Приветствую Вас, Гость
Меню сайта
Категории раздела
Сервера [4]
Сервера
Общее [9]
Общее
Десктоп [2]
Вход на сайт
Наш опрос
Сколько баксов в килобаксе?
Результаты | Архив опросов
Всего ответов: 4
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • База знаний uCoz
    • Главная » Статьи » Linux » Сервера
    BIND. Пример конфигурации для локального и интернет разрешения

    <Индульгенция>

    Нижеприведённая конфигурация DNS сервера BIND не является образцом для подражания и может содержать как явные, так и скрытые ошибки. Вы используете её на свой страх и риск, без каких-либо гарантий, включая отсутствие гарантии работоспособности её, конфигурации то есть, в вашем системном и сетевом окружении.

    </Индульгенция>

    Цель данного опуса - фиксация промежуточных итогов настройки DNS сервера.

    Параметры окружения, его установка и настройка опущены:

    Proxmox Virtual environment 5.3-5, LXC, 2 cores, RAM 4 Gb, HDD 80 Gb.

    # cat /proc/version
    Linux version 4.15.18-9-pve (build@pve) (gcc version 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)) #1 SMP PVE 4.15.18-30

    BIND 9.10.3-P4-Debian

    Исходные данные:

    • локальный и Интернет-домены = domain.ru;
    • локальная сеть 192.168.9.0/24, шлюз 192.168.9.1, хост 192.168.9.12;
    • внешний, он же "белый" адрес 111.222.333.444/32
    • DNS сервер должен разрешать имена в локальной сети и в Интернете, быть авторитативным и первичным (Primary) - держать зону domain.ru;
    • запись PTR для адреса 111.222.333.444/32 должен держать провайдер, предоставивший данный адрес в аренду;
    • вторичные (Slave) DNS серверы  используются в рамках услуги DNS-Hosting Secondary регистратора домена domain.ru;
    • пользователь DNS сервера = user

     

    Листинг файлов каталога /etc/bind:

    # ls -la /etc/bind
    total 79
    drwxr-sr-x   5 root  bind    22 Dec 27 22:39 .
    drwxr-xr-x 101 root  root   196 Dec 27 21:37 ..
    -rw-r-----   1 root  bind    77 Dec 23 18:44 domain-ru_rndc-key
    -rw-r--r--   1 root  root  3923 Jan 15  2018 bind.keys
    -rw-r--r--   1 root  root   237 Jan 15  2018 db.0
    -rw-r--r--   1 root  root   271 Jan 15  2018 db.127
    -rw-r--r--   1 root  root   237 Jan 15  2018 db.255
    -rw-r--r--   1 root  root   353 Jan 15  2018 db.empty
    -rw-r--r--   1 root  root   270 Jan 15  2018 db.local
    -rw-r--r--   1 root  root  3171 Jan 15  2018 db.root
    drwxr-xr-x   2 user user    2 Dec 22 10:36 key
    drwxr-xr-x   2 user user    6 Dec 28 06:00 master
    -rw-r--r--   1 root  bind   933 Dec 27 22:23 named.conf
    -rw-r--r--   1 root  bind   490 Jan 15  2018 named.conf.default-zones
    -rw-r--r--   1 user user  504 Dec 27 20:58 named.conf.inet
    -rw-r--r--   1 user user 1032 Dec 27 21:26 named.conf.local
    -rw-r--r--   1 user user 1210 Dec 27 22:39 named.conf.options
    -rw-r-----   1 root  bind    77 Dec 23 18:49 ns-domain-ru_rndc-key
    -rw-r-----   1 bind  bind    77 Dec 23 10:50 rndc.key
    drwxr-xr-x   2 user user    2 Dec 22 10:36 slave
    -rw-r--r--   1 root  root  1317 Jan 15  2018 zones.rfc1918

    Содержимое /etc/bind/master, файлы зон которые держит BIND:

    #ls -la
    total 27
    drwxr-xr-x 2 user user   6 Dec 28 17:46 .
    drwxr-sr-x 5 root  bind   21 Dec 28 17:45 ..
    -rw-r--r-- 1 user user 599 Dec 28 17:45 fiz.domain.ru.zone
    -rw-r--r-- 1 user user 614 Dec 28 17:45 flz.domain.ru.zone
    -rw-r--r-- 1 user user 421 Dec 28 17:46 riz.domain.ru.zone
    -rw-r--r-- 1 user user 421 Dec 28 17:46 rlz.domain.ru.zone

    Файл /etc/bind/named.conf:

    # cat named.conf

    // Файл глобальных настроек BIND
    // This is the primary configuration file for the BIND DNS server named.
    //
    // Please read /usr/share/doc/bind9/README.Debian.gz for information on the
    // structure of BIND configuration files in Debian, *BEFORE* you customize
    // this configuration file.
    //
    // If you are just adding zones, please do that in /etc/bind/named.conf.local

    //logging {
    //        channel default_ch {
    //    file "/var/log/named.log" versions 3 size 1024k;
    //    severity info;
    //    print-time yes;
    //    print-category yes;
    //        };

    //        channel security_ch {
    //    file "/var/log/secnamed.log" versions 3 size 1024k;
    //    severity info;
    //    print-time yes;
    //    print-category yes;
    //        };

    //        category default { default_ch; };
    //        category security { security_ch; };
    //    };

    // Включение конфигурационных файлов, детализирующих настройки

    // применительно к внутренней и внешней сети

    include "/etc/bind/named.conf.options";
    include "/etc/bind/named.conf.local";
    include "/etc/bind/named.conf.inet";
    // include "/etc/bind/named.conf.default-zones";

    Файл /etc/bind/named.conf.options:

    # cat named.conf.options

    // Определение внутренней сети

    acl lan { 127.0.0.1/8; 192.168.9.0/24; };

    // Определение внешней сети
    acl inet { !127.0.0.1/8; !192.168.9.0/24; any; };

    // Каким внешним серверам DNS разрешено скачивать зону

    acl trusted-dns {
        91.217.20.0/26;
        91.217.21.0/26;
        194.226.96.192/28;
        31.177.66.192/28;
        195.253.54.22;
        195.253.51.22;
        };

    options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
        109.195.81.1; 109.195.80.1; };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on { any; };
        listen-on-v6 { none; };

         version "unknown";

        // allow-query { any; };
        // allow-recursion { lan; };
        // allow-transfer { trusted-dns; };
        // allow-update { none; };
    };

    Файл fiz.domain.ru.zone

    ;
    ; Зона прямого просмотра
    ;
    $TTL 30
    $ORIGIN domain.ru.
     ; last dot required
    @               IN      SOA     ns.domain.ru. admin.domain.ru. (
                 2019010703      ; Serial
                             7200      ; Refresh
                               900      ; Retry
                       1209600      ; Expire
                             3600      ; Negative Cache TTL
    )

    ; DNS servers
    @               IN      NS      ns.domain.ru.

    ; MX records
    @               IN    MX  10  mail.domain.ru.
    @               IN    TXT    "v=spf1 ip4:111.222.333.444/32 ~all"
    mail           IN      A       111.222.333.444

    ; HOST A
    ncloud        IN      A       111.222.333.444
    ns               IN      A       111.222.333.444

    Файл зоны д. завершать пустая строка.

    Файл flz.domain.ru.zone
    ;
    ; Зона прямого просмотра
    ;
    $TTL 30
    $ORIGIN domain.ru.
     
    @               IN      SOA     ns.domain.ru. admin.domain.ru. (
                 2019010703      ; Serial
                             7200      ; Refresh
                               900      ; Retry
                       1209600      ; Expire
                             3600      ; Negative Cache TTL
    )

    ; DNS servers
    @                IN      NS      ns.domain.ru.

    ; MX records
    @                IN    MX  10  mail.domain.ru.
    @                IN    TXT    "v=spf1 ip4:192.168.9.12/32 ~all"
    mail            IN      A       192.168.9.11

    ; HOST A
    ncloud        IN      A       192.168.9.12
    ;mx             IN     A       192.168.9.11
    ns               IN      A       192.168.9.12

    Файл зоны д. завершать пустая строка.

    Файл riz.domain.ru.zone
    ;
    ; Зона обратного просмотра domain.ru
    ;
    $TTL 30
    @               IN      SOA     ns.domain.ru. admin.domain.ru. (
                 2019010703      ; Serial
                             7200      ; Refresh
                               900      ; Retry
                       1209600      ; Expire
                             3600      ; Negative Cache TTL
    )
     
    @               IN      NS       ns.domain.ru.

    11              IN      PTR     mail.domain.ru.
    12              IN      PTR     ns.domain.ru.
    12              IN    PTR       ncloud.domain.ru.

    Файл зоны д. завершать пустая строка.

    Файл rlz.domain.ru.zone
    ;
    ; Зона обратного просмотра domain.ru
    ;
    $TTL 30
    @               IN      SOA     ns.domain.ru. admin.domain.ru. (
                 2019010703      ; Serial
                             7200      ; Refresh
                               900      ; Retry
                       1209600      ; Expire
                             3600      ; Negative Cache TTL
    )
     
    @                 IN      NS      ns.domain.ru.

    11                IN      PTR    mail.domain.ru.
    12                IN      PTR    ns.domain.ru.
    12                IN    PTR      ncloud.domain.ru.

    Файл зоны д. завершать пустая строка.

    Категория: Сервера | Добавил: ab0k (28.12.2018)
    Просмотров: 196 | Теги: Named, BIND, DNS | Рейтинг: 0.0/0
    Всего комментариев: 0
    Войдите:
    avatar