Bind9|DNS szerver konfig

Debian GNU/Linux

Üdv!

Ez az első alkalom,h a hup-hoz fordulok segítségért...Bár nem is értem eddig miért nem tettem...
A helyzet a következő!
Dns szervert szeretnék csinálni. Bind9 fent van a Sarge-on, alapból cache szerverként üzemel. Ha ki szeretném próbálni,h primary szerverként is működik-e, akkor tudomásom szerint létre kell hozni zónákat. Pl. én kitalálok egy domain, amivel el szeretném érni az adott hostot!Ilyen esetben a host ip, mivel fals domain-ről vna szó csak natolt, vagy egy tartományban lévő ip lehet?Tesztelni szeretném a dolgot és itt most elakadtam!

Segítségeteket előre is köszönöm!

  • 2556 megtekintés

( Oregon (nem ellenőrzött) | 2006. 11. 20., h – 23:07 )

egyelore legyen a dns szerver amire mutat a domain,

www.szabilinux.hu -n van konnyen emesztheto doksi bindrol

( apal v | 2006. 11. 20., h – 23:07 )

A dolog (dns) szepsege az, hogy barmihez barmit hozzarendelhetsz. Tehat, ha azt mondod, hogy ezentul a www.akarmi.hu az ne a 12.34.56.78 legyen, hanem a 87.65.43.21, akkor megteheted. Persze ertelme nem sok van, de hogy milyen zonahoz milyen ip-t (akar kulso, akar belso, 192.168.xx.yy) rendelsz hozza, az tokmindegy. persze csak azok a ge'pek fogja'k la'tni ezt igy, amik a te nameserveredet hasznaljak...

pl: csinalsz egy /var/named/akarmi.hu.hosts nevu file-t, igy: 


akarmi.hu.      IN      SOA     ns1.akarmi.hu. postmaster.akarmi.hu. (
                                2006032802
                                86400
                                7200
                                3600000
                                3600 )

akarmi.hu.              IN      NS      ns1.akarmi.hu.
akarmi.hu               IN      NS      ns2.akarmi.hu
akarmi.hu.              IN      A       127.0.0.1
ns1                     IN      A       127.0.0.1
ns2                     IN      A       192.168.1.1

www                     IN      A       87.65.43.21

majd ezutan az /etc/bind/named.conf.local-ba beleteszed az "akarmi.hu" zona't: 


...
zone "akarmi.hu" {
        type master;
        file "/var/named/akarmi.hu.hosts";
};
...

es ennyi (/etc/init.d/bind9 restart), lehet tesztelni: 


host www.akarmi.hu

persze az /etc/resolv.conf-ba vagy a 127.0.0.1, vagy a saja't belso" ip-cim (pl. ha van egy masik halokartya mert belso" halozatot hasznalsz), pl. 192.168.1.1-nek benne kell lennie, kulonben _nem_ fog menni.

Az egyetlen apro kavarodas az maganal a fo" domainnel van. Ugye itt az "akarmi.hu" cime az 127.0.0.1, es a "www.akarmi.hu" cime pedig 87.65.43.21. Es talan van egy ilyen megkotes is, hogy a zona cime meg kell egyezzen valamelyik dns cimevel, de ebben nem vagyok biztos (egyszer-ketszer jatszottam ezzel, belso es igazi zonakon is, es nem volt teljesen kovetheto" hogy most akkor ez a re'sze pontosan hogy is van...).

Egyebkent, hogy minden beallitas fasza-e, tudod ellenorizni, a www.domain.hu-n van egy ilyen szolgaltata's. Ezzel mondjuk 2 apro buktato van, az egyik, hogy a dns-t el kell tudnia ernie, tehat a megfelelo port (53, tcp/udp) nyitva kell legyen, masreszt tesztelni akarja a postmaster-emailt is, igy annak is mukodnie kell (a fenti dologban nem fog, mert ahhoz MX rekord is kell, meg rendes levelezoszerver, ami fogadja a *@*akarmi.hu-s leveleket).

