Hauptkonfiguration von bind9
Zur Navigation springen
Zur Suche springen
Hauptkonfiguration
Standardmäßig ist die Konfiguration von bind9 auf mehrere Dateien aufgeteilt:
/etc/bind/named.conf
#Diese Datei inkludiert einfach nur die anderen 3 Dateien
Algemeine Option zum Nameserver
include "/etc/bind/named.conf.options";
Hier kommen die eignen Zonen rein
include "/etc/bind/named.conf.local";
Hier die Default Zonen
include "/etc/bind/named.conf.default-zones";
/etc/bind/named.conf.options
#Allgemeine Optionen options { dnssec-validation auto; listen-on-v6 { any; }; };
/etc/bind/named.conf.default-zones
#Standardzonen zone "." { type hint; file "/usr/share/dns/root.hints"; }; zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };
/etc/bind/named.conf.local
#Standardmässig leer #Hier werden die sogenanten Zonen angelegt. zone "vulkan.int" { type master; file "vulkan.int"; notify no; }; zone "81.168.192.in-addr.arpa" { type master; file "81.168.192.in-addr.arpa"; allow-transfer { 192.168.249.121 }; };
Zonendateien
Master
zone "vulkan.int" { type master; file "vulkan.int"; };
Slave
- Um Ausfallsicherheit zu gewährleisten, kann es sinnvoll sein, mehrere DNS-Server zu betreiben.
- Dazu muss man in der named.conf des sekundären Nameservers die Zone die man Spiegeln will mit folgender Konfiguration hinzufügen:
zone "vulkan.int" { type slave; file "vulkan.int"; masters { 192.168.81.21; }; };
Forward
- Damit in diesem Beispiel unser Primärer Domain Server den Sekundären findet und auch noch im rest des Netzwerkes die Rechner kennt müssen wir eine Forward Zone einrichten die zurück auf unseren Top-Level-Domain Name-Server zeigt:
zone "alpha.quadrant" { type forward; forwarders { 192.168.240.21; }; };
Berechtigungen und Einschränkungen
- Defaultverzeichnis für die Zonen
directory "/var/cache/bind";
- wenn der Nameserver einen anderen Nameserver nicht die root Nameserver befragen soll
- kann man forwarders benutzen
forwarders forwarders { 213.133.98.96; 213.133.99.99; 213.133.100.100; };
- mit allow-query ist gemeint wer erlaubt ist anfragen zu stellen für Zonen für die der Nameserver selbst zuständig ist
allow-query { 0.0.0.0/0; };
- mit allow-recursion ist gemeint wer erlaubt ist anfragen zu stellen für die der Nameserver andere quellen befragen muss also die außerhalb seiner Zuständigkeit liegen
allow-recursion { 2.2.2.2; };
- ist gemeint wer erlaubt ist eine komplette Zone abzufragen also alle unter Domains die zur Verfügung stehen dies wird normal nur für den sekundären Nameserver gebraucht
allow-transfer { 1.2.2.2; };
- Die dnssec-validation soll aktiv sein.
dnssec-validation auto;
- wenn ipv6 vorhanden wird auf allen Interfaces gelauscht.
listen-on-v6 { any; };
- Es wird auf allen ipv4 Interfaces gelauscht.
listen-on { any; };