Блок 14 – 1/1 DNS This work is licensed under the Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-nd/3.0/ or send a letter to Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Блок 14 – 1/1
DNSThis work is licensed under the Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-nd/3.0/ or send a
letter to Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.
Введение
● Разрешение имен на стороне клиента● Основные понятия● Установка и настройка BIND● Файлы зон● DHCP
(c) 2007, Андрей Маркелов 3
Разрешение имен – сторона клиента
● Файлы● /etc/hosts● /etc/networks
● NIS ● Подробнее - блок 18/1
● DNS● Клиентская часть - Stub resolver или утилиты dig, host● Порядок разрешения - /etc/nsswitch.conf
(c) 2007, Андрей Маркелов 4
/etc/resolv.conf
search linux-traning.ru
nameserver 192.168.0.250
nameserver 192.168.0.251
● Может обновляться DHCP-клиентом
Назначение службы DNS
● Преобразование имен хостов в IP-адреса● Преобразование IP-адресов в имена хостов● Хранение информации для маршрутизации
электронной почты● Группировка хостов в логические
объединения
(c) 2007, Андрей Маркелов 6
Основные понятия
● DNS – сервер и клиент● Доменное имя● Зона● Делегирование зоны● Прямой и обратный запросы● Итеративный и рекурсивный запросы● Типы серверов (master, slave, caching-only,
forwarding)
(c) 2007, Андрей Маркелов 7
BIND● Berkely Internet Name Daemon - эталонная
реализация DNS RFC● Используется на большинстве DNS-серверов в
Интернет
● Порты: 53(tcp,udp) и 953(tcp,udp)● http://www.isc.org/sw/bind/● Управляется как System V – демон
● /etc/init.d/named
● Защищен SELinux● Работает в chroot-окружении (пакет bind-chroot)
(c) 2007, Андрей Маркелов 8
RPM-пакеты
● bind● bind-utils● bind-chroot● caching-nameserver
(c) 2007, Андрей Маркелов 9
Конфигурационные файлы
● /etc/named.conf● /var/named/*● /etc/rndc.key● /etc/sysconfig/named
(c) 2007, Андрей Маркелов 10
Работа в chroot-окружении
● Корневая директория chroot-окружения /var/named/chroot/
● /etc/sysconfig/named● ROOTDIR=/var/named/chroot
(c) 2007, Андрей Маркелов 11
/etc/named.conf (1)
● Глобальные опции● Списки контроля доступа (ACL)● Параметры безопасности● Список зон и нахождение файлов зон● Разрешены комментарии /* */, //, #
● В файлах зон только ;
(c) 2007, Андрей Маркелов 12
/etc/named.conf (2)acl linux { 192.168.0.0/24; 192.168.1.2; };
options {
# listen-on port 53 { myaddresses; };
directory "/var/named";
allow-query { linux; };
allow-recursion { linux; };
allow-transfer { linux; };
blackhole { bogus; };
forwarders { 192.168.1.1 };
# forward only;
};
include "/etc/rndc.key";
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; }; };
(c) 2007, Андрей Маркелов 13
/etc/named.conf (3)
zone "localhost" {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "127.0.0.zone";
};
zone "." {
type hint;
file "named.ca";
};
zone "linux-training.ru" {
type master;
file "linux-training.ru.zone";
forwarders {};
};
zone "0.168.192.in-addr.arpa" {
type master;
file "192.168.0.zone";
forwarders {};
};
(c) 2007, Андрей Маркелов 14
caching-nameserver
● named.caching-nameserver.conf● named.ca
(c) 2007, Андрей Маркелов 15
Встроенные ACL
● none – ни один из IP-адресов● any – Любой адрес● localhost – все IP-адреса сервера● localnets – все подключенные «напрямую»
сети
(c) 2007, Андрей Маркелов 16
Файл зоны
● Slave-зоны в /var/named/chroot/var/named/slaves/
● Создаются автоматически● Master-зоны в /var/named/chroot/var/named/
● Необходимо создавать вручную
(c) 2007, Андрей Маркелов 17
Типы и формат записей ресурсов
● domain ttl class type rdata● SOA● NS● MX● A● PTR● CNAME
● Символ @
(c) 2007, Андрей Маркелов 18
SOA
; Begin Start Of Authority resource record
example.com. IN SOA srv1.linux-training.ru. root.srv1.linux-training.ru. (
2007052200 ; serial number
1H ; refresh slave
5M ; retry query
1W ; expire
1M ; negative TTL
)
(c) 2007, Андрей Маркелов 19
Делегирование домена
● Создать зону на новом сервере● На делегирующем сервере создать запись
NS● sub.linux-training.ru. IN NS ns.sub.linux-training.ru.
● Если новый сервер – поддомен делегирующего, то на делегирующем создать «склеивающую» запись A для нового сервера
● ns.sub IN A 192.168.2.250
(c) 2007, Андрей Маркелов 20
Проверка синтаксиса
● named-checkconf -t /path/to/named.conf● named-checkzone origin /path/to/zonefile
(c) 2007, Андрей Маркелов 21
rndc
● Обеспечивает безопасность (динамические обновления) и удаленное управление сервером
● По умолчанию управление возможно только с localhost
(c) 2007, Андрей Маркелов 22
Утилита dig
● Не используют /etc/nsswitch.conf● dig +trace linux-training.ru● dig -x 192.168.0.250● dig -t mx linux-training.ru● dig -t soa linux-training.ru
(c) 2007, Андрей Маркелов 23
DHCP-сервер
● Dynamic Host Configuration Protocol● Управляется как System V – демон
● /etc/init.d/dhcpd
● Порты: 67,68 (udp)● /etc/dhcpd.conf● /var/lib/dhcpd/dhcpd.leases● /usr/share/doc/dhcp-*/dhcpd.conf.sample● service dhcpd configtest
(c) 2007, Андрей Маркелов 24
ПРАКТИЧЕСКАЯ РАБОТА
Настройка DNS-сервера