Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:bind_c7 [30.12.2017 17:34. ] – [named.conf] django | centos:bind_c7 [31.12.2017 14:52. ] (aktuell) – [0.0.10.zone.db (intra)] django | ||
---|---|---|---|
Zeile 1641: | Zeile 1641: | ||
* **INTRA** : Domäne **intra.nausch.org** - IP-Netz: **10.0.10.0/ | * **INTRA** : Domäne **intra.nausch.org** - IP-Netz: **10.0.10.0/ | ||
- | Die Clientanfragen aus den beiden Netzen sollen dabei mit Hilfe unterschiedlicher **views** voneinander getrennt werden, so dass ein Client aus dem Intranet für die gleiche Anfrage wie von einen anderen Client aus der DMZ **__unterschiedliche__** Antworten bekommen soll. | + | Die Clientanfragen aus den beiden Netzen sollen dabei mit Hilfe unterschiedlicher **[[https:// |
* **view** - **INTRA** | * **view** - **INTRA** | ||
* **view** - **DMZ** | * **view** - **DMZ** | ||
Zeile 1647: | Zeile 1647: | ||
Bevor wir nun die notwendigen Zonen-Dateien für unseren DNS-Server anlegen werden, legen wir uns zunächst eine eigenen Verzeichnis an, in dem wir später dann die Zonen-Dateien ablegen werden. | Bevor wir nun die notwendigen Zonen-Dateien für unseren DNS-Server anlegen werden, legen wir uns zunächst eine eigenen Verzeichnis an, in dem wir später dann die Zonen-Dateien ablegen werden. | ||
# mkdir / | # mkdir / | ||
+ | # mkdir / | ||
Anschließend statten wir unser neues Konfigurationsverzeichnis noch mit den nötigen Datei, Benutzer- und Gruppenrechten aus. | Anschließend statten wir unser neues Konfigurationsverzeichnis noch mit den nötigen Datei, Benutzer- und Gruppenrechten aus. | ||
# chown named:named / | # chown named:named / | ||
+ | # chown named:named / | ||
# chmod 770 / | # chmod 770 / | ||
+ | # chmod 770 / | ||
Nun können wir für jede Zone in unserem neuen Verzeichnis // | Nun können wir für jede Zone in unserem neuen Verzeichnis // | ||
Zeile 1657: | Zeile 1660: | ||
* Zonen-Datei für die **Forward**-Auflösung - // | * Zonen-Datei für die **Forward**-Auflösung - // | ||
* Zonen-Datei für die **Reverse**-Auflösung - // | * Zonen-Datei für die **Reverse**-Auflösung - // | ||
- | * **Zone DMZ** | + | * **Zone DMZ** (für die Anfragen aus der DMZ) |
* Zonen-Datei für die **Forward**-Auflösung - // | * Zonen-Datei für die **Forward**-Auflösung - // | ||
* Zonen-Datei für die **Reverse**-Auflösung - // | * Zonen-Datei für die **Reverse**-Auflösung - // | ||
+ | * **Zone DMZ** (für die Anfragen aus dem Intranet) | ||
+ | * Zonen-Datei für die **Forward**-Auflösung - // | ||
+ | * Zonen-Datei für die **Reverse**-Auflösung - // | ||
=== intra.nausch.org.zone.db === | === intra.nausch.org.zone.db === | ||
Zeile 1665: | Zeile 1671: | ||
# vim / | # vim / | ||
- | <file bind / | + | <file bind / |
- | $TTL 86400 | + | $TTL 86400 ; 1 day |
- | @ IN SOA | + | intra.nausch.org |
- | 2017122901 | + | 2017122901 ; serial |
- | | + | |
- | | + | |
- | | + | |
- | 1D ) ; minimum | + | 86400 |
- | ; | + | ) |
- | | + | NS ns1.intra.nausch.org. |
- | | + | |
- | ; | + | $ORIGIN intra.nausch.org. |
- | ns1 IN | + | ns1 A |
- | pml010051 | + | |
- | ; | + | vml010027 |
- | proton | + | pml010051 |
+ | |||
+ | $ORIGIN intra.nausch.org. | ||
+ | test CNAME ns1 | ||
+ | |||
+ | fwi | ||
+ | gateway CNAME vml010027 | ||
+ | proton | ||
</ | </ | ||
Zeile 1692: | Zeile 1705: | ||
Nun legen wir für die Reverseauflösung der Zone **INTRANET** für das IP-Netz **10.0.10.0/ | Nun legen wir für die Reverseauflösung der Zone **INTRANET** für das IP-Netz **10.0.10.0/ | ||
# vim / | # vim / | ||
- | <file bind / | + | <file bind / |
- | @ | + | @ |
- | 2017122901 | + | 2017122901 ; serial |
- | | + | |
- | | + | |
- | | + | |
- | 1D ) ; minimum | + | 86400 |
+ | ) | ||
+ | NS ns1.intra.nausch.org. | ||
+ | MX 10 mx1.nausch.org. | ||
- | NS ns1.intra.nausch.org. | + | 27 PTR ns1.intra.nausch.org. |
- | MX 10 mx1.nausch.org. | + | 51 PTR pml010051.intra.nausch.org.</ |
- | + | ||
- | 27 PTR | + | |
- | 51 PTR | + | |
- | </ | + | |
Wie schon zuvor bei der Zonen-Datei für die Forward-Auflösung checken wir nun auch hier die gerade angelegte Datei auf Tippfehler mit folgenden Befehl: | Wie schon zuvor bei der Zonen-Datei für die Forward-Auflösung checken wir nun auch hier die gerade angelegte Datei auf Tippfehler mit folgenden Befehl: | ||
Zeile 1717: | Zeile 1729: | ||
# vim / | # vim / | ||
- | <file bind / | + | <file bind / |
- | $TTL 86400 | + | $TTL 86400 ; 1 day |
- | @ IN SOA | + | dmz.nausch.org |
- | 2017122901 | + | 2017122901 ; serial |
- | | + | |
- | | + | |
- | | + | |
- | 1D ) ; minimum | + | 86400 |
+ | ) | ||
+ | NS ns1.dmz.nausch.org. | ||
+ | MX 10 mx1.nausch.org. | ||
+ | $ORIGIN dmz.nausch.org. | ||
+ | ns1 A 10.0.0.27 | ||
- | IN NS ns1.dmz.nausch.org. | + | vml000017 |
- | | + | vml000027 A |
- | ns1 | + | $ORIGIN dmz.nausch.org. |
- | vml000017 | + | test CNAME ns1 |
- | + | fwe CNAME | |
- | fwe IN | + | fwi CNAME vml000027 |
- | fwi IN | + | |
</ | </ | ||
Zeile 1745: | Zeile 1761: | ||
Was nun noch fehlt ist das Zonenfile für die Zonendatei für die Reverseauflösung der Zone **DMZ**. ~~codedoc: | Was nun noch fehlt ist das Zonenfile für die Zonendatei für die Reverseauflösung der Zone **DMZ**. ~~codedoc: | ||
# vim / | # vim / | ||
- | <file bind / | + | <file bind / |
- | @ | + | @ |
- | 2017122901 | + | 2017122901 ; serial |
- | | + | |
- | | + | |
- | | + | |
- | 1D ) ; minimum | + | 86400 |
+ | ) | ||
+ | NS ns1.dmz.nausch.org. | ||
+ | MX 10 mx1.nausch.org. | ||
- | NS ns1.dmz.nausch.org. | + | 17 PTR |
- | MX 10 mx1.nausch.org. | + | 27 PTR |
- | + | ||
- | 17 PTR | + | |
- | 27 PTR | + | |
</ | </ | ||
Zeile 1765: | Zeile 1781: | ||
zone 0.0.10/IN: loaded serial 2017122901 | zone 0.0.10/IN: loaded serial 2017122901 | ||
OK | OK | ||
+ | |||
+ | === dmz.nausch.org.zone.db (intra) === | ||
+ | Nachdem wir die Konfiguration der Zone Intranet abgeschlossen haben, werden wir nun als nächstes die Zone **DMZ** konfigurieren. Als erstes werden wir auch hier das Zonefile für die Forwardauflösung anlegen. | ||
+ | # vim / | ||
+ | |||
+ | <file bind / | ||
+ | $TTL 86400 ; 1 day | ||
+ | dmz.nausch.org | ||
+ | 2017122901 ; serial | ||
+ | 28800 ; refresh (8 hours) | ||
+ | 7200 ; retry (2 hours) | ||
+ | 604800 | ||
+ | 86400 ; minimum (1 day) | ||
+ | ) | ||
+ | NS ns1.dmz.nausch.org. | ||
+ | MX 10 mx1.nausch.org. | ||
+ | $ORIGIN dmz.nausch.org. | ||
+ | ns1 A 10.0.0.27 | ||
+ | </ | ||
+ | |||
+ | Auch hier führen wir den Syntax- und Plausibilitäts-Check durch. | ||
+ | # named-checkzone dmz.nausch.org / | ||
+ | |||
+ | zone dmz.nausch.org/ | ||
+ | OK | ||
+ | |||
+ | === 0.0.10.zone.db (intra) === | ||
+ | Was nun noch fehlt ist das Zonenfile für die Zonendatei für die Reverseauflösung der Zone **DMZ**. | ||
+ | # vim / | ||
+ | <file bind / | ||
+ | @ IN SOA ns1.dmz.nausch.org. hostmaster.nausch.org. ( | ||
+ | 2017122901 ; serial | ||
+ | 28800 ; refresh (8 hours) | ||
+ | 7200 ; retry (2 hours) | ||
+ | 604800 | ||
+ | 86400 ; minimum (1 day) | ||
+ | ) | ||
+ | NS ns1.dmz.nausch.org. | ||
+ | MX 10 mx1.nausch.org. | ||
+ | |||
+ | 27 PTR | ||
+ | </ | ||
+ | |||
+ | Wie schon zuvor bei der Zonen-Datei für die Forward-Auflösung checken wir nun auch hier die gerade angelegte Datei auf Tippfehler mit folgenden Befehl: | ||
+ | # named-checkzone 0.0.10 / | ||
+ | |||
+ | zone 0.0.10/IN: loaded serial 2017122901 | ||
+ | OK | ||
+ | |||
==== named.conf ==== | ==== named.conf ==== | ||
Zeile 1912: | Zeile 1977: | ||
// Definiert, welche Hosts gewöhnliche DNS-Fragen stellen dürfen. | // Definiert, welche Hosts gewöhnliche DNS-Fragen stellen dürfen. | ||
- | allow-query { 127.0.0.1; dmz; intra; }; | + | allow-query { ::1; 127.0.0.1; dmz; intra; }; |
// Legt fest, welche Hosts rekursive Abfragen über diesen Server | // Legt fest, welche Hosts rekursive Abfragen über diesen Server | ||
// durchführen dürfen. | // durchführen dürfen. | ||
- | allow-recursion { 127.0.0.1; dmz; intra; }; | + | allow-recursion { ::1; 127.0.0.1; dmz; intra; }; |
// Gibt an, welche Hosts Zonentransfers vom Server empfangen dürfen. | // Gibt an, welche Hosts Zonentransfers vom Server empfangen dürfen. | ||
Zeile 2174: | Zeile 2239: | ||
file " | file " | ||
}; | }; | ||
+ | |||
+ | // Zone: dmz.nausch.org | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | |||
+ | // Zone: dmz.nausch.org | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | |||
}; | }; | ||
view " | view " | ||
- | // Ist der Anfragende Client aus dem Netz 10.0.10.0/25 (Intranet)? | + | // Ist der Anfragende Client aus dem Netz 10.0.0.0/24 (DMZ)? |
match-clients { localhost; dmz; }; | match-clients { localhost; dmz; }; | ||
Zeile 2232: | Zeile 2310: | ||
Geben wir beim Aufruf des Befehls **named-checkconf** die Option //**-p**// an, wird uns die (aufgelöste) Konfiguration __ohne__ die ganzen Kommentare ausgegeben. | Geben wir beim Aufruf des Befehls **named-checkconf** die Option //**-p**// an, wird uns die (aufgelöste) Konfiguration __ohne__ die ganzen Kommentare ausgegeben. | ||
+ | # named-checkconf -p | ||
+ | |||
+ | < | ||
+ | bindkeys-file "/ | ||
+ | blackhole { | ||
+ | " | ||
+ | }; | ||
+ | coresize default; | ||
+ | datasize default; | ||
+ | session-keyfile "/ | ||
+ | directory "/ | ||
+ | dump-file "/ | ||
+ | files unlimited; | ||
+ | interface-interval 0; | ||
+ | listen-on port 53 { | ||
+ | 127.0.0.1/ | ||
+ | " | ||
+ | }; | ||
+ | listen-on-v6 port 53 { | ||
+ | ::1/128; | ||
+ | }; | ||
+ | managed-keys-directory "/ | ||
+ | memstatistics-file "/ | ||
+ | pid-file "/ | ||
+ | recursing-file "/ | ||
+ | recursive-clients 1000; | ||
+ | secroots-file "/ | ||
+ | server-id none; | ||
+ | stacksize default; | ||
+ | statistics-file "/ | ||
+ | tcp-clients 100; | ||
+ | tcp-listen-queue 10; | ||
+ | version "DNS - nausch.org"; | ||
+ | allow-recursion { | ||
+ | ::1/128; | ||
+ | 127.0.0.1/ | ||
+ | " | ||
+ | " | ||
+ | }; | ||
+ | check-names master warn; | ||
+ | clients-per-query 10; | ||
+ | dnssec-enable yes; | ||
+ | dnssec-lookaside auto; | ||
+ | dnssec-validation auto; | ||
+ | edns-udp-size 4096; | ||
+ | lame-ttl 600; | ||
+ | max-cache-size 0; | ||
+ | max-cache-ttl 604800; | ||
+ | max-clients-per-query 100; | ||
+ | max-ncache-ttl 10800; | ||
+ | max-udp-size 4096; | ||
+ | minimal-responses no; | ||
+ | query-source address 0.0.0.0 port 0; | ||
+ | recursion yes; | ||
+ | allow-notify { | ||
+ | 127.0.0.1/ | ||
+ | }; | ||
+ | allow-query { | ||
+ | ::1/128; | ||
+ | 127.0.0.1/ | ||
+ | " | ||
+ | " | ||
+ | }; | ||
+ | allow-transfer { | ||
+ | 127.0.0.1/ | ||
+ | " | ||
+ | }; | ||
+ | key-directory "/ | ||
+ | max-journal-size unlimited; | ||
+ | }; | ||
+ | controls { | ||
+ | inet 127.0.0.1 port 953 allow { | ||
+ | 127.0.0.1/ | ||
+ | } keys { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | acl " | ||
+ | 10.0.0.0/ | ||
+ | }; | ||
+ | acl " | ||
+ | 10.0.10.0/ | ||
+ | }; | ||
+ | acl " | ||
+ | 10.0.0.27/ | ||
+ | }; | ||
+ | acl " | ||
+ | 10.0.0.27/ | ||
+ | 10.0.10.27/ | ||
+ | }; | ||
+ | logging { | ||
+ | channel " | ||
+ | file " | ||
+ | severity dynamic; | ||
+ | print-time yes; | ||
+ | print-severity yes; | ||
+ | print-category yes; | ||
+ | }; | ||
+ | channel " | ||
+ | file " | ||
+ | severity info; | ||
+ | print-time yes; | ||
+ | print-severity yes; | ||
+ | print-category yes; | ||
+ | }; | ||
+ | channel " | ||
+ | file " | ||
+ | severity info; | ||
+ | print-time yes; | ||
+ | print-severity yes; | ||
+ | print-category yes; | ||
+ | }; | ||
+ | category " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }; | ||
+ | category " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | view " | ||
+ | match-clients { | ||
+ | " | ||
+ | }; | ||
+ | zone " | ||
+ | type hint; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | }; | ||
+ | view " | ||
+ | match-clients { | ||
+ | " | ||
+ | " | ||
+ | }; | ||
+ | zone " | ||
+ | type hint; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | allow-update { | ||
+ | " | ||
+ | }; | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | zone " | ||
+ | type master; | ||
+ | file " | ||
+ | }; | ||
+ | }; | ||
+ | key " | ||
+ | algorithm " | ||
+ | secret " | ||
+ | }; | ||
+ | managed-keys { | ||
+ | " | ||
+ | " | ||
+ | };</ | ||
+ | |||
+ | ==== Neustart des Daemon ==== | ||
+ | Da mit der zuvor erstellten Konfiguration unseres Servers alles in Ordnung war, spricht nun nichts mehr dagegen, zur Aktivierung unserer Konfiguration den Daemon einmal durchzustarten. | ||
+ | # systemctl restart named-chroot.service | ||
+ | |||
+ | Den Status des laufenden Daemon fragen wir wie gewohnt wie folgt ab. | ||
+ | # systemctl status named-chroot.service | ||
+ | |||
+ | < | ||
+ | <font style=" | ||
+ | | ||
+ | | ||
+ | Process: 13221 ExecStop=/ | ||
+ | Process: 13324 ExecStart=/ | ||
+ | Process: 13322 ExecStartPre=/ | ||
+ | Main PID: 13327 (named) | ||
+ | | ||
+ | | ||
+ | |||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org named[13327]: | ||
+ | Dec 30 18:38:53 vml000027.dmz.nausch.org systemd[1]: Started Berkeley Internet Name Domain (DNS). | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Natürlich können wir den Status des DNS-servers auch mit Hilfe des Name Server Control Utility **rndc** abfragen. | ||
+ | # rndc status | ||
+ | < | ||
+ | CPUs found: 1 | ||
+ | worker threads: 1 | ||
+ | UDP listeners per interface: 1 | ||
+ | number of zones: 208 | ||
+ | debug level: 0 | ||
+ | xfers running: 0 | ||
+ | xfers deferred: 0 | ||
+ | soa queries in progress: 0 | ||
+ | query logging is OFF | ||
+ | recursive clients: 0/0/1000 | ||
+ | tcp clients: 0/100 | ||
+ | server is up and running</ | ||
+ | |||
+ | Zur weiteren Überprüfung und/oder ggf. nötigen Fehlersuche ist ein Blick in folgende Logdateien vorzunehmen: | ||
+ | * // | ||
+ | * // | ||
+ | * // | ||
+ | * // | ||
+ | ===== DNSsec ===== | ||