Hauptkonfiguration von bind9

Aus xinux.net
Zur Navigation springen Zur Suche springen

Hauptkonfiguration

Standardmäßig ist die Konfiguration von bind9 auf mehrere Dateien aufgeteilt:

/etc/bind/named.conf

#Diese Datei inkludiert einfach nur die anderen 3 Dateien

Algemeine Option zum Nameserver

include "/etc/bind/named.conf.options";

Hier kommen die eignen Zonen rein

include "/etc/bind/named.conf.local";

Hier die Default Zonen

include "/etc/bind/named.conf.default-zones";

/etc/bind/named.conf.options

#Allgemeine Optionen
options {
 dnssec-validation auto;
 listen-on-v6 { any; };
};

/etc/bind/named.conf.default-zones

#Standardzonen
zone "." {
  type hint;
  file "/usr/share/dns/root.hints";
};
zone "localhost" {
  type master;
  file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
  type master;
  file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
  type master;
  file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
  type master;
  file "/etc/bind/db.255";
};

/etc/bind/named.conf.local

#Standardmässig leer
#Hier werden die sogenanten Zonen angelegt.
zone "vulkan.int" {
       type master;
       file "vulkan.int";
       notify no;
};

zone "81.168.192.in-addr.arpa" {
       type master;
       file "81.168.192.in-addr.arpa";
       allow-transfer { 192.168.249.121 };
};

Zonendateien

Master

zone "vulkan.int" {
      type master;
      file "vulkan.int";
      };

Slave

  • Um Ausfallsicherheit zu gewährleisten, kann es sinnvoll sein, mehrere DNS-Server zu betreiben.
  • Dazu muss man in der named.conf des sekundären Nameservers die Zone die man Spiegeln will mit folgender Konfiguration hinzufügen:
zone "vulkan.int" {
      type slave;
      file "vulkan.int";
      masters { 192.168.81.21; };
};

Forward

  • Damit in diesem Beispiel unser Primärer Domain Server den Sekundären findet und auch noch im rest des Netzwerkes die Rechner kennt müssen wir eine Forward Zone einrichten die zurück auf unseren Top-Level-Domain Name-Server zeigt:
zone "alpha.quadrant" {
       type forward;
       forwarders { 192.168.240.21; };
};

Berechtigungen und Einschränkungen

  • Defaultverzeichnis für die Zonen
directory "/var/cache/bind";
  • wenn der Nameserver einen anderen Nameserver nicht die root Nameserver befragen soll
  • kann man forwarders benutzen
forwarders

         forwarders {
          213.133.98.96;
          213.133.99.99;
          213.133.100.100;
         };


  • mit allow-query ist gemeint wer erlaubt ist anfragen zu stellen für Zonen für die der Nameserver selbst zuständig ist
 allow-query 
{ 0.0.0.0/0; };


  • mit allow-recursion ist gemeint wer erlaubt ist anfragen zu stellen für die der Nameserver andere quellen befragen muss also die außerhalb seiner Zuständigkeit liegen
allow-recursion     { 
                    2.2.2.2;
                  };
  • ist gemeint wer erlaubt ist eine komplette Zone abzufragen also alle unter Domains die zur Verfügung stehen dies wird normal nur für den sekundären Nameserver gebraucht
allow-transfer {
                1.2.2.2;
        };
  • Die dnssec-validation soll aktiv sein.
dnssec-validation auto;
  • wenn ipv6 vorhanden wird auf allen Interfaces gelauscht.
listen-on-v6 { any; };
  • Es wird auf allen ipv4 Interfaces gelauscht.
listen-on { any; };
Abgerufen von „https://xinux.net/index.php?title=Hauptkonfiguration_von_bind9&oldid=44264