acum mergem la setările interfeței principale de rețea. Acesta va necesita adăugarea datelor serverului DNS curent. Pentru a face acest lucru, deschideți fișierul / etc / sysconfig / rețea-script-uri / IFCFG-ENP0S3.
- Verificați dacă conținutul este prezentat mai jos. Dacă este necesar, introduceți parametrii DNS.
Tip = "Ethernet"
Bootproto = "none"
Defroute = "Da"
Ipv4_failure_fatal = "Nu"
Ipv6init = "da"
Ipv6_autoconf = "da"
Ipv6_defroute = "da"
Ipv6_failure_fatal = "nu"
Nume = "ENP0S3"
Uuid = "5D0428B3-6AF2-4F6B-9FE3-4250CD839EFA"
Onboot = "da"
Hwaddr = "08: 00: 27: 19: 68: 73"
IPaddr0 = "192.168.1.101"
Prefix0 = "24"
Gateway0 = "192.168.1.1
DNS = "192.168.1.101"
Ipv6_peerdns = "da"
IPv6_PeerRoutes = "Da"
- După salvarea modificărilor, accesați fișierul /etc/resolv.conf.
- Aici trebuie să adăugați doar o singură linie: nameserver 192.168.1.101.
- După finalizare, rămâne doar pentru a reporni rețeaua sau computerul pentru a actualiza configurația. Rețeaua este reluată prin comanda sistemului de repornire SystemCTL.
Pasul 8: Verificarea serverului DNS instalat
La sfârșitul configurației, rămâne doar pentru a verifica funcționarea serverului DNS disponibil după ce acesta este adăugat la serviciul de rețea global. Această operație este, de asemenea, efectuată utilizând comenzi speciale. Primul dintre ei are forma de sapa masterns.unixmen.local.
Ca rezultat, pe ecran ar trebui să apară o ieșire, care are o reprezentare similară cu conținutul specificat mai jos.
; Dig 9.9.4-Redhat-9.9.4-14.l7 masterns.unixmen.local
;; Opțiuni globale: + cmd
;; Am răspuns:
;; - >> Header.
;; Steaguri: QR AA RD RA; Interiere: 1, Răspuns: 1, Autoritate: 2, adițional: 2
;; Opt pseudosecție:
; Eds: Versiune: 0, Steaguri:; UDP: 4096.
;; Întrebare Secțiunea:
; masterns.unixmen.local. În A.
;; Secțiunea de răspuns:
Masterns.unixmen.local. 86400 într-o 192.168.1.101
;; Secțiunea Autorității:
Unixmen.Local. 86400 în NS secundarDN.UNIXMEN.Local.
Unixmen.Local. 86400 în ns masterns.unixmen.local.
;; Secțiune suplimentară:
Secundar.unixmen.local. 86400 într-o 192.168.1.102
;; Timp de interogare: 0 msec
;; Server: 192.168.1.101 # 53 (192.168.1.101)
;; Când: Miercuri Aug 20 16:20:46 IST 2014
;; MSG Dimensiune RCVD: 125
O comandă suplimentară vă va permite să aflați despre starea serverului DNS local. Pentru a face acest lucru, introduceți NSLookup Unixmen.Local la consola și faceți clic pe Enter.
Ca rezultat, ar trebui afișate trei reprezentări diferite ale adreselor IP și nume de domenii.
Server: 192.168.1.101.
Adresa: 192.168.1.101 # 53
Nume: Unixmen.Local.
Adresa: 192.168.1.103.
Nume: Unixmen.Local.
Adresa: 192.168.1.101.
Nume: Unixmen.Local.
Adresa: 192.168.1.102.
Dacă ieșirea se potrivește cu cea pe care am indicat-o, înseamnă că configurația este finalizată cu succes și puteți merge la locul de muncă cu partea clientului a serverului DNS.
Configurarea părții clientului a serverului DNS
Nu vom separa această procedură pe pașii individuali, deoarece se efectuează prin editarea unui singur fișier de configurare. Este necesar să adăugați informații despre toți clienții care vor fi conectați la server, iar exemplul unei astfel de setări arată astfel:
- Deschideți fișierul /etc/resolv.conf prin orice editor de text convenabil.
- Adăugați un șir pentru a căuta unixmen.Local nameserver 192.168.1.101 și nameserver 192.168.1012, înlocuind adresele de clienți necesare.
- Când salvați, nu modificați numele fișierului, ci pur și simplu apăsați tasta Enter.
- După părăsirea editorului de text, reporniți rețeaua globală prin comanda sistemului de repornire SystemCTL.
Acestea au fost principalele puncte ale componentei clientului a serverului DNS, pe care am vrut să le spunem. Toate celelalte nuanțe sunt oferite pentru a studia prin citirea documentației oficiale, dacă este necesar.
Testarea serverului DNS.
Ultima etapă a materialului actual este testarea finală a serverului DNS. Mai jos vedeți mai multe comenzi, permițându-vă să faceți față sarcinii. Utilizați unul dintre ele prin activarea prin "terminalul". Dacă nu se observă erori în ieșire, prin urmare, întregul proces se face corect.
Sapa masterns.unixmen.local.
Dig secundarddns.unixmen.local.
DIG CLIENT.UNIXMEN.LOCAL.
NSLOOKUP UNIXMEN.LOCAL.
Astăzi ați învățat totul despre configurarea serverului DNS principal în distribuția CentOS. După cum puteți vedea, întreaga operație se concentrează pe introducerea comenzilor terminalelor și a editării fișierelor de configurare, ceea ce poate provoca anumite dificultăți de la utilizatorii novice. Cu toate acestea, trebuie doar să urmați cu exactitate aceste instrucțiuni și să citiți rezultatele cecurilor, astfel încât totul să meargă fără erori.