apal köszönöm szépen sokat segítettél...
Leszedtem a szabilinuxról a dns-es doksikat és azt olvasgattam suliba menet.
Van még 1-2 ködös folt számomra.
- Szóval 1dns szerver "nem dns szerver", Ha szólok a domain regisztrátornak,h tegye át a www.akarmi.hu saját domain-omat, akkor ő eleve két db dns szervert fog kérni!?
(Nagyjából érthető számomra a konfig lépések, természetesen át kell néznem még,h konkrétan mi mire való,de úgy érzem nem lesz ezzel probléma.)
- Ha csinálok tesztelni egy dns szervert (publikus ip, pl.: 82.23.14.1)és pl. windowson beállítom dns szervernek ezt a címemet (natolt ip, pl.: 192.168.100.100), akkor elvileg, erről a gépről el kell tudnom érni a dns konfigban lévő pl.: www.barmilehet.hu névvel, a teszem azt 82.23.14.2-es ip-t!?Tegyük fel,h a 82.23.14.x a saját c osztályú tartományom...
---------------------------------------------------------------------------
- Eddig,ha jól értem a windows-os gépről, mivel a bind tudomásom szerint cache szerverként rögtön üzemel miután felteszem elérem a kinti domaineket,+ a saját magam által kreált www.barmilehet.hu-s címet?
- Bár lehet már az elején az elgondolásom rossz...?
Tehát,ha szólok a domain regisztrátoroknak és adok nekik 2 db dns szerver címet, egyik primary másik secondary, akkor ők átforgatják az adott domain-t az általam kért dns szerverre...
Kérdés!A külvilág ettől fogva, hogyan fogja látni, vagy hogyan éri el majd az én domain-emet?
- Tegyük fel, h mindez működik... Olvastam olyat,h érdemes egy scriptet írni,h a dns szerver a root szervereket pl havonta frissítse?Ezt alapból is így gondoltam,mert mi van akkor,ha új jelenik meg stb stb...
- Mik azok az alapvető beállítások biztonság stb., amit érdemes beállítani egy ilyen szerveren?

Előre is köszönöm azoknak, akik veszik a fáradtságot és elolvassák, külön pedig azoknak, akik segítségemre lesznek.Félre ne értsen senki nem azt kérem,h írják meg helyettem a konfigot és állítsanak be helyettem mindent, csak útmutatást segítséget kérnék,mert elvi és gyakorlati gondjaim vannak,amiket meg kell,h kérdezzek...
Üdv.: Corvin

( corvin | 2006. 11. 22., sze – 20:45 )

Üdv!

A mai nap folyamán sikerült bekonfigolni egy lokál dns szervert...:)
Az lenne most a cél,h egy olyan dns szervert tegyek össze, ami csak az általam engedélyett tartományokat szolgál ki!
Elvileg a named.conf-ot már ennek tudatában csináltam!
Lenne itt olyasvalaki, aki majd leellenőrzi a konfigomat,h minden rendben van-e vele?Sajnos csak a héten kezdtem a témával foglalkozni és jó lenne kikérni egy hozzáértő véleményét/segítségét is!

Pár apró kérdésem lenne:
- Milyen vas kell egy dns szervernek és milyen net sebesség?
- Kell-e RAID-et használni vagy nem?
- Milyen speciális tűzfalszabályokat kellene beiktatni,h ne legyek kitéve mindenféle fenyegetésnek!
- Ha megcsinálom a master részt és a slave egy másik szolgáltatónál lesz,akkor azoknak milyen infókat kell továbbadnom?

Remélem akad olyan,aki szánna rám időt és energiát!?
Nem hobbiból csinálom, ez a szerver a cégünknek lesz, még sosem csináltam ilyet, ezért vagyok láma etéren...
Tényleg nem arról van szó,h nem vetem bele magamat, csak ezekre a kérdésekre sehol nem találtam választ!
Thx

A következő howtokat olvasd el, és sokmindent meg fogsz érteni:
http://www.ppke.hu/~pasztor/dnslap.html
http://tldp.fsf.hu/HOWTO/DNS-HOWTO-hu/DNS-HOWTO-hu-5.html

és javaslom az allow-transfer, allow-query, alloww-recursion áttanulmányozását is.

ALR 386 SX 16 MHz, "Turbo" Button, 387 FPU, 40Mbyte Hdd (parkable) 3,5'' Disk, advenced VGA Video System

( corvin | 2006. 12. 01., p – 12:18 )

Ezt olvastam ami logikus is,mert a kérdés már felmerült bennem!

"Üzemben tartás.

Van egy karbantartási feladat, melyet meg kell tenned a named-eken - a futtatáson kívül. Ez pedig a root.hints állomány naprakészen tartása. A legegyszerűbb mód a dig használata. Először futtasd a dig-et argumentumok nélkül, akkor megkapod a root.hints-et a saját szervered alapján. Ezután kérdezd le a felsorolt főszerverek egyikét a dig @rootserver paranccsal. Észre fogod venni, hogy a kimenet szörnyen hasonló a root.hints állományhoz. Mentsd el egy állományba (dig @e.root-servers.net . ns > root.hints.new), és cseréld le a régi root.hints állományt vele.

Ne felejtsd el újra betölteni a named-et a gyorsítótár-állomány cseréje után.

Al Longyear elküldte nekem ezt a szkriptet, mely automatikusan futtatható a root.hints frissítése érdekében. Telepíts egy crontab bejegyzést, hogy havonta egyszer lefusson, és el is felejtheted. A szkript feltételezi, hogy a levelezésed működik, és hogy a "hostmaster" cím meg van adva. Meg kell hackelned, hogy illeszkedjen a beállításaidhoz."

#!/bin/sh
#
# Update the nameserver cache information file once per month.
# This is run automatically by a cron entry.
#
# Original by Al Longyear
# Updated for BIND 8 by Nicolai Langfeldt
# Miscelanious error-conditions reported by David A. Ranch
# Ping test suggested by Martin Foster
# named up-test suggested by Erik Bryer.
#
(
echo "To: hostmaster "
echo "From: system "

# Is named up? Check the status of named.
case `rndc status 2>&1` in
*refused*)
echo "named is DOWN. root.hints was NOT updated"
echo
exit 0
;;
esac

PATH=/sbin:/usr/sbin:/bin:/usr/bin:
export PATH
# NOTE: /var/named must be writable only by trusted users or this script
# will cause root compromise/denial of service opportunities.
cd /var/named 2>/dev/null || {
echo "Subject: Cannot cd to /var/named, error $?"
echo
echo "The subject says it all"
exit 1
}

# Are we online? Ping a server at your ISP
case `ping -qnc 1 some.machine.net 2>&1` in
*'100% packet loss'*)
echo "Subject: root.hints NOT updated. The network is DOWN."
echo
echo "The subject says it all"
exit 1
;;
esac

dig @e.root-servers.net . ns >root.hints.new 2> errors

case `cat root.hints.new` in
*NOERROR*)
# It worked
:;;
*)
echo "Subject: The root.hints file update has FAILED."
echo
echo "The root.hints update has failed"
echo "This is the dig output reported:"
echo
cat root.hints.new errors
exit 1
;;
esac

echo "Subject: The root.hints file has been updated"

echo
echo "The root.hints file has been updated to contain the following
information:"
echo
cat root.hints.new

chown root.root root.hints.new
chmod 444 root.hints.new
rm -f root.hints.old errors
mv root.hints root.hints.old
mv root.hints.new root.hints
rndc restart
echo
echo "The nameserver has been restarted to ensure that the update is complete."
echo "The previous root.hints file is now called
/var/named/root.hints.old."
) 2>&1 | /usr/lib/sendmail -t
exit 0

-------------------------------------------------------------------------------------------------------
Szükséges ez nekem?Vagy milyen úton módon tudnám ezt "kikerülni"?

( corvin | 2006. 12. 02., szo – 00:49 )

Az a helyzet,h ma voltam fent a főnökömmel és megvettük a szervert...
Így csak rajtam áll (vagy bukik) a dolog...
Vki szakítana rám ídőt,mert tényleg fontos lenne!

( lacika v | 2006. 12. 02., szo – 06:27 )

Ezt is érdemes lenne elolvasnod:
http://www.howtoforge.com/perfect_setup_debian_sarge_p3
Itt a lap közepe fele van a DNS-Server
Leírja hogy tudod chrootba tenni a BIND9 -et. Ez biztonsági szempontból lehet jó ötlet.

___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)

Értem...Azért kérdeztem,mert a kevés magyar bind how-to között találtam egy olyat,ahol van erre egy script,ami ezt nézi és frissíti: "http://tldp.fsf.hu/HOWTO/DNS-HOWTO-hu/DNS-HOWTO-hu-8.html"
Nem igazán értettem a miértjét,de elfogadtam és inkább utánnaérdeklődtem...
A cachelt adatok érdekeltek!Két zónám van jelenleg TTL 86400 megfelelő?Ilyenkor az van,ha ez lejár,akkor megnézi,h változott-e vmi a saját zónákkal meg a cachelt adatok körül is?
Wildy,ha már erre jársz segítenél a RAID-es dologban?
Thx ;)