Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:bind_c7 [30.12.2017 18:07. ] – [named.conf] django
+++ centos:bind_c7 [31.12.2017 14:52. ] (aktuell) – [0.0.10.zone.db (intra)] django
@@ Zeile 1641: / Zeile 1641: @@
   * **INTRA** : Domäne **intra.nausch.org** - IP-Netz: **10.0.10.0/25**
-Die Clientanfragen aus den beiden Netzen sollen dabei mit Hilfe unterschiedlicher **views** voneinander getrennt werden, so dass ein Client aus dem Intranet für die gleiche Anfrage wie von einen anderen Client aus der DMZ **__unterschiedliche__** Antworten bekommen soll.
+Die Clientanfragen aus den beiden Netzen sollen dabei mit Hilfe unterschiedlicher **[[https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html|views]]** voneinander getrennt werden, so dass ein Client aus dem Intranet für die gleiche Anfrage wie von einen anderen Client aus der DMZ **__unterschiedliche__** Antworten bekommen soll.
   * **view** - **INTRA**
   * **view** - **DMZ**
@@ Zeile 1647: / Zeile 1647: @@
 Bevor wir nun die notwendigen Zonen-Dateien für unseren DNS-Server anlegen werden, legen wir uns zunächst eine eigenen Verzeichnis an, in dem wir später dann die Zonen-Dateien ablegen werden.
    # mkdir /var/named/master
+   # mkdir /var/named/intra
 Anschließend statten wir unser neues Konfigurationsverzeichnis noch mit den nötigen Datei, Benutzer- und Gruppenrechten aus.
    # chown named:named /var/named/master
+   # chown named:named /var/named/intra
    # chmod 770 /var/named/master
+   # chmod 770 /var/named/intra
 Nun können wir für jede Zone in unserem neuen Verzeichnis //**/var/named/master**// jeweils die benötigten Dateien anlegen.
@@ Zeile 1657: / Zeile 1660: @@
     * Zonen-Datei für die **Forward**-Auflösung - //**[[centos:bind_c7#intranauschorgzonedb|/var/named/master/intra.nausch.org.zone.db]]**//
     * Zonen-Datei für die **Reverse**-Auflösung - //**[[centos:bind_c7#zonedb|/var/named/master/10.0.10.zone.db]]**// - Netz 10.0.10.0/25
-  * **Zone DMZ**
+  * **Zone DMZ** (für die Anfragen aus der DMZ)
     * Zonen-Datei für die **Forward**-Auflösung - //**[[centos:bind_c7#dmznauschorgzonedb|/var/named/master/dmz.nausch.org.zone.db]]**//
     * Zonen-Datei für die **Reverse**-Auflösung - //**[[centos:bind_c7#anchor_zone|/var/named/master/0.0.10.zone.db]]**// - Netz 10.0.0.0/24
+  * **Zone DMZ** (für die Anfragen aus dem Intranet)
+    * Zonen-Datei für die **Forward**-Auflösung - //**[[centos:bind_c7#dmznauschorgzonedb_intra|/var/named/intra/dmz.nausch.org.zone.db]]**// für die Anfragen aus dem Intranet
+    * Zonen-Datei für die **Reverse**-Auflösung - //**[[centos:bind_c7#zonedb_intra|/var/named/intra/0.0.10.zone.db]]**// - Netz 10.0.0.0/24 für die Anfragen aus dem Intranet
 === intra.nausch.org.zone.db ===
@@ Zeile 1665: / Zeile 1671: @@
    # vim /var/named/master/intra.nausch.org.zone.db
-<file bind /var/named/master/intra.nausch.org.zone.db>$ORIGIN intra.nausch.org.
+<file bind /var/named/master/intra.nausch.org.zone.db>$ORIGIN .
-$TTL    86400
+$TTL    86400 ; 1 day
-@                       IN      SOA     ns1.dmz.nausch.org. root.nausch.org. (
+intra.nausch.org        IN SOA  ns1.intra.nausch.org. hostmaster.nausch.org. (
-                        2017122901      ; serial
+                                2017122901 ; serial
-H              ; refresh
+      ; refresh (8 hours)
-M             ; retry
+       ; retry (2 hours)
-W              ; expiry
+     ; expire (1 week)
-D )            ; minimum
+      ; minimum (1 day)
-;
+                                )
-                        IN      NS      ns1.intra.nausch.org.
+                        NS      ns1.intra.nausch.org.
-                        IN      MX  10  mx1.nausch.org.
+                        MX      10 mx1.nausch.org.
-;
+$ORIGIN intra.nausch.org.
-ns1                     IN      A       10.0.10.27
+ns1                     A       10.0.10.27
-pml010051               IN      A       10.0.10.51
-;
+vml010027               A       10.0.10.27
-proton                  IN      CNAME   pml010051
+pml010051               A       10.0.10.17
+$ORIGIN intra.nausch.org.
+test                    CNAME   ns1
+fwi                     CNAME   vml010027
+gateway			CNAME	vml010027
+proton                  CNAME   pml010051
 </file>
@@ Zeile 1692: / Zeile 1705: @@
 Nun legen wir für die Reverseauflösung der Zone **INTRANET** für das IP-Netz **10.0.10.0/25** das zugehörige Zonenfile an.
    # vim /var/named/master/10.0.10.in-addr.arpa.zone.db
-<file bind /var/named/master/10.0.10.in-addr.arpa.zone.db>$TTL 86400
+<file bind /var/named/master/10.0.10.in-addr.arpa.zone.db>$TTL    86400 ; 1 day
-@       IN SOA          ns1.intra.nausch.org. root.nss.nausch.org. (
+@                       IN SOA  ns1.intra.nausch.org. hostmaster.nausch.org. (
-        2017122901      ; serial
+                                2017122901 ; serial
-H              ; refresh
+      ; refresh (8 hours)
-H              ; retry
+       ; retry (2 hours)
-W              ; expiry
+     ; expire (1 week)
-D )            ; minimum
+      ; minimum (1 day)
+                                )
+                        NS      ns1.intra.nausch.org.
+                        MX      10 mx1.nausch.org.
-        NS              ns1.intra.nausch.org.
+      		PTR    	ns1.intra.nausch.org.
-        MX      10      mx1.nausch.org.
+      		PTR    	pml010051.intra.nausch.org.</file>
-      PTR             ns1.intra.nausch.org.
-      PTR             pml010051.intra.nausch.org.
-</file>
 Wie schon zuvor bei der Zonen-Datei für die Forward-Auflösung checken wir nun auch hier die gerade angelegte Datei auf Tippfehler mit folgenden Befehl:
@@ Zeile 1717: / Zeile 1729: @@
    # vim /var/named/master/dmz.nausch.org.zone.db
-<file bind /var/named/master/dmz.nausch.org.zone.db>$ORIGIN dmz.nausch.org.
+<file bind /var/named/master/dmz.nausch.org.zone.db>$ORIGIN .
-$TTL    86400
+$TTL    86400 ; 1 day
-@                       IN      SOA     ns1.dmz.nausch.org. root.nausch.org. (
+dmz.nausch.org          IN SOA  ns1.dmz.nausch.org. hostmaster.nausch.org. (
-                        2017122901      ; serial
+				2017122901 ; serial
-H              ; refresh
+      ; refresh (8 hours)
-M             ; retry
+       ; retry (2 hours)
-W              ; expiry
+     ; expire (1 week)
-D )            ; minimum
+      ; minimum (1 day)
+                                )
+                        NS      ns1.dmz.nausch.org.
+                        MX	10 mx1.nausch.org.
+$ORIGIN dmz.nausch.org.
+ns1			A	10.0.0.27
-                        IN      NS      ns1.dmz.nausch.org.
+vml000017               A       10.0.0.17
-                        IN      MX  10  mx1.nausch.org.
+vml000027		A       10.0.0.27
-ns1                     IN      A       10.0.10.27
+$ORIGIN dmz.nausch.org.
-vml000017               IN      A       10.0.10.17
+test			CNAME	ns1
+fwe			CNAME   vml000017
-fwe                     IN      CNAME   vml000017
+fwi			CNAME   vml000027
-fwi                     IN      CNAME   ns1
 </file>
@@ Zeile 1745: / Zeile 1761: @@
 Was nun noch fehlt ist das Zonenfile für die Zonendatei für die Reverseauflösung der Zone **DMZ**. ~~codedoc:xref:anchor_zone~~
    # vim /var/named/master/0.0.10.in-addr.arpa.zone.db
-<file bind /var/named/master/0.0.10.in-addr.arpa.zone.db>$TTL 86400
+<file bind /var/named/master/0.0.10.in-addr.arpa.zone.db>$TTL    86400 ; 1 day
-@       IN SOA          ns1.dmz.nausch.org. root.nss.nausch.org. (
+@                       IN SOA  ns1.dmz.nausch.org. hostmaster.nausch.org. (
-        2017122901      ; serial
+                                2017122901 ; serial
-H              ; refresh
+      ; refresh (8 hours)
-H              ; retry
+       ; retry (2 hours)
-W              ; expiry
+     ; expire (1 week)
-D )            ; minimum
+      ; minimum (1 day)
+                                )
+                        NS      ns1.dmz.nausch.org.
+                        MX      10 mx1.nausch.org.
-        NS              ns1.dmz.nausch.org.
+                      PTR     vml000017.dmz.nausch.org.
-        MX      10      mx1.nausch.org.
+                      PTR     vml000027.dmz.nausch.org.
-      PTR             vml000017.dmz.nausch.org.
-      PTR             vml000027.dmz.nausch.org.g.
 </file>
@@ Zeile 1765: / Zeile 1781: @@
   zone 0.0.10/IN: loaded serial 2017122901
   OK
+=== dmz.nausch.org.zone.db (intra) ===
+Nachdem wir die Konfiguration der Zone Intranet abgeschlossen haben, werden wir nun als nächstes die Zone **DMZ** konfigurieren. Als erstes werden wir auch hier das Zonefile für die Forwardauflösung anlegen.
+   # vim /var/named/intra/dmz.nausch.org.zone.db
+<file bind /var/named/intra/dmz.nausch.org.zone.db>$ORIGIN .
+$TTL    86400 ; 1 day
+dmz.nausch.org          IN SOA  ns1.dmz.nausch.org. hostmaster.nausch.org. (
+				2017122901 ; serial
+      ; refresh (8 hours)
+       ; retry (2 hours)
+     ; expire (1 week)
+      ; minimum (1 day)
+                                )
+                        NS      ns1.dmz.nausch.org.
+                        MX	10 mx1.nausch.org.
+$ORIGIN dmz.nausch.org.
+ns1			A	10.0.0.27
+</file>
+Auch hier führen wir den Syntax- und Plausibilitäts-Check durch.
+   # named-checkzone dmz.nausch.org /var/named/intra/dmz.nausch.org.zone.db
+  zone dmz.nausch.org/IN: loaded serial 2017122901
+  OK
+=== 0.0.10.zone.db (intra) ===
+Was nun noch fehlt ist das Zonenfile für die Zonendatei für die Reverseauflösung der Zone **DMZ**.
+   # vim /var/named/intra/0.0.10.in-addr.arpa.zone.db
+<file bind /var/named/intra/0.0.10.in-addr.arpa.zone.db>$TTL    86400 ; 1 day
+@                       IN SOA  ns1.dmz.nausch.org. hostmaster.nausch.org. (
+                                2017122901 ; serial
+      ; refresh (8 hours)
+       ; retry (2 hours)
+     ; expire (1 week)
+      ; minimum (1 day)
+                                )
+                        NS      ns1.dmz.nausch.org.
+                        MX      10 mx1.nausch.org.
+                      PTR     ns1.dmz.nausch.org.
+</file>
+Wie schon zuvor bei der Zonen-Datei für die Forward-Auflösung checken wir nun auch hier die gerade angelegte Datei auf Tippfehler mit folgenden Befehl:
+   # named-checkzone 0.0.10 /var/named/intra/0.0.10.in-addr.arpa.zone.db
+  zone 0.0.10/IN: loaded serial 2017122901
+  OK
 ==== named.conf ====
@@ Zeile 1912: / Zeile 1977: @@
         // Definiert, welche Hosts gewöhnliche DNS-Fragen stellen dürfen.
-        allow-query { 127.0.0.1; dmz; intra; };
+        allow-query { ::1; 127.0.0.1; dmz; intra; };
         // Legt fest, welche Hosts rekursive Abfragen über diesen Server
 	// durchführen dürfen.
-        allow-recursion { 127.0.0.1; dmz; intra; };
+        allow-recursion { ::1; 127.0.0.1; dmz; intra; };
         // Gibt an, welche Hosts Zonentransfers vom Server empfangen dürfen.
@@ Zeile 2174: / Zeile 2239: @@
                 file "master/10.0.10.in-addr.arpa.zone.db";
         };
+        // Zone: dmz.nausch.org   (forward)
+        zone "dmz.nausch.org" IN {
+                type master;
+                file "intra/dmz.nausch.org.zone.db";
+        };
+        // Zone: dmz.nausch.org   (reverse)
+        zone "0.0.10.in-addr.arpa" IN {
+                type master;
+                file "intra/0.0.10.in-addr.arpa.zone.db";
+        };
 };
 view "dmz" IN {
-        // Ist der Anfragende Client aus dem Netz 10.0.10.0/25 (Intranet)?
+        // Ist der Anfragende Client aus dem Netz 10.0.0.0/24 (DMZ)?
         match-clients { localhost; dmz; };
@@ Zeile 2266: / Zeile 2344: @@
 	version "DNS - nausch.org";
 	allow-recursion {
+		::1/128;
 .0.0.1/32;
 		"dmz";
@@ Zeile 2289: / Zeile 2368: @@
 	};
 	allow-query {
+		::1/128;
 .0.0.1/32;
 		"dmz";
@@ Zeile 2403: / Zeile 2483: @@
 		type master;
 		file "master/10.0.10.in-addr.arpa.zone.db";
+	};
+	zone "dmz.nausch.org" IN {
+		type master;
+		file "intra/dmz.nausch.org.zone.db";
+	};
+	zone "0.0.10.in-addr.arpa" IN {
+		type master;
+		file "intra/0.0.10.in-addr.arpa.zone.db";
 	};
 };
@@ Zeile 2468: / Zeile 2556: @@
 key "rndc-key" {
 	algorithm "hmac-md5";
-	secret "TLtb7aRq8ci9RivwIseG42qAL88Vt05UoSRrOtT4Kh2oUvU81tosVmHQWeX488lbuVxYfdGKZMD7d76Q6jyCJw==";
+	secret "TLtbjaRq8ci9RivwIseG42qAL88Vt05UESRrOtT4Kh2oUvU81tosVmHQWeX488lbuVxYfdpKZMD7d76Q6jyCJw==";
 };
 managed-keys {
-	"." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0sI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2htCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=";
+	"." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=";
-	"." initial-key 257 3 8 "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgn5h4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e oZG+SrDK6nWeLgc6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+9hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN R1AkUTV74bU=";
+	"." initial-key 257 3 8 "AwEAAaz/tAm8yTn4Mfeh5eyI96WSVexTBAvkMgJzkKTOiW1vkIbzxeF3 +/4RgWOq7HrxRixHlFlExOLAJr5emLvN7SWXgnLh4+B5xQlNVz8Og8kv ArMtNROxVQuCaSnIDdD5LKyWbRd2n9WGe2R8PzgCmr3EgVLrjyBxWezF 0jLHwVN8efS3rCj/EWgvIWgb9tarpVUDK/b58Da+sqqls3eNbuv7pr+e oZG+SrDK6nWeL3c6H5Apxz7LjVc1uTIdsIXxuOLYA4/ilBmSVIzuDWfd RUfhHdY6+cn8HFRm+2hM8AnXGXws9555KrUB5qihylGa8subX2Nn6UwN R1AkUTV74bU=";
 };</code>
-==== NeuStart des Daemon ====
+==== Neustart des Daemon ====
 Da mit der zuvor erstellten Konfiguration unseres Servers alles in Ordnung war, spricht nun nichts mehr dagegen, zur Aktivierung unserer Konfiguration den Daemon einmal durchzustarten.
    # systemctl restart named-chroot.service
@@ Zeile 2528: / Zeile 2616: @@
   * //**/var/named/data/named.security**// mit <code> # less /var/named/data/named.security</code> oder <code> # tailf /var/named/data/named.security</code>
+===== DNSsec =